PowerEdge: Linee guida per l'aggiornamento del BIOS del server per i certificati di avvio sicuro Microsoft
Summary: Questo articolo fornisce indicazioni per i server Dell PowerEdge che richiedono una correzione per la scadenza del certificato di avvio sicuro Microsoft (giugno 2026).
Instructions
Si applica ai sistemi basati su UEFI con Secure Boot abilitato e ai certificati Secure Boot meno recenti interessati dalla scadenza del certificato Microsoft Secure Boot (giugno 2026). Il sistema operativo gestisce principalmente gli aggiornamenti dei certificati di avvio sicuro e i clienti devono assicurarsi di aggiornare i propri sistemi utilizzando i meccanismi di aggiornamento Microsoft supportati.
Si applica ai sistemi operativi Windows Server interessati da questa modifica, come definito da Microsoft, in esecuzione su sistemi fisici con firmware gestito dal cliente e configurazione Secure Boot.
Non si applica alle piattaforme cloud o agli appliance in cui il provider gestisce il firmware e le chiavi di avvio sicuro, come Microsoft Azure, AX o APEX-Managed Cloud.
I sistemi che già eseguono versioni del BIOS che includono i certificati di avvio sicuro aggiornati potrebbero non richiedere questa procedura.
Server e sistemi operativi di destinazione
Queste linee guida si applicano a:
- Server Dell PowerEdge che supportano la modalità di avvio UEFI e Secure Boot
- Sistemi che eseguono sistemi operativi Windows Server supportati interessati dalla scadenza del certificato di avvio protetto Microsoft (giugno 2026), come definito da Microsoft. Per i sistemi operativi diversi da Microsoft Windows, è possibile seguire il normale processo di aggiornamento del BIOS per ottenere i nuovi certificati aggiunti.
- Server fisici, inclusi server di quattordicesima, quindicesima e sedicesima generazione
Per le macchine virtuali (basate su UEFI), seguire le indicazioni fornite dal fornitore dell hypervisor.
Microsoft Hyper-V: Aggiornamenti del certificato di avvio sicuro: Linee guida per i professionisti IT e le organizzazioni
VMware ESXi: Scadenza del certificato di avvio protetto ed errori di aggiornamento nelle macchine virtuali VMware
Generazioni di server e identificatori del BIOS
Le versioni del BIOS elencate di seguito rappresentano le versioni minime che includono i certificati Microsoft Secure Boot aggiornati. Le versioni del BIOS più recenti di quelle elencate di seguito contengono anche i nuovi certificati di avvio sicuro.
| Piattaforma | Versione del BIOS |
|---|---|
| R260, R360, T160, T360 | 2.4.0 |
| R660, R760, R860, R760XD2, R760XA, XE8640, XE9680, HS5620, XR7620, R760XS, XR5610, XR8610T, XR8620T, R960, T560, MX760C, XC760, VS-760, XC660, XC760XD2, VE660, VP-760, XC660XS, XC760XA, VP-760XA, R660xs, MC-760 | 2.8.2 |
| R6625 e R7625 | 1.15.3 |
| C6615 | 1.10.3 |
| R6615/R7615 | 1.15.3 |
| R750, R750xa, R750xs, R650, R650xs, R550, R450, C6520, MX750c, T550 | 1.19.2 |
| XR4510c/XR4520c | 1.21.1 |
| R350, R250, T350, T150 | 1.13.0 |
| R6515 e R7515 | 2.22.0 |
| R6525/R7525 | 2.22.0 |
| R7425 | 1.23.0 |
| R7415 e R6415 | 1.23.0 |
| R740, R740XD, R640, R940 | 2.25.0 |
| C4140 | 2.25.0 |
| R840, R940XA | 2.25.0 |
| T640 | 2.25.0 |
| R540, R440, T440 | 2.25.0 |
| R740XD2 | 2.25.0 |
| MX740C | 2.25.0 |
| Visualizzazione del materiale MX840 | 2.25.0 |
| M640, FC640, M640 (VRTX) | 2.25.0 |
| C6420 | 2.25.0 |
| XE7420 e XE7440 | 2.25.0 |
| XE2420 | 2.25.0 |
| R340, T340, R240, T140 | 2.21.0 |
Importante
Prima di procedere con i passaggi riportati di seguito, verificare che Secure Boot sia abilitato e configurato utilizzando la policy
predefinita (Standard).I sistemi che utilizzano policy Secure Boot personalizzate o di terze parti potrebbero richiedere un ulteriore esame prima di poter applicare gli aggiornamenti del certificato Secure Boot.
Se Secure Boot non è abilitato, seguire il tradizionale processo di aggiornamento del BIOS. I passaggi riportati di seguito non sono necessari.
Procedura consigliata
-
Verifica della configurazione del sistema
- Se BitLocker è abilitato, sospendere temporaneamente la protezione BitLocker prima di procedere per evitare richieste di ripristino dopo il riavvio.
- Se necessario, impostare temporaneamente i criteri di esecuzione di PowerShell su "Unrestricted" o "Bypass" per consentire l'esecuzione degli script. (comando Set-ExecutionPolicy)
- Per i cluster di failover (S2D, SAN collegati): aggiungere "Suspend-ClusterNode -Drain" per sospendere il nodo e spostare i ruoli del cluster in un altro nodo.
- Il firmware di sistema (BIOS) è in una release supportata e stabile (ad esempio, una versione del BIOS approvata dalla produzione per la piattaforma). I sistemi che eseguono versioni del BIOS che includono i certificati Secure Boot aggiornati non richiedono questa procedura.
-
Eseguire gli script di aggiornamento dei certificati Microsoft Secure Boot 2023
- Scaricare ed estrarre gli script di aggiornamento di Secure Boot allegati a questo articolo
- Per 16G: copia 16G_Secure_Boot_Certificates_pkb.zip ed estrai in qualsiasi cartella.
- Per 15G: copia 15G_Secure_Boot_Certificates_pkb.zip ed estrai in qualsiasi cartella.
- Per 14G: copia 14G_Secure_Boot_Certificates_pkb.zip ed estrai in qualsiasi cartella.
-
Eseguire gli script utilizzando un prompt dei comandi con privilegi elevati (amministratore) come documentato da Microsoft
- Per 16G: 16G_SecureBoot_Cert_Update.ps1
- Per 15G: 15G_SecureBoot_Cert_Update.ps1
- Per 14G: 14G_SecureBoot_Cert_Update.ps1
- Seguire le istruzioni visualizzate
- Riavviare il server quando richiesto
Nota: Durante l'esecuzione, i sistemi possono registrare eventi informativi, ad esempio UEFI00074. Questi messaggi sono previsti e non indicano un errore. - Scaricare ed estrarre gli script di aggiornamento di Secure Boot allegati a questo articolo
-
Applicare un BIOS aggiornato contenente i nuovi certificati.
-
Applicare gli aggiornamenti di Windows
- Dopo il riavvio, accertarsi che il sistema sia completamente aggiornato con gli ultimi aggiornamenti cumulativi di Windows disponibili per il sistema operativo installato. Gli aggiornamenti di Windows sono necessari per garantire che gli aggiornamenti del certificato Secure Boot e le revoche vengano completamente applicate e mantenute aggiornate all'interno del sistema operativo.
-
Convalida dello stato del certificato Secure Boot
- Verificare che siano presenti i certificati Microsoft Secure Boot aggiornati.
- Come controllare i certificati di avvio protetto
-
Convalida post-aggiornamento
- Verificare che il sistema si avvii correttamente
- Verificare che Secure Boot rimanga abilitato
Ulteriori considerazioni:
- Gli aggiornamenti del BIOS possono modificare le misurazioni della piattaforma utilizzate da BitLocker e VBS.
- In rari casi, i sistemi con BitLocker abilitato potrebbero richiedere il ripristino dopo gli aggiornamenti del firmware.
- Si consiglia di sospendere BitLocker prima degli aggiornamenti del BIOS e di avvio sicuro per evitare richieste di ripristino.