PowerEdge: Pokyny k aktualizaci systému BIOS serveru pro certifikáty Microsoft Secure Boot
Shrnutí: Tento článek obsahuje pokyny pro servery Dell PowerEdge, které vyžadují nápravu kvůli vypršení platnosti certifikátu Microsoft Secure Boot (červen 2026).
Pokyny
Platí pro systémy založené na rozhraní UEFI s povolenou funkcí Secure Boot a starších certifikátech Secure Boot, kterých se týká vypršení platnosti certifikátu společnosti Microsoft Secure Boot (červen 2026). Operační systém primárně spravuje aktualizace certifikátů bezpečného spouštění a zákazníci by měli zajistit, aby své systémy aktualizovali pomocí podporovaných aktualizačních mechanismů společnosti Microsoft.
Vztahuje se na operační systémy Windows Server ovlivněné touto změnou, definované společností Microsoft, běžící na fyzických systémech s firmwarem spravovaným zákazníkem a konfigurací zabezpečeného spouštění.
Nevztahuje se na cloudové platformy nebo zařízení, kde poskytovatel spravuje firmware a klíče pro zabezpečené spouštění, jako je Microsoft Azure, AX nebo APEX-Managed Cloud.
Systémy s již verzí systému BIOS obsahující aktualizované certifikáty bezpečného spouštění nemusí tento postup vyžadovat.
Cílové servery a operační systémy
Tyto pokyny se vztahují na:
- Servery Dell PowerEdge, které podporují režim spouštění UEFI a zabezpečené spouštění
- Systémy s podporovanými operačními systémy Windows Server, na které se vztahuje konec platnosti certifikátu bezpečného spouštění Microsoft (červen 2026), jak je definováno společností Microsoft. V případě jiných operačních systémů než Microsoft Windows lze pro přidání nových certifikátů postupovat podle běžného procesu aktualizace systému BIOS.
- Fyzické servery, včetně 14., 15. a 16. generace
U virtuálních počítačů (založených na rozhraní UEFI) postupujte podle pokynů dodavatele hypervisoru.
Microsoft Hyper-V: Aktualizace certifikátů bezpečného spouštění: Pokyny pro odborníky a organizace IT
VMware ESXi: Konce platnosti certifikátů bezpečného spouštění a selhání aktualizací ve virtuálních počítačích VMware
Generace serverů a identifikátory systému BIOS
Níže uvedené verze systému BIOS představují minimální verze, které obsahují aktualizované certifikáty Microsoft Secure Boot. Nové certifikáty pro bezpečné spouštění obsahují také novější verze systému BIOS, než jsou ty níže uvedené.
| Platforma | Verze systému BIOS |
|---|---|
| R260, R360, T160, T360 | 2.4.0 |
| R660, R760, R860, R760XD2, R760XA, XE8640, XE9680, HS5620, XR7620, R760XS, XR5610, XR8610T, XR8620T, R960, T560, MX760C, XC760, VS-760, XC660, XC760XD2, VE660, VP-760, XC660XS, XC760XA, VP-760XA, R660xs, MC-760 | 2.8.2 |
| R6625, R7625 | 1.15.3 |
| C6615 | 1.10.3 |
| R6615, R7615 | 1.15.3 |
| R750, R750xa, R750xs, R650, R650xs, R550, R450, C6520, MX750c, T550 | 1.19.2 |
| XR4510c, XR4520c | 1.21.1 |
| R350, R250, T350, T150 | 1.13.0 |
| R6515, R7515 | 2.22.0 |
| R6525, R7525 | 2.22.0 |
| R7425 | 1.23.0 |
| R7415, R6415 | 1.23.0 |
| R740, R740XD, R640, R940 | 2.25.0 |
| C4140 | 2.25.0 |
| R840, R940XA | 2.25.0 |
| T640 | 2.25.0 |
| R540, R440, T440 | 2.25.0 |
| R740XD2 | 2.25.0 |
| MX740C | 2.25.0 |
| MX840 | 2.25.0 |
| M640, FC640, M640(VRTX) | 2.25.0 |
| C6420 | 2.25.0 |
| XE7420, XE7440 | 2.25.0 |
| XE2420 | 2.25.0 |
| R340, T340, R240, T140 | 2.21.0 |
Důležité
Než budete pokračovat níže uvedenými kroky, ověřte, zda je funkce Secure Boot povolena a nakonfigurována pomocí výchozích (standardních) zásad Secure Boot.
Systémy, které používají vlastní zásady bezpečného spouštění nebo zásady bezpečného spouštění třetích stran, mohou před použitím aktualizací certifikátů bezpečného spouštění vyžadovat další kontrolu.
Pokud není bezpečné spouštění povoleno, postupujte podle tradičního procesu aktualizace systému BIOS. Níže uvedené kroky nejsou vyžadovány.
Doporučený postup
-
Ověřte konfiguraci systému
- Pokud je povolena funkce BitLocker, před pokračováním dočasně pozastavte ochranu BitLocker, abyste se vyhnuli výzvám k obnovení po restartování.
- V případě potřeby dočasně nastavte Zásady spouštění PowerShellu na Bez omezení nebo Obcházet, aby bylo možné spuštění skriptu. (příkaz Set-ExecutionPolicy)
- U clusterů s podporou převzetí služeb při selhání (S2D, připojená síť SAN) – přidáním příkazu "suspend-ClusterNode -Drain" pozastavíte uzel a přesunete clusterové role do jiného uzlu.
- Systémový firmware (BIOS) je k dispozici v podporovaném a stabilním vydání (například produkční verze systému BIOS pro danou platformu). Systémy, ve kterých již běží verze systému BIOS s aktualizovanými certifikáty bezpečného spouštění, tento postup nevyžadují.
-
Spuštění skriptů aktualizace certifikátu Microsoft Secure Boot 2023
- Stáhněte a rozbalte aktualizační skripty Secure Boot připojené k tomuto článku
- Pro 16G – Zkopírujte 16G_Secure_Boot_Certificates_pkb.zip a extrahujte do libovolné složky.
- Pro 15G – zkopírujte 15G_Secure_Boot_Certificates_pkb.zip a rozbalte do libovolné složky.
- Pro 14G – zkopírujte 14G_Secure_Boot_Certificates_pkb.zip a rozbalte do libovolné složky.
-
Spusťte skripty pomocí příkazového řádku se zvýšenými oprávněními (správce), jak je zdokumentováno společností Microsoft
- Pro 16G: 16G_SecureBoot_Cert_Update.ps1
- Pro 15G: 15G_SecureBoot_Cert_Update.ps1
- Pro 14G: 14G_SecureBoot_Cert_Update.ps1
- Podle pokynů na obrazovce
- Po zobrazení výzvy restartujte server.
Poznámka: Během spuštění mohou systémy protokolovat informační události, jako je UEFI00074. Tyto zprávy jsou očekávané a neznamenají selhání. - Stáhněte a rozbalte aktualizační skripty Secure Boot připojené k tomuto článku
-
Použijte aktualizovaný systém BIOS, který obsahuje nové certifikáty.
-
Použít aktualizace systému Windows
- Po restartování se ujistěte, že je systém plně aktualizován na nejnovější dostupné kumulativní aktualizace systému Windows pro nainstalovaný operační systém. Aktualizace systému Windows jsou vyžadovány, aby bylo zajištěno, že aktualizace certifikátů bezpečného spouštění a odvolání budou plně aplikovány a udržovány aktuální v operačním systému.
-
Ověření stavu certifikátu bezpečného spouštění
- Zkontrolujte, zda jsou k dispozici aktualizované certifikáty Microsoft pro bezpečné spouštění.
- Jak zkontrolovat certifikáty Secure Boot
-
Ověření po aktualizaci
- Potvrďte úspěšné spuštění systému
- Ověřte, zda je funkce Bezpečné spouštění nadále povolena
Další informace:
- Aktualizace systému BIOS mohou změnit měření platformy používané nástrojem BitLocker a VBS.
- Ve vzácných případech mohou systémy s povoleným nástrojem BitLocker po aktualizaci firmwaru požádat o obnovení.
- Před aktualizací systému BIOS a funkce Secure Boot se doporučuje pozastavit nástroj BitLocker, aby nedocházelo k výzvám k obnovení.