Часто задаваемые вопросы о переходе на безопасную загрузку

Затронутые операционные системы:

• Windows

Содержание

• Общие сведения
• Компьютеры и обновления Dell
• Коммуникация и руководство для клиентов
• Воздействие и восстановление
• Затраты и продолжительность

Общая информация:

• Что такое переход ключа безопасной загрузки?
  • Срок действия текущих сертификатов безопасной загрузки Microsoft 2011 истекает в июне 2026 г. Они будут заменены новой цепочкой сертификатов 2023 года: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Требуются ли сертификаты 2023 года для установки Windows 11 25H2?
  • Нет. Устройства могут устанавливать 25H2, используя сертификаты 2011.
• Что происходит, когда истекает срок действия текущего сертификата безопасной загрузки?
  • Компьютер по-прежнему может загрузиться. Однако с сертификатом с истекшим сроком действия компьютер не сможет в будущем получать обновления для загрузчика или безопасной загрузки.
• В чем заключается стратегия Dell по использованию двойного сертификата?
  • Чтобы упростить этот переход, в конце 2024 года Dell начала поставлять сертификаты 2011 и 2023 для вновь запущенных платформ, а к концу 2025 года — для всех поддерживающих платформ, поставляемых с заводов Dell. Это позволяет корпоративным заказчикам с более старыми образами загружать образы, подписанные любым сертификатом.
• В чем разница между активной базой данных безопасной загрузки и базой данных безопасной загрузки по умолчанию?
  • База данных Active Secure Boot — это база данных, которая используется компьютером во время запуска для проверки надежного программного обеспечения. База данных безопасной загрузки по умолчанию представляет собой резервный набор исходных доверенных ключей, которые при необходимости можно восстановить.
    Короче говоря:
    • Активный: Применяется в настоящее время (обычно обновляется из Центра обновления Windows)
    • По умолчанию: Версия для сброса до заводских настроек не используется, пока не будет восстановлена (обновлена с помощью обновления BIOS)
    Примечание. Важно, чтобы база данных безопасной загрузки по умолчанию была обновлена до сертификатов 2023. В противном случае, если включен режим экспертных клавиш , это может привести к очистке активных переменных, поступающих из Центра обновления Windows.
• Как обновляется активная база данных?
  • Активную базу данных можно обновить с помощью Центра обновления Windows. Это позволяет избежать прерывания работы функций безопасности, таких как BitLocker. Однако, если Центр обновления Windows невозможен, а заказчик является опытным пользователем, активную базу данных можно перезаписать с помощью команды в BIOS для сброса ключей. Дополнительные сведения см. в разделе Как обновить активную базу данных безопасной загрузки из BIOS .
• Как обновляется база данных по умолчанию?
  • База данных по умолчанию обновляется с помощью флэш-памяти BIOS.
• Что происходит, когда истекает срок действия текущего сертификата безопасной загрузки?
  • Компьютер по-прежнему может загрузиться. Однако с сертификатом с истекшим сроком действия компьютер не сможет в будущем получать обновления для загрузчика и безопасной загрузки.

В начало

Компьютеры и обновления Dell:

• Какие компьютеры Dell получают обновления BIOS?
  • Обновления Dell:
    • Потребительские и коммерческие платформы с прекращением обслуживания (EoSL) после 31 декабря 2025 г., отгрузка с заводов Dell или в полевых условиях
  • Dell не обновляет:
    • Платформы с EoSL до 01 января 2026 г. Это означает, что, хотя Microsoft может предоставлять новые сертификаты, BIOS на этих старых компьютерах может не поддерживать или не сохранять их, особенно если включена безопасная загрузка или сброшены настройки BIOS по умолчанию.
• Что корпорация Dell делает, чтобы смягчить последствия для заказчиков?
  • Поставьте обновления BIOS для поддерживаемых платформ до конца 2025 г.
  • Координация с Microsoft по средствам восстановления
  • Публикация статей базы знаний
  • Обновление загрузочного носителя
• Как насчет влияния на видеокарты сторонних производителей и компьютеры Linux?
  • Корпорация Майкрософт создала два новых сторонних источника сертификатов на 2023 год взамен стороннего источника сертификатов 2011 года, срок действия которого истекает. Другими словами, корпорация Microsoft UEFI CA 2011 была разделена на Microsoft UEFI CA 2023 (для загрузчиков) и Microsoft Option ROM UEFI CA 2023 (для дополнительных ПЗУ). Кроме того, уже внесены обновления в Центр аппаратных устройств (HDC) Майкрософт для поддержки подписи сторонних драйверов, которым требуются эти новые CA 2023 года. Несмотря на то, что партнеры могут начать подписывать соглашения с новыми CA на 2023 год в октябре 2025 года, Microsoft и OEM-производители продолжают поддерживать существующий UEFI CA 2011 корпорации Microsoft, пока экосистема не получит достаточно времени для перехода на новые CA 2023 года.
• Как корпоративному заказчику получить новый сертификат 2023 года для своего текущего парка устройств?
  • Корпоративные клиенты могут разрешить корпорации Майкрософт управлять обновлениями их устройств через Центр обновления Windows (WU) или, в качестве альтернативы, вручную применять обновления к устройствам парка устройств. Рекомендации по последним доступны здесь: Устройства Windows с обновлениями, управляемыми ИТ-отделом, Кроме того, Dell отправляет обновления BIOS на обслуживаемые устройства, которые можно использовать для заполнения активной базы данных. Для получения инструкций см. статью Обновление активной базы данных безопасной загрузки из BIOS.
• Существуют ли какие-либо особые требования к оборудованию для получения этого сертификата?
  • Устройства должны поддерживать безопасную загрузку и быть совместимы с обновлениями микропрограммы UEFI. Компания Dell выполняет внутреннюю валидацию платформ и опубликовала список поддерживаемых компьютеров в статье базы знаний Dell Истечение срока действия сертификата безопасной загрузки Microsoft 2011.

В начало

Коммуникация и инструкции для заказчиков

• Как Dell сообщает об этом заказчикам?
  • Компания Dell опубликовала документ об истечении срока действия сертификата безопасной загрузки Microsoft 2011 , который обновляется с учетом списка платформ, готовых к обновлению. При необходимости Dell будет предоставлять дополнительные сообщения в соответствии с общественными рекомендациями Microsoft.
• Что делать корпоративным заказчикам в настоящее время?
  • Запланируйте обновление BIOS до развертывания Windows 25H2, используя список устройств Dell, который поддерживается в Microsoft 2011 Secure Boot Certificate Expiration.
  • Если вы предпочитаете управлять устройствами собственными силами (а не через WU), предприятия уже могут начать обновление устройств с помощью новых центров сертификации 2023 года, согласно рекомендациям здесь: Устройства Windows с обновлениями, управляемыми ИТ-отделом.
  • Сообщайте о любых проблемах с обновлением в Dell.
• Как заказчику узнать, есть ли у него сертификат 2011 или 2023 года?
  • Microsoft планирует добавить уведомления в Windows для конечных пользователей. Кроме того, пользователи могут выполнить следующую команду PowerShell, чтобы узнать, есть ли у них CA 2011 или 2023 (методология появится в следующей статье базы знаний).
• Как заказчик узнает, что срок действия его сертификата истек или истекает?
  • Компьютеры с любым из трех сертификатов (CA), срок действия которых истекает в 2026 году:

    2011 CA	Дата истечения срока действия
    Корпорация Microsoft KEK CA 2011	24 июня 2026
    Microsoft Windows Production PCA 2011	19 октября 2026
    Корпорация Microsoft UEFI CA 2011	27 июня 2026

• Если у клиента есть сертификат 2023 года, нужно ли ему действовать?
  • Нет. Если присутствуют оба сертификата, Windows UEFI CA 2023 и Microsoft Corporation KEK 2K CA 2023, дальнейшие действия не требуются.
• Может ли заказчик перейти на сертификат 2023, если на его устройствах установлена ОС Windows 10 и установлены или собираются установить расширенные обновления системы безопасности (ESU)?
  • Да, корпорация Microsoft обновляет активные сертификаты для устройств с ОС Windows 11 на месте и обновит устройства с ОС Windows 10, если они:
    • Работает под управлением Windows LTSC 2021
    • Имеет активированную лицензию ESU

В начало

Последствия и восстановление:

• На что повлияет сертификат с истекшим сроком действия?
  • После истечения срока действия сертификатов безопасной загрузки (начиная с июня 2026 года) компьютеры продолжают загружаться (при включенной безопасной загрузке). Однако компьютер больше не получает обновления для диспетчера загрузки Windows и компонентов безопасной загрузки через Центр обновления Windows, что ставит их в состояние безопасности под угрозой.
• Что произойдет, если на устройстве отключена или включена безопасная загрузка?
  • Иногда отключение безопасной загрузки может привести к очистке всех активных переменных UEFI, а это означает, что все CA 2023, уже используемые на устройстве, могут быть стерты (и позже заменены более старыми CA 2011 из микропрограммы по умолчанию, если она никогда не обновлялась). На устройствах Dell это происходит, если пользователь выбирает параметр Режим экспертных клавиш в меню BIOS. В этом случае активные переменные извлекаются из прошивки по умолчанию.
    Примечание. Если на устройстве включена поддержка BitLocker, может появиться запрос на ввод ключа восстановления BitLocker.
• Какие инструменты доступны для восстановления?
  • Корпорация Майкрософт выпустила инструмент ручного восстановления, но у него есть ограничения. Автоматизированные инструменты для помощи клиентам все еще находятся в разработке.

В начало

Стоимость и продолжительность:

• Нужно ли платить за новые сертификаты?
  • Прямая плата за получение сертификатов 2023 года с помощью Центра обновления Windows не взимается, а ЦС 2023 года уже доступны бесплатно в руководстве по созданию ключей безопасной загрузки Windows и управлению ими. Однако обновление BIOS для вышедших из строя устройств может потребовать ручного вмешательства или привлечения сервисного обслуживания, что может потребовать дополнительных затрат в зависимости от соглашений о поддержке.
• Каков срок действия нового сертификата?
  • Сертификаты 2023 года действительны в течение 15 лет (2038).

В начало