Поширені запитання про безпечне переходження завантаження

Операційні системи, яких це стосується:

• Вікна

Зміст

• Загальна інформація
• Комп'ютери та оновлення Dell
• Комунікація та інструктаж для клієнтів
• Вплив і відновлення
• Вартість і тривалість

Загальна інформація:

• Що таке перехід між клавішами безпечного завантаження?
  • Термін дії поточних сертифікатів Microsoft 2011 Secure Boot починає закінчуватися в червні 2026 року. Вони будуть замінені новою мережею сертифікатів 2023 року: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Чи потрібні сертифікати 2023 року для встановлення Windows 11 25H2?
  • Ні. Пристрої можуть встановлювати 25H2, використовуючи сертифікати 2011 року.
• Що станеться після завершення терміну дії поточного сертифіката Secure Boot?
  • Комп'ютер все ще здатний завантажуватися. Однак із простроченим сертифікатом комп'ютер не може отримувати майбутні оновлення завантажувача або Secure Boot.
• Яка стратегія подвійного сертифіката Dell?
  • Щоб полегшити перехід, наприкінці 2024 року Dell почала поставляти сертифікати 2011 і 2023 років на нещодавно запущені платформи, а до кінця 2025 року — на всі стійкі платформи, що поставляються із заводів Dell. Це дає змогу корпоративним клієнтам зі старішими зображеннями завантажувати зображення, підписані будь-яким сертифікатом.
• У чому різниця між активною та стандартною базою даних безпечного завантаження?
  • База даних Active Secure Boot – це база даних, яка використовується комп'ютером під час запуску для перевірки надійного програмного забезпечення. База даних Secure Boot за замовчуванням — це резервний набір оригінальних довірених ключів, які можна відновити за потреби.
    Якщо коротко:
    • Активні: Наразі застосовано (зазвичай оновлюється зі служби Windows Update)
    • Типове значення: Версія для скидання до заводських налаштувань не використовується, якщо її не відновити (оновлено за допомогою оновлення BIOS)
    Примітка: Важливо, щоб база даних Secure Boot за замовчуванням була оновлена до сертифікатів 2023 року. В іншому випадку, якщо режим ключа експерта ввімкнено, він може видалити активні змінні, що надходять зі служби Windows Update.
• Як оновлюється база даних Active?
  • Активну базу даних можна оновити за допомогою служби Windows Update. Це дозволяє уникнути збоїв у роботі функцій безпеки, таких як BitLocker. Однак, якщо Windows Update не є варіантом, а клієнт є досвідченим користувачем, активну базу даних можна перезаписати за допомогою команди в BIOS для скидання ключів, зверніться до розділу «Як оновити активну базу даних безпечного завантаження з BIOS » для отримання додаткової інформації.
• Як оновлюється база даних за замовчуванням?
  • База даних за замовчуванням оновлюється за допомогою флеш-пам'яті BIOS.
• Що станеться після завершення терміну дії поточного сертифіката Secure Boot?
  • Комп'ютер все ще здатний завантажуватися. Однак із простроченим сертифікатом комп'ютер не може отримувати майбутні оновлення завантажувача або безпечного завантаження.

На початок

Комп'ютери Dell та оновлення:

• На які комп'ютери Dell оновлюються BIOS?
  • Оновлення Dell:
    • Споживчі та комерційні платформи з кінцевим терміном служби (EoSL) після 31 грудня 2025 року, доставка з заводів Dell або в польових умовах
  • Dell не оновлює:
    • Платформи з EoSL до 01 січня 2026 р. Це означає, що, хоча Microsoft може надати нові сертифікати, BIOS на цих старих комп'ютерах може не підтримувати або не зберігати їх, особливо якщо ввімкнено перемикач Secure Boot або скинуто стандартні параметри BIOS.
• Що робить Dell для пом'якшення впливу на клієнтів?
  • Надішліть оновлення BIOS для підтримуваних платформ до кінця 2025 року
  • Координація з Microsoft щодо інструментів для відновлення
  • Публікація статей Бази знань
  • Оновіть завантажувальний носій
• А як щодо впливу на відеокарти сторонніх виробників і комп'ютери Linux?
  • Корпорація Майкрософт створила два нові сторонні центри сертифікації 2023 року замість сторонніх ЦС 2011 року, термін дії яких закінчується. Іншими словами, Microsoft Corporation UEFI CA 2011 була розділена на Microsoft UEFI CA 2023 (для завантажувачів) та Microsoft Option ROM UEFI CA 2023 (для Option ROM). Крім того, у Центрі апаратних пристроїв Microsoft (HDC) вже внесено оновлення для підтримки підписання драйверів сторонніх розробників, яким потрібні ці нові центри сертифікації 2023 року. Хоча партнери можуть почати підписувати нові центри сертифікації 2023 року в жовтні 2025 року, Microsoft і OEM-виробники продовжують підтримувати існуючу корпорацію Microsoft UEFI CA 2011, доки екосистема не матиме достатньо часу для переходу на нові центри сертифікації 2023 року.
• Як корпоративний клієнт може отримати новий сертифікат 2023 року на свій поточний парк пристроїв?
  • Корпоративні клієнти можуть дозволити корпорації Майкрософт керувати оновленнями на своїх пристроях за допомогою Windows Update (WU) або, як альтернатива, вручну застосовувати оновлення до пристроїв автопарку. Інструкції для останніх доступні тут: Пристрої Windows з оновленнями, керованими IT, крім того, Dell надсилає оновлення BIOS на пристрої, що знаходяться в експлуатації, які можна використовувати для заповнення активної бази даних. Для отримання інструкцій зверніться до статті Як оновити активну базу даних із BIOS із безпечного завантаження.
• Чи існують якісь специфічні вимоги до обладнання для отримання цього сертифікату?
  • Пристрої повинні підтримувати функцію Secure Boot і бути сумісними з оновленнями прошивки UEFI. Dell проводить внутрішню перевірку платформ і опублікувала список підтримуваних комп'ютерів у статті Dell Knowledge Base Microsoft 2011 Secure Boot Certificate Expiration.

На початок

Комунікація та керівництво клієнтами:

• Як Dell повідомляє про це клієнтам?
  • Dell опублікувала сертифікат безпечного завантаження Microsoft 2011 Secure Boot Extiration , який оновлюється списком платформ Dell, готових до оновлення. Dell надаватиме додаткові повідомлення відповідно до загальнодоступних вказівок Microsoft, якщо це необхідно.
• Що тепер робити корпоративним клієнтам?
  • Заплануйте оновлення BIOS до розгортання Windows 25H2, використовуючи список пристроїв Dell, який підтримується в Microsoft 2011 Secure Boot Certificate Expiration.
  • Якщо ви віддаєте перевагу управлінню пристроями власними силами (а не через WU), підприємства вже можуть почати оновлювати пристрої з новими центрами сертифікації 2023 року, згідно з інструкціями тут: Пристрої Windows з оновленнями, керованими IT.
  • Повідомляйте про будь-які проблеми з оновленням у Dell.
• Як клієнт дізнається, чи є у нього сертифікат 2011 чи 2023 року?
  • Microsoft планує додати сповіщення до Windows для кінцевих користувачів. Крім того, користувачі можуть виконати наступну команду PowerShell, щоб побачити, чи мають вони центри сертифікації 2011 або 2023 років (методологія з'явиться в майбутній статті бази знань).
• Як клієнт дізнається, що термін дії його сертифіката закінчився або закінчується?
  • Комп'ютери з будь-яким із трьох сертифікатів (CA), термін дії яких закінчується у 2026 році:

    2011 ЦС	Термін придатності
    Корпорація Microsoft KEK CA 2011	24 Червня, 2026
    Microsoft Windows Production PCA 2011	19 Жовтня, 2026
    Microsoft Corporation UEFI CA 2011	27 Червня, 2026

• Якщо у замовника є сертифікат 2023 року, чи потрібно діяти?
  • Ні. Якщо присутні сертифікати Windows UEFI CA 2023 і Microsoft Corporation KEK 2K CA 2023, подальші дії не потрібні.
• Чи може клієнт перейти на сертифікат 2023 року, якщо його пристрої працюють під керуванням Windows 10 і мають або збираються видалити розширені оновлення системи безпеки (ESU)?
  • Так, корпорація Майкрософт оновлює активні сертифікати для пристроїв Windows 11 у польових умовах і оновить пристрої Windows 10, якщо пристрій:
    • Працює під керуванням Windows LTSC 2021
    • Має активовану ліцензію ESU

На початок

Вплив і відновлення:

• На що впливає прострочений сертифікат?
  • Після завершення терміну дії сертифікатів Secure Boot (починаючи з червня 2026 року) комп'ютери продовжують завантажуватися (з увімкненим функцією Secure Boot). Однак комп'ютер більше не отримує оновлень для компонентів Windows Boot Manager і Secure Boot Manager за допомогою Windows Update, що переводить їх у скомпрометований стан безпеки.
• Що станеться, якщо функцію безпечного завантаження вимкнути або перемкнути на пристрої?
  • Іноді вимкнення Secure Boot може видалити всі активні змінні UEFI, що означає, що будь-які ЦС 2023, які вже використовуються на пристрої, можуть бути видалені (а пізніше замінені старішими ЦС 2011 із прошивки за замовчуванням, якщо вони ніколи не оновлювалися). На пристроях Dell це відбувається, якщо користувач вибирає опцію Expert Key Mode в меню BIOS. У цьому випадку активні змінні підтягуються з прошивки за замовчуванням.
    Примітка: Якщо на пристрої ввімкнуто засіб BitLocker, може з'явитися запит на введення ключа відновлення BitLocker.
• Які інструменти доступні для відновлення?
  • Корпорація Майкрософт випустила інструмент для ручного відновлення, але він має обмеження. Автоматизовані інструменти для допомоги клієнтам все ще розробляються.

На початок

Вартість і тривалість:

• Чи є вартість, пов'язана з новими сертифікатами?
  • Отримання сертифікатів 2023 року за допомогою Windows Update не стягується без прямих витрат, а центри сертифікації 2023 року вже доступні безкоштовно в розділі «Створення та керуванняключем безпечного завантаження» Windows . Однак оновлення BIOS для пристроїв, що вийшли з ладу, можуть вимагати ручного втручання або залучення служби, що може спричинити витрати залежно від угод про підтримку.
• Який термін дії нового сертифікату?
  • Сертифікати 2023 року дійсні протягом 15 років (2038).

На початок