Ofte stillede spørgsmål om overgangen til sikker start

Påvirkede operativsystemer:

• Windows

Indholdsfortegnelse

• Generelle oplysninger
• Dell-computere og -opdateringer
• Kommunikation og kundevejledning
• Virkning og genopretning
• Omkostninger og varighed

Generelle oplysninger:

• Hvad er overgangen til Secure Boot Key?
  • De nuværende Microsoft 2011 Secure Boot-certifikater udløber i juni 2026. Disse vil blive erstattet af en ny 2023-certifikatkæde: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Kræves 2023-certifikaterne for at installere Windows 11 25H2?
  • Nej. Enheder kan installere 25H2 ved hjælp af 2011-certifikaterne.
• Hvad sker der, når det aktuelle Secure Boot-certifikat udløber?
  • Computeren er stadig i stand til at starte. Men med et udløbet certifikat kan computeren ikke hente fremtidige opdateringer til bootloaderen eller Secure Boot.
• Hvad er Dells strategi for dobbelte certifikater?
  • For at lette overgangen begyndte Dell at levere både 2011- og 2023-certifikater på nyligt lancerede platforme i slutningen af 2024 og, ved udgangen af 2025, på alle eksisterende platforme, der leveres fra Dells fabrikker. Dette gør det muligt for virksomhedskunder med ældre afbildninger at starte afbildninger, der er signeret med begge certifikater.
• Hvad er forskellen mellem Active og Default Secure Boot Database?
  • Active Secure Boot-databasen er den, computeren bruger under opstart til at bekræfte pålidelig software. Default Secure Boot-databasen er et backupsæt med originale nøgler, der er tillid til, og som kan gendannes, hvis det er nødvendigt.
    Kort sagt:
    • Aktiv: Håndhæves i øjeblikket (opdateres ofte fra Windows Update)
    • Standard: Versionen til nulstilling af fabriksindstillinger bruges ikke, medmindre den gendannes (opdateres ved hjælp af en BIOS-opdatering)
    Bemærk: Det er vigtigt, at Secure Boot-standarddatabasen opdateres til 2023-certifikaterne. Ellers, hvis ekspertnøgletilstand er skiftet, kan det slette de aktive variabler, der kommer fra Windows Update.
• Hvordan opdateres den aktive database?
  • Den aktive database kan opdateres ved hjælp af Windows Update. På den måde undgår du afbrydelser i sikkerhedsfunktioner som BitLocker. Men hvis Windows Update ikke er en mulighed, og kunden er en erfaren bruger, kan den aktive database overskrives ved hjælp af en kommando i BIOS til nulstilling af nøglerne. Se Sådan opdaterer du Secure Boot Active Database fra BIOS for at få flere oplysninger.
• Hvordan opdateres standarddatabasen?
  • Standarddatabasen opdateres ved hjælp af en BIOS-flash.
• Hvad sker der, når det aktuelle Secure Boot-certifikat udløber?
  • Computeren er stadig i stand til at starte. Men med et udløbet certifikat kan computeren ikke hente fremtidige opdateringer til bootloaderen eller sikker start.

Tilbage til toppen

Dell-computere og -opdateringer:

• Hvilke Dell-computere modtager BIOS-opdateringer?
  • Dell-opdateringer:
    • Forbruger- og kommercielle platforme med udløb af levetid (EoSL) efter 31. december 2025, forsendelse fra Dell-fabrikker eller i marken
  • Dell opdaterer ikke:
    • Platforme med en EoSL før 1. januar 2026 Det betyder, at selvom Microsoft kan gøre de nye certifikater tilgængelige, understøtter eller bevarer BIOS på disse ældre computere dem muligvis ikke, især hvis Secure Boot er slået til/fra, eller BIOS-standardindstillingerne nulstilles.
• Hvad gør Dell for at mindske påvirkningen fra kunderne?
  • Levere BIOS-opdateringer til understøttede platforme inden udgangen af 2025
  • Koordiner med Microsoft om genoprettelsesværktøjer
  • Udgive Knowledge Base-artikler
  • Opdater medie, der kan startes fra
• Hvad med indvirkningen på tredjeparts grafikkort og Linux-computere?
  • Microsoft har oprettet to nye 2023-tredjepartsnøglecentre til erstatning for tredjepartsnøglecenteret, der udløber i 2011. Med andre ord er Microsoft Corporation UEFI CA 2011 blevet opdelt i Microsoft UEFI CA 2023 (til bootloadere) og Microsoft Option ROM UEFI CA 2023 (til Option ROM'er). Og der er allerede foretaget opdateringer til Microsofts Hardware Device Center (HDC) for at understøtte signering af tredjepartsdrivere, der har brug for disse nye 2023-CA'er. Selvom partnere kan begynde at underskrive med de nye 2023-nøglecentre i oktober 2025, fortsætter Microsoft og OEM'er med at understøtte den eksisterende Microsoft Corporation UEFI CA 2011, indtil økosystemet har haft tilstrækkelig tid til at migrere til de nye 2023-nøglecentre.
• Hvordan opnår en virksomhedskunde et nyt 2023-certifikat på sin nuværende flåde af enheder?
  • Virksomhedskunder har mulighed for at give Microsoft tilladelse til at administrere opdateringerne på deres enheder via Windows Update (WU) eller alternativt manuelt anvende opdateringerne på selve flådeenhederne. Vejledning til sidstnævnte findes her: Windows-enheder med it-administrerede opdateringerDerudover skubber Dell BIOS-opdateringer til ibrugtagne enheder, som kan bruges til at udfylde den aktive database. Se Sådan opdaterer du Secure Boot Active Database fra BIOS for at få instruktioner.
• Er der nogen specifikke hardwarekrav for at få dette certifikat?
  • Enheder skal understøtte sikker opstart og være kompatible med UEFI-firmwareopdateringer. Dell validerer platforme internt og har udgivet en liste over understøttede computere i Dell Knowledge Base-artiklen Microsoft 2011 Secure Boot Certificate Expiration.

Tilbage til toppen

Kommunikation og kundevejledning:

• Hvordan kommunikerer Dell dette til kunderne?
  • Dell har udgivet et Microsoft 2011 Secure Boot Certificate Expire , der opdateres med Dells liste over platforme, der er klar til opdatering. Dell vil levere yderligere meddelelser i overensstemmelse med Microsofts offentlige vejledning efter behov.
• Hvad skal virksomhedskunder gøre nu?
  • Planlæg BIOS-opdateringer før Windows 25H2-udrulningen ved hjælp af listen over Dell-enheder, der vedligeholdes i Microsoft 2011 Secure Boot Certificate Expiration.
  • Hvis virksomheder foretrækker at administrere enheder internt (snarere end gennem WU), kan de allerede begynde at opdatere enheder med de nye 2023-CA'er i henhold til vejledningen her: Windows-enheder med it-administrerede opdateringer.
  • Rapportér eventuelle opdateringsproblemer til Dell.
• Hvordan ved en kunde, om de har et 2011- eller 2023-certifikat?
  • Microsoft planlægger at tilføje meddelelser til Windows til slutbrugere. Brugere kan også køre følgende PowerShell-kommando for at se, om de har 2011- eller 2023-CA'erne (metodologi, der kommer i en fremtidig Knowledge Base-artikel).
• Hvordan ved en kunde, om vedkommendes certifikat udløber eller er ved at udløbe?
  • Computere med et af de tre certifikater (CA'er), der udløber i 2026:

    2011 CA'er	Udløbsdato
    Microsoft Corporation KEK CA 2011	juni 24, 2026
    Microsoft Windows-produktion PCA 2011	Oktober 19, 2026
    Microsoft Corporation UEFI CA 2011	juni 27, 2026

• Hvis en kunde har et 2023-certifikat, skal de så handle?
  • Nej. Hvis både Windows UEFI CA 2023- og Microsoft Corporation KEK 2K CA 2023-certifikaterne er til stede, kræves der ingen yderligere handling.
• Kan en kunde skifte til et 2023-certifikat, hvis vedkommendes enheder kører Windows 10 og har eller er ved at udfase en udvidet sikkerhedsopdatering (ESU)?
  • Ja, Microsoft opdaterer aktive certifikater til Windows 11-enheder i marken og opdaterer Windows 10-enheder, hvis enheden:
    • Kører Windows LTSC 2021
    • Har en aktiveret ESU-licens

Tilbage til toppen

Virkning og genopretning:

• Hvad er virkningen af et udløbet certifikat?
  • Når Secure Boot-certifikater udløber (starter juni 2026), fortsætter computere med at starte (med Secure Boot slået til). Computeren modtager dog ikke længere opdateringer til Windows Boot Manager- og Secure Boot-komponenterne ved hjælp af Windows Update, hvilket sætter dem i en kompromitteret sikkerhedstilstand.
• Hvad sker der, hvis Secure Boot er deaktiveret eller skiftet på en enhed?
  • Nogle gange kan deaktivering af Secure Boot slette alle aktive UEFI-variabler, hvilket betyder, at alle 2023-CA'er, der allerede bruges på enheden, kan blive udslettet (og senere erstattet med ældre 2011-CA'er fra standardfirmwaren, hvis den aldrig blev opdateret). På Dell-enheder sker dette, hvis en bruger vælger indstillingen Expert Key Mode i BIOS-menuen. I dette tilfælde trækkes de aktive variabler fra standardfirmwaren.
    Bemærk: Hvis BitLocker er aktiveret på enheden, bliver du muligvis bedt om at angive BitLocker-genoprettelsesnøglen.
• Hvilke værktøjer er tilgængelige til genopretning?
  • Microsoft har udgivet et manuelt gendannelsesværktøj, men det har begrænsninger. Automatiserede værktøjer til at hjælpe kunderne udvikles stadig.

Tilbage til toppen

Omkostninger og varighed:

• Er der en omkostning forbundet med de nye certifikater?
  • Der er ingen direkte omkostninger ved at modtage 2023-certifikaterne ved hjælp af Windows Update, og 2023-CA'erne er allerede tilgængelige gratis på Windows Secure Boot Key Creation and Management Guidance. BIOS-opdateringer til enheder, der ikke er i brug, kan dog kræve manuel indgriben eller serviceengagement, hvilket kan medføre omkostninger afhængigt af supportaftalerne.
• Hvad er varigheden af det nye certifikat?
  • 2023-certifikaterne er gyldige i 15 år (2038).

Tilbage til toppen