Domande frequenti sulla transizione all'avvio sicuro

Sistemi operativi interessati:

• Windows

Sommario

• Informazioni generali
• Computer e aggiornamenti Dell
• Comunicazione e orientamento per i clienti
• Impatto e recupero
• Costi e durata

Informazioni generali:

• Che cos è la transizione della chiave di avvio sicuro?
  • Gli attuali certificati Secure Boot di Microsoft 2011 inizieranno a scadere a giugno 2026. Queste verranno sostituite con una nuova catena di certificati per il 2023: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• I certificati 2023 sono necessari per installare Windows 11 25H2?
  • No. I dispositivi possono installare 25H2 utilizzando i certificati 2011.
• Cosa succede alla scadenza del certificato Secure Boot corrente?
  • Il computer è ancora in grado di avviarsi. Tuttavia, con un certificato scaduto, il computer non può ottenere futuri aggiornamenti del bootloader o di Secure Boot.
• Qual è la strategia del doppio certificato di Dell?
  • Per facilitare la transizione, Dell ha iniziato a spedire i certificati del 2011 e del 2023 sulle piattaforme appena lanciate alla fine del 2024 e, entro la fine del 2025, su tutte le piattaforme di supporto spedite dagli stabilimenti Dell. Ciò consente ai clienti enterprise con immagini meno recenti di avviare immagini firmate con uno dei due certificati.
• Qual è la differenza tra il database di avvio protetto attivo e quello predefinito?
  • Il database Active Secure Boot è quello utilizzato dal computer durante l'avvio per verificare l'affidabilità del software. Il database Secure Boot predefinito è un set di backup di chiavi attendibili originali che può essere ripristinato se necessario.
    Insomma:
    • Attivo: Attualmente applicato (comunemente aggiornato da Windows Update)
    • Impostazione predefinita: Versione con ripristino delle impostazioni di fabbrica non utilizzabile a meno che non venga ripristinata (aggiornata utilizzando un aggiornamento del BIOS)
    Nota: È importante che il database Secure Boot predefinito sia aggiornato ai certificati 2023. In caso contrario, se si attiva o disattiva la modalità Expert Key , le variabili attive provenienti da Windows Update potrebbero essere cancellate.
• Come viene aggiornato il database attivo?
  • Il database attivo può essere aggiornato utilizzando Windows Update. In questo modo si evitano interruzioni nelle funzionalità di protezione come BitLocker. Tuttavia, se Windows Update non è un'opzione e il cliente è un utente esperto, il database attivo può essere sovrascritto utilizzando un comando nel BIOS per reimpostare le chiavi. Per ulteriori informazioni, consultare Come aggiornare il database attivo di avvio protetto dal BIOS .
• Come viene aggiornato il database predefinito?
  • Il database predefinito viene aggiornato utilizzando un aggiornamento del BIOS FLASH.
• Cosa succede alla scadenza del certificato Secure Boot corrente?
  • Il computer è ancora in grado di avviarsi. Tuttavia, con un certificato scaduto, il computer non può ottenere aggiornamenti futuri per il bootloader o l'avvio sicuro.

Torna all'inizio

Computer e aggiornamenti Dell:

• Quali computer Dell ricevono gli aggiornamenti del BIOS?
  • Aggiornamenti Dell:
    • Piattaforme consumer e commerciali con fine del ciclo di vita utile (EoSL) dopo il 31 dicembre 2025, spedite dalle fabbriche Dell o sul campo
  • Dell non aggiorna:
    • Piattaforme con EoSL prima del 1° gennaio 2026 Ciò significa che, sebbene Microsoft possa rendere disponibili i nuovi certificati, il BIOS su questi computer meno recenti potrebbe non supportarli o conservarli, soprattutto se Secure Boot viene attivato o le impostazioni predefinite del BIOS vengono reimpostate.
• Cosa sta facendo Dell per mitigare l'impatto sul cliente?
  • Rilascio degli aggiornamenti del BIOS per le piattaforme supportate entro la fine del 2025
  • Coordinamento con Microsoft sugli strumenti di ripristino
  • Pubblicare articoli della Knowledge Base
  • Aggiornamento del supporto di avvio
• Qual è l'impatto sulle schede grafiche di terze parti e sui computer Linux?
  • Microsoft ha creato due nuove CA di terze parti 2023 per sostituire la CA di terze parti in scadenza per il 2011. In altre parole, Microsoft Corporation UEFI CA 2011 è stato biforcato in Microsoft UEFI CA 2023 (per bootloader) e Microsoft Option ROM UEFI CA 2023 (per Option ROM). Inoltre, sono già stati apportati aggiornamenti all'Hardware Device Center (HDC) di Microsoft per supportare la firma dei driver di terze parti che necessitano di queste nuove CA 2023. Anche se i partner possono iniziare a firmare con le nuove CA 2023 nel mese di ottobre 2025, Microsoft e gli OEM continuano a supportare l'attuale CA UEFI 2011 di Microsoft Corporation fino a quando l'ecosistema non avrà tempo sufficiente per migrare alle nuove CA 2023.
• In che modo un cliente enterprise può ottenere un nuovo certificato per il 2023 per la propria flotta di dispositivi corrente?
  • I clienti enterprise hanno la possibilità di consentire a Microsoft di gestire gli aggiornamenti sui propri dispositivi tramite Windows Update (WU) o, in alternativa, di applicare manualmente gli aggiornamenti ai dispositivi della flotta dispositivi. Le linee guida per questi ultimi sono disponibili qui: Dispositivi Windows con aggiornamentigestiti dall'IT, inoltre, Dell invia gli aggiornamenti del BIOS ai dispositivi in servizio, che possono essere utilizzati per popolare il database attivo. Per istruzioni, consultare Come aggiornare il database attivo di avvio protetto dal BIOS.
• Esistono requisiti hardware specifici per ottenere questo certificato?
  • I dispositivi devono supportare l'avvio sicuro ed essere compatibili con gli aggiornamenti del firmware UEFI. Dell convalida le piattaforme internamente e ha pubblicato un elenco dei computer supportati nell'articolo della Knowledge Base di Dell Scadenza del certificato di avvio sicuro Microsoft 2011.

Torna all'inizio

Comunicazione e orientamento per i clienti:

• In che modo Dell comunica tutto questo ai clienti?
  • Dell ha pubblicato una scadenza del certificato di avvio sicuro di Microsoft 2011 che viene aggiornata con l'elenco delle piattaforme pronte per l'aggiornamento. Se necessario, Dell fornirà ulteriori messaggi in linea con le linee guida pubbliche di Microsoft.
• Cosa dovrebbero fare ora i clienti enterprise?
  • Pianificare gli aggiornamenti del BIOS prima dell'implementazione di Windows 25H2 utilizzando l'elenco dei dispositivi Dell gestiti in Microsoft 2011 Scadenza del certificato di avvio sicuro.
  • Se si preferisce gestire i dispositivi internamente (anziché tramite WU), le aziende possono già iniziare ad aggiornare i dispositivi con le nuove CA 2023, in base alle indicazioni riportate qui: Dispositivi Windows con aggiornamentigestiti dall'IT.
  • Segnalare a Dell eventuali problemi di aggiornamento.
• Come fa un cliente a sapere se ha un certificato del 2011 o del 2023?
  • Microsoft prevede di aggiungere notifiche a Windows per gli utenti finali. Inoltre, gli utenti possono eseguire il seguente comando PowerShell per verificare se dispongono delle CA 2011 o 2023 (metodologia disponibile in un prossimo articolo della Knowledge Base).
• Come fa un cliente a sapere se il proprio certificato è in scadenza o sta per scadere?
  • Computer con uno dei tre certificati (CA) in scadenza nel 2026:

    CA 2011	Data di scadenza
    Microsoft Corporation KEK CA 2011	Giugno 24, 2026
    Microsoft Windows Production PCA 2011	Ottobre 19, 2026
    Microsoft Corporation UEFI CA 2011	Giugno 27, 2026

• Se un cliente dispone di un certificato per il 2023, deve agire?
  • No. Se sono presenti entrambi i certificati Windows UEFI CA 2023 e Microsoft Corporation KEK 2K CA 2023, non sono necessarie ulteriori azioni.
• Un cliente può passare a un certificato 2023 se i suoi dispositivi eseguono Windows 10 e hanno o stanno per sottoscrivere un aggiornamento di sicurezza esteso (ESU)?
  • Sì, Microsoft aggiorna i certificati attivi per i dispositivi Windows 11 sul campo e aggiornerà i dispositivi Windows 10 se il dispositivo:
    • Esegue Windows LTSC 2021
    • Ha una licenza ESU attivata

Torna all'inizio

Impatto e recupero:

• Qual è l'impatto di un certificato scaduto?
  • Una volta scaduti i certificati Secure Boot (a partire da giugno 2026), i computer continuano ad avviarsi (con Secure Boot attivato). Tuttavia, il computer non riceve più gli aggiornamenti per i componenti Windows Boot Manager e Secure Boot che utilizzano Windows Update, mettendoli in uno stato di sicurezza compromesso.
• Cosa succede se Secure Boot è disabilitato o attivato su un dispositivo?
  • A volte, la disabilitazione di Secure Boot può cancellare tutte le variabili UEFI attive, il che significa che tutte le CA 2023 già utilizzate sul dispositivo potrebbero essere cancellate (e successivamente sostituite con CA 2011 meno recenti dal firmware predefinito se non è mai stato aggiornato). Sui dispositivi Dell, ciò si verifica se un utente seleziona l'opzione Expert Key Mode nel menu del BIOS. In questo caso, le variabili attive vengono estratte dal firmware predefinito.
    Nota: Se BitLocker è abilitato sul dispositivo, è possibile che venga richiesto di immettere la chiave di ripristino di BitLocker.
• Quali strumenti sono disponibili per il ripristino?
  • Microsoft ha rilasciato uno strumento di ripristino manuale, ma presenta delle limitazioni. Gli strumenti automatizzati per assistere i clienti sono ancora in fase di sviluppo.

Torna all'inizio

Costi e durata:

• È previsto un costo associato ai nuovi certificati?
  • Non vi è alcun costo diretto per la ricezione dei certificati 2023 tramite Windows Update e le CA 2023 sono già disponibili gratuitamente in Istruzioni per la creazione e la gestionedelle chiavi di avvio sicuro di Windows. Tuttavia, gli aggiornamenti del BIOS per i dispositivi fuori servizio possono richiedere un intervento manuale o il coinvolgimento dell'assistenza, con conseguente riduzione dei costi in base ai contratti di supporto.
• Qual è la durata del nuovo certificato?
  • I certificati 2023 sono validi per 15 anni (2038).

Torna all'inizio