Vanlige spørsmål om overgang til sikker oppstart

Berørte operativsystemer:

• Windows

Innholdsfortegnelse

• Generell informasjon
• Dell-datamaskiner og -oppdateringer
• Kommunikasjon og kundeveiledning
• Påvirkning og gjenoppretting
• Kostnader og varighet

Generell informasjon:

• Hva er overgangen til Secure Boot Key?
  • De gjeldende sertifikatene for sikker oppstart av Microsoft 2011 utløper i juni 2026. Disse erstattes med ny sertifikatkjede for 2023: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Er 2023-sertifikatene påkrevd for å installere Windows 11 25H2?
  • Nei. Enheter kan installere 25H2 ved hjelp av 2011-sertifikatene.
• Hva skjer når det gjeldende sertifikatet for sikker oppstart utløper?
  • Datamaskinen kan fortsatt starte opp. Med et utløpt sertifikat kan imidlertid ikke datamaskinen få fremtidige oppdateringer til oppstartslasteren eller sikker oppstart.
• Hva er Dells strategi for dobbeltsertifikat?
  • For å lette overgangen begynte Dell å sende sertifikater for både 2011 og 2023 på nylig lanserte plattformer sent i 2024, og innen utgangen av 2025 på alle opprettholdende plattformer som leveres fra Dells fabrikker. Dette gjør det mulig for bedriftskunder med eldre imager å starte opp imager som er signert med et av sertifikatene.
• Hva er forskjellen mellom aktiv og standard sikker oppstartsdatabase?
  • Databasen Active Secure Boot er den datamaskinen bruker under oppstart til å bekrefte klarert programvare. Standard sikker oppstart-database er et sikkerhetskopisett med opprinnelige klarerte nøkler som kan gjenopprettes om nødvendig.
    Kort oppsummert:
    • Aktiv: Currently enforced (ofte oppdatert fra Windows Update)
    • Standard: Tilbakestilt fabrikkversjon brukes ikke med mindre den gjenopprettes (oppdateres ved hjelp av en BIOS-oppdatering)
    Merk: Det er viktig at standard database for sikker oppstart oppdateres til 2023-sertifikatene. Ellers, hvis eksperttastmodus er vekslet, kan det slette de aktive variablene som kommer fra Windows Update.
• Hvordan oppdateres den aktive databasen?
  • Den aktive databasen kan oppdateres ved hjelp av Windows Update. Dette unngår avbrudd i sikkerhetsfunksjoner som BitLocker. Hvis Windows Update imidlertid ikke er et alternativ og kunden er en ekspertbruker, kan den aktive databasen overskrives ved hjelp av en kommando i BIOS for å tilbakestille nøklene. Du finner mer informasjon her : Slik oppdaterer du sikker oppstart av aktiv database fra BIOS .
• Hvordan oppdateres standarddatabasen?
  • Standarddatabasen oppdateres ved hjelp av BIOS FLASH.
• Hva skjer når det gjeldende sertifikatet for sikker oppstart utløper?
  • Datamaskinen kan fortsatt starte opp. Med et utløpt sertifikat kan datamaskinen imidlertid ikke få fremtidige oppdateringer til oppstartslasteren eller sikker oppstart.

Tilbake til toppen

Dell-datamaskiner og -oppdateringer:

• Hvilke Dell-datamaskiner mottar BIOS-oppdateringer?
  • Dell-oppdateringer:
    • Forbrukerplattformer og kommersielle plattformer med avvikling av levetid (EoSL) etter 31. desember 2025, forsendelse fra Dells fabrikker eller i felten
  • Dell oppdaterer ikke:
    • Plattformer med EoSL før 1. januar 2026 Dette betyr at selv om Microsoft kan gjøre de nye sertifikatene tilgjengelige, kan det hende at BIOS på disse eldre datamaskinene ikke støtter eller beholder dem, spesielt hvis sikker oppstart er slått på eller BIOS-standardene tilbakestilles.
• Hva gjør Dell for å redusere kundepåvirkningen?
  • Levere BIOS-oppdateringer for støttede plattformer innen utgangen av 2025
  • Koordinere med Microsoft om gjenopprettingsverktøy
  • Publisere kunnskapsbaseartikler
  • Oppdatere oppstartbare medier
• Hva med innvirkningen på tredjeparts grafikkort og Linux-datamaskiner?
  • Microsoft har opprettet to nye tredjeparts sertifiseringsinstanser fra 2023 for å erstatte tredjeparts sertifiseringsinstanser som utløper 2011. Med andre ord er Microsoft Corporation UEFI CA 2011 delt inn i Microsoft UEFI CA 2023 (for oppstartslastere) og Microsoft Option ROM UEFI CA 2023 (for Option ROM-er). Og oppdateringer er allerede gjort til Microsofts Hardware Device Center (HDC) for å støtte signering av tredjepartsdrivere som trenger disse nye 2023-sertifiseringsinstansene. Selv om partnere kan begynne å signere med de nye 2023-sertifiseringsinstansene i oktober 2025, fortsetter Microsoft og OEM-er å støtte den eksisterende Microsoft Corporation UEFI CA 2011 til økosystemet har hatt tilstrekkelig tid til å migrere over til de nye 2023-sertifiseringsinstansene.
• Hvordan får en bedriftskunde et nytt 2023-sertifikat på sin nåværende flåte av enheter?
  • Bedriftskunder har muligheten til å la Microsoft administrere oppdateringene til enhetene sine via Windows Update (WU), eller alternativt manuelt bruke oppdateringene på flåteenhetene selv. Veiledning for sistnevnte er tilgjengelig her: Windows-enheter med IT-administrerte oppdateringer, i tillegg skyver Dell BIOS-oppdateringer til enheter i tjenesten, som kan brukes til å fylle ut den aktive databasen. Hvis du vil ha instruksjoner, kan du se Slik oppdaterer du sikker oppstart av aktiv database fra BIOS.
• Er det noen spesifikke maskinvarekrav for å få dette sertifikatet?
  • Enheter må støtte sikker oppstart og være kompatible med UEFI-fastvareoppdateringer. Dell validerer plattformer internt og har publisert en liste over støttede datamaskiner i Dells kunnskapsartikkel Utløpsdato for sertifikat for sikker oppstart for Microsoft 2011.

Tilbake til toppen

Kommunikasjon og kundeveiledning:

• Hvordan kommuniserer Dell dette til kundene?
  • Dell har publisert et utløpsdato for sikker oppstart for Microsoft 2011 som er oppdatert med Dells liste over plattformer som er klare for oppdatering. Dell vil levere tilleggsmeldinger i samsvar med Microsofts offentlige veiledning etter behov.
• Hva bør bedriftskunder gjøre nå?
  • Planlegg for BIOS-oppdateringer før utrullingen av Windows 25H2 ved hjelp av listen over Dell-enheter som vedlikeholdes i utløpsdatoen for sertifikat for sikker oppstart i Microsoft 2011.
  • Hvis bedrifter foretrekker å administrere enheter internt (i stedet for via WU), kan bedrifter allerede begynne å oppdatere enheter med de nye 2023-sertifiseringsinstansene, i henhold til veiledningen her: Windows-enheter med IT-administrerte oppdateringer.
  • Rapporter eventuelle oppdateringsproblemer til Dell.
• Hvordan vet en kunde om de har et sertifikat fra 2011 eller 2023?
  • Microsoft planlegger å legge til varsler i Windows for sluttbrukere. Brukere kan også kjøre følgende PowerShell-kommando for å se om de har sertifiseringsinstansene for 2011 eller 2023 (metodikk kommer i en fremtidig kunnskapsbaseartikkel).
• Hvordan vet en kunde om sertifikatet har eller kommer til å utløpe?
  • Datamaskiner med ett av de tre sertifikatene (CA-er) som utløper i 2026:

    2011 CAs	Utløpsdato
    Microsoft Corporation KEK CA 2011	24. juni 2026
    Microsoft Windows Production PCA 2011	19. oktober 2026
    Microsoft Corporation UEFI CA 2011	27. juni 2026

• Hvis en kunde har et 2023-sertifikat, må de handle?
  • Nei. Hvis både Windows UEFI CA 2023- og Microsoft Corporation KEK 2K CA 2023-sertifikatene finnes, trenger du ikke å gjøre noe mer.
• Kan en kunde gå over til et 2023-sertifikat hvis enhetene deres kjører Windows 10 og har eller er i ferd med å ta ut utvidede sikkerhetsoppdateringer (ESU)?
  • Ja, Microsoft oppdaterer aktive sertifikater for Windows 11-enheter i felten og oppdaterer Windows 10-enheter hvis enheten:
    • Kjører Windows LTSC 2021
    • Har en aktivert ESU-lisens

Tilbake til toppen

Påvirkning og gjenoppretting:

• Hva er virkningen av et utløpt sertifikat?
  • Når sertifikatene for sikker oppstart utløper (starter juni 2026), fortsetter datamaskinene å starte opp (med sikker oppstart på). Datamaskinen mottar imidlertid ikke lenger oppdateringer for Windows Boot Manager- og Secure Boot-komponentene ved hjelp av Windows Update, noe som setter dem i en kompromittert sikkerhetstilstand.
• Hva skjer hvis sikker oppstart er deaktivert eller slått på en enhet?
  • Noen ganger kan deaktivering av sikker oppstart slette alle aktive UEFI-variabler, noe som betyr at alle 2023-sertifiseringsinstanser som allerede brukes på enheten, kan bli utslettet (og senere erstattet med eldre 2011-CA-er fra standardfastvaren hvis den aldri ble oppdatert). På Dell-enheter skjer dette hvis en bruker velger alternativet ekspertnøkkelmodus i BIOS-menyen. I dette tilfellet blir de aktive variablene trukket fra standardfastvaren.
    Merk: Hvis BitLocker er aktivert på enheten, kan du bli bedt om å angi BitLocker-gjenopprettingsnøkkelen.
• Hvilke verktøy er tilgjengelige for gjenoppretting?
  • Microsoft har gitt ut et manuelt gjenopprettingsverktøy, men det har begrensninger. Automatiserte verktøy for å hjelpe kunder er fortsatt under utvikling.

Tilbake til toppen

Kostnader og varighet:

• Koster det noe å koste de nye sertifikatene?
  • Det er ingen direkte kostnader for å motta 2023-sertifikatene ved hjelp av Windows Update, og 2023-CA-ene er allerede tilgjengelige gratis på Windows Secure Boot Key Creation and Management Guidance. BIOS-oppdateringer for enheter som ikke er i bruk, kan imidlertid kreve manuell inngripen eller serviceengasjement, noe som kan medføre kostnader avhengig av støtteavtaler.
• Hva er varigheten av det nye sertifikatet?
  • 2023-sertifikatene er gyldige i 15 år (2038).

Tilbake til toppen