Impatto della scadenza del certificato Microsoft Secure Boot 2011 sui server Dell PowerEdge

I certificati Secure Boot vengono utilizzati come parte del processo Secure Boot che aiuta a proteggere i sistemi dai bootkit. Un bootkit è un tipo di malware progettato per infettare un boot loader o un processo di avvio, consentendo l'esecuzione di codice dannoso sul sistema.

I certificati scaduti non influiscono sul sistema operativo già installato: i sistemi continuano ad avviarsi.

Nei sistemi con certificati scaduti si possono riscontrare:

• Impossibilità di ricevere aggiornamenti relativi all'avvio protetto
• Potenziali errori di avvio se Secure Boot è disabilitato o le impostazioni predefinite del BIOS vengono reimpostate
• Maggiore vulnerabilità al malware bootkit

Prodotti interessati:

• Server Dell PowerEdge che eseguono Windows Server 2012 e versioni successive
• Le piattaforme interessate includono le piattaforme server di quattordicesima, quindicesima e sedicesima generazione.
• Le piattaforme server di 17a generazione contengono già i nuovi certificati

Microsoft sta ritirando la catena di certificati Secure Boot 2011 (KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011). Questi certificati scadono a partire da giugno 2026 e richiedono il passaggio alla catena di certificati del 2023.

Ultimo annuncio ufficiale sul blog Microsoft: Agisci ora: I certificati Secure Boot scadono a giugno 2026

• Dell prevede di rilasciare gli aggiornamenti del BIOS per le piattaforme server di quattordicesima, quindicesima e sedicesima generazione entro la fine del 2025
• Gli aggiornamenti del BIOS includono i certificati Secure Boot 2023
• Microsoft esegue il push degli aggiornamenti al database Secure Boot attivo utilizzando Windows Update
• Evitare di ripristinare le impostazioni predefinite del BIOS o di disabilitare l'avvio protetto
• Le piattaforme server di 12a e 13a generazione non riceveranno aggiornamenti a causa dello stato di fine del servizio

Ulteriori dettagli su Microsoft sono disponibili nell'articolo della Knowledge Base di Microsoft qui, incluse le specifiche dei certificati: Scadenza del certificato di avvio protetto di Windows e aggiornamenti della CA

Iniziare a esaminare gli asset e i processi interni per assicurarsi che siano pronti per l'imminente modifica del certificato Microsoft. Microsoft fornisce alcune indicazioni su come prepararsi al cambiamento imminente qui: Dispositivi Windows per aziende e organizzazioni con aggiornamenti

gestiti dall'ITAzure e ambienti enterprise:
per i sistemi aziendali e in hosting nel cloud, Microsoft fornisce strumenti e indicazioni aggiuntivi per supportare la transizione del certificato di avvio sicuro:

• Aggiornamenti dei supporti di avvio: Aggiornamento del supporto di avvio di Windows per utilizzare il boot manager firmato PCA2023 - Supporto tecnico
  Microsoft Utilizzare lo script PowerShell Make2023BootableMedia.ps1 per inserire i certificati Secure Boot 2023 nei supporti WinPE, ISO o USB.
• Macchine virtuali di avvio attendibili di Azure: Chiavi UEFI per l'avvio sicuro - Macchine virtuali di Azure | Microsoft Learn
  Azure supporta l'inserimento di chiavi di avvio sicuro UEFI personalizzate usando la raccolta di calcolo di Azure e i modelli di Resource Manager. Questa funzione è utile per le organizzazioni che richiedono chiavi PK, KEK, DB o DBX personalizzate.
• Aggiornamenti UEFI manuali: Set-SecureBootUEFI (Secure Boot) |
  Gli utenti avanzati possono utilizzare il cmdlet Set-SecureBootUEFI di PowerShell per aggiornare manualmente le variabili di avvio sicuro. Ciò richiede pacchetti firmati e privilegi di amministratore.

Questi strumenti sono destinati agli ambienti gestiti dall'IT e devono essere utilizzati con cautela. Dell Technologies consiglia di esaminare la documentazione ufficiale di Microsoft prima di implementare qualsiasi modifica manuale o tramite script.