Dopad konce platnosti certifikátu Microsoft Secure Boot 2011 na servery Dell PowerEdge

Certifikáty bezpečného spouštění se používají jako součást procesu bezpečného spouštění, který pomáhá chránit systémy před bootkity. Bootkit je typ malwaru určený k infikování zavaděče nebo procesu spouštění a umožňuje spuštění škodlivého kódu v systému.

Certifikáty, jejichž platnost vypršela, nemají vliv na již nainstalovaný operační systém – systémy se budou i nadále spouštět.

U systémů s vypršenými certifikáty může dojít:

• Nemožnost přijímat aktualizace související s funkcí Secure Boot
• Potenciální selhání spouštění, pokud je zakázáno zabezpečené spouštění nebo jsou resetovány výchozí hodnoty systému BIOS
• Zvýšená zranitelnost vůči malwaru bootkit

Dotčené produkty:

• Servery Dell PowerEdge se systémem Windows Server 2012 a novějším
• Mezi dotčené platformy patří serverové platformy 14., 15. a 16. generace.
• Serverové platformy 17. generace již nové certifikáty obsahují

Společnost Microsoft vyřazuje řetězec certifikátů bezpečného spouštění 2011 (KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011). Platnost těchto certifikátů vyprší od června 2026 a bude vyžadovat přechod na řetězec certifikátů pro rok 2023.

Nejnovější oficiální oznámení na blogu společnosti Microsoft: Jednejte ihned: Platnost certifikátů bezpečného spouštění vyprší v červnu 2026

• Společnost Dell plánuje vydat aktualizace systému BIOS pro serverové platformy 14., 15. a 16. generace do konce roku 2025
• Aktualizace systému BIOS zahrnují certifikáty bezpečného spouštění pro rok 2023.
• Společnost Microsoft odesílá aktualizace do aktivní databáze bezpečného spouštění pomocí služby Windows Update
• Neresetujte výchozí hodnoty systému BIOS ani nezakažte bezpečné spouštění.
• Serverové platformy 12. a 13. generace nebudou dostávat aktualizace z důvodu ukončení služby.

Další podrobnosti od společnosti Microsoft najdete v článku znalostní databáze Microsoft zde, včetně podrobností o certifikátu: Vypršení platnosti certifikátu zabezpečeného spouštění systému Windows a aktualizace certifikační autority

Začněte zkoumat interní prostředky a procesy, abyste se ujistili, že jsou připravené na nadcházející změnu certifikátu Microsoftu. Společnost Microsoft poskytuje několik pokynů, jak se připravit na nadcházející změnu: Zařízení se systémem Windows pro firmy a organizace s aktualizacemi

spravovanými oddělením ITAzure a podniková prostředí:
Pro podnikové systémy a systémy hostované v cloudu poskytuje Microsoft další nástroje a pokyny pro podporu přechodu certifikátu Secure Boot:

• Aktualizace spouštěcích médií: Aktualizace spouštěcího média systému Windows za účelem použití PCA2023 podepsaného správce spouštění - Podpora
  společnosti Microsoft Pomocí skriptu PowerShellu Make2023BootableMedia.ps1 vložte certifikáty 2023 Secure Boot do WinPE, ISO nebo USB média.
• Virtuální počítače s důvěryhodným spouštěním Azure: Zabezpečené spouštění Klíče UEFI – Azure Virtual Machines | Microsoft Learn
  Azure podporuje vlastní injektáž klíče bezpečného spouštění UEFI pomocí Azure Compute Gallery a šablon ARM. To je užitečné pro organizace, které vyžadují vlastní klíče PK, KEK, DB nebo DBX.
• Ruční aktualizace UEFI: Set-SecureBootUEFI (SecureBoot) | Pokročilí uživatelé Microsoft Learn
  můžou k ruční aktualizaci proměnných zabezpečeného spouštění použít rutinu PowerShellu Set-SecureBootUEFI. To vyžaduje podepsané balíčky a oprávnění správce.

Tyto nástroje jsou určeny pro prostředí spravovaná oddělením IT a je třeba je používat s opatrností. Společnost Dell Technologies doporučuje před implementací jakýchkoli ručních nebo skriptovaných změn zkontrolovat oficiální dokumentaci společnosti Microsoft.