Udløb af Microsoft Secure Boot 2011-certifikatets indvirkning på Dell PowerEdge-servere

Secure Boot-certifikater bruges som en del af Secure Boot-processen, som hjælper med at beskytte systemer mod bootkits. Et bootkit er en type malware, der er designet til at inficere en opstartsindlæser eller opstartsproces, hvilket gør det muligt for ondsindet kode at køre på systemet.

Udløbne certifikater påvirker ikke allerede installerede operativsystemer – systemerne fortsætter med at starte.

Systemer med udløbne certifikater kan opleve:

• Manglende evne til at modtage Secure Boot-relaterede opdateringer
• Potentielle opstartsfejl, hvis Secure Boot er deaktiveret, eller BIOS-standarderne nulstilles
• Øget sårbarhed over for bootkit-malware

Berørte produkter:

• Dell PowerEdge-servere, der kører Windows Server 2012 og nyere
• De berørte platforme omfatter 14., 15. og 16. generations serverplatforme.
• 17. generations serverplatforme indeholder allerede de nye certifikater

Microsoft udfaser 2011 Secure Boot-certifikatkæden (KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011). Disse certifikater udløber fra juni 2026, hvilket kræver overgang til certifikatkæden i 2023.

Seneste officielle Microsoft blog meddelelse: Tag handling nu: Sikker start-certifikater udløber i juni 2026

• Dell planlægger at frigive BIOS-opdateringer til 14., 15. og 16. generations serverplatforme inden udgangen af 2025
• BIOS-opdateringer omfatter 2023 Secure Boot-certifikater
• Microsoft pusher opdateringer til den aktive Secure Boot-database ved hjælp af Windows Update
• Undgå at nulstille BIOS-standardindstillingerne eller deaktivere sikker opstart
• 12. og 13. generations serverplatforme modtager ikke opdateringer pga. status som ved tjenestens ophør

Du kan finde flere oplysninger fra Microsoft i Microsoft KB-artiklen her, herunder certifikatspecifikationer: Udløb af Windows Secure Boot-certifikat og CA-opdateringer

Begynd at undersøge interne aktiver og processer for at sikre, at de er klar til den kommende Microsoft-certifikatændring. Microsoft giver nogle retningslinjer for, hvordan du forbereder dig på den kommende ændring her: Windows-enheder til virksomheder og organisationer med it-administrerede opdateringer

Azure og virksomhedsmiljøer:
For virksomheds- og cloud-hostede systemer tilbyder Microsoft yderligere værktøjer og vejledning til understøttelse af overgangen til Secure Boot-certifikat:

• Medieopdateringer, der kan startes fra: Opdatering af Windows-medier, der kan startes fra, til at bruge den PCA2023 signeret startadministration - Microsoft Support
  Brug PowerShell-scriptet Make2023BootableMedia.ps1 til at overføre 2023 Secure Boot-certifikater til WinPE-, ISO- eller USB-medier.
• Azure Trusted Launch VM'er: UEFI-nøgler til sikker start – Azure Virtual Machines | Microsoft Learn
  Azure understøtter brugerdefineret indsættelse af UEFI Secure Boot-nøgle ved hjælp af Azure Compute Gallery og ARM-skabeloner. Dette er nyttigt for organisationer, der kræver brugerdefinerede PK-, KEK-, DB- eller DBX-nøgler.
• Manuelle UEFI-opdateringer: Set-SecureBootUEFI (SecureBoot) | Microsoft Learn
  Advanced-brugere kan bruge PowerShell-cmdlet'en Set-SecureBootUEFI til manuelt at opdatere Secure Boot-variabler. Dette kræver signerede pakker og administrative rettigheder.

Disse værktøjer er beregnet til it-administrerede miljøer og skal bruges med forsigtighed. Dell Technologies anbefaler, at du gennemlæser Microsofts officielle dokumentation, før du implementerer manuelle eller scriptede ændringer.