Microsoft Secure Boot 2011 -varmenteen vanhenemisen vaikutus Dell PowerEdge -palvelimiin

Suojattuja käynnistysvarmenteita käytetään osana suojattua käynnistystä, joka auttaa suojaamaan järjestelmiä käynnistyssarjoilta. Käynnistyssarja on haittaohjelmatyyppi, joka on suunniteltu tartuttamaan käynnistyslatain tai käynnistysprosessi, jolloin haitallista koodia voidaan suorittaa järjestelmässä.

Vanhentuneet varmenteet eivät vaikuta jo asennettuun käyttöjärjestelmään – järjestelmät käynnistyvät edelleen.

Järjestelmissä, joiden varmenne on vanhentunut, saattaa esiintyä:

• Ei pysty vastaanottamaan suojattuun käynnistykseen liittyviä päivityksiä
• Mahdolliset käynnistysvirheet, jos suojattu käynnistys on poistettu käytöstä tai BIOS-oletusasetukset nollataan
• Lisääntynyt haavoittuvuus bootkit-haittaohjelmille

Tuotteet, joita asia koskee:

• Dell PowerEdge -palvelimet, joissa on Windows Server 2012 tai uudempi
• Ympäristöjä, joihin tämä vaikuttaa, ovat 14., 15. ja 16. sukupolven palvelinympäristöt.
• Uudet varmenteet sisältyvät jo 17. sukupolven palvelinympäristöihin

Microsoft poistaa käytöstä 2011:n suojatun käynnistyksen varmenneketjun (KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011). Nämä varmenteet vanhenevat kesäkuusta 2026 alkaen, mikä edellyttää siirtymistä vuoden 2023 varmenneketjuun.

Viimeisin virallinen Microsoft-blogi-ilmoitus: Toimi nyt: Suojatun käynnistyksen varmenteet vanhenevat kesäkuussa 2026

• Dell suunnittelee julkaisevansa BIOS-päivitykset 14., 15. ja 16. sukupolven palvelinympäristöihin vuoden 2025 loppuun mennessä
• BIOS-päivitykset sisältävät vuoden 2023 suojatun käynnistyksen varmenteet
• Microsoft julkaisee päivityksiä aktiiviseen suojatun käynnistyksen tietokantaan Windows Updaten avulla
• Vältä BIOS-oletusasetusten palauttamista tai suojatun käynnistyksen poistamista käytöstä
• 12. ja 13. sukupolven palvelinympäristöihin ei saada päivityksiä palvelun päättymisen tilan vuoksi

Microsoftin julkaisemat lisätiedot ovat Microsoftin tietämyskannan artikkelissa täällä, mukaan lukien varmenteiden yksityiskohdat: Windowsin suojatun käynnistyksen varmenteen vanheneminen ja CA-päivitykset

Aloita sisäisten resurssien ja prosessien tutkiminen varmistaaksesi, että ne ovat valmiita tulevaan Microsoft-varmenteen vaihtoon. Microsoft antaa täällä ohjeita tulevaan muutokseen valmistautumiseen: Windows-laitteet yrityksille ja organisaatioille, joissa on IT-hallittuja päivityksiä

Azure- ja yritysympäristöt:
Microsoft tarjoaa yritysjärjestelmille ja pilvipalvelujen isännöimille järjestelmille lisätyökaluja ja ohjeita, jotka tukevat suojatun käynnistyksen varmenteen siirtymistä:

• Käynnistettävät mediapäivitykset: Windows-käynnistyslevyn päivittäminen PCA2023 Signed Boot Managerin käyttämiseen - Microsoft-tuki
  Käytä PowerShell-komentosarjaa Make2023BootableMedia.ps1 lisätäksesi vuoden 2023 suojatun käynnistyksen varmenteet WinPE-, ISO- tai USB-levylle.
• Azure Trusted Launch VM:t: Secure Boot UEFI -avaimet - Azure Virtual Machines | Microsoft Learn
  Azure tukee mukautettua UEFI Secure Boot -avaimen lisäystä Azure Compute Gallery- ja ARM-mallien avulla. Tästä on hyötyä organisaatioille, jotka tarvitsevat mukautettuja PK-, KEK-, DB- tai DBX-avaimia.
• Manuaaliset UEFI-päivitykset: Set-SecureBootUEFI (SecureBoot) | Microsoft Learn
  Advanced -käyttäjät voivat päivittää suojatun käynnistyksen muuttujat manuaalisesti Set-SecureBootUEFI PowerShell cmdlet-komennolla. Tämä edellyttää allekirjoitettuja paketteja ja järjestelmänvalvojan oikeuksia.

Nämä työkalut on tarkoitettu IT-hallittuihin ympäristöihin, ja niitä tulee käyttää varoen. Dell Technologies suosittelee tutustumaan Microsoftin virallisiin oppaisiin ennen manuaalisten tai komentosarjamuutosten tekemistä.