Impact de l’expiration du certificat Microsoft Secure Boot 2011 sur les serveurs Dell PowerEdge

Les certificats Secure Boot sont utilisés dans le cadre du processus Secure Boot, qui permet de protéger les systèmes contre les bootkits. Un bootkit est un type de logiciel malveillant conçu pour infecter un chargeur de démarrage ou un processus de démarrage, permettant ainsi à du code malveillant de s’exécuter sur le système.

Les certificats expirés n’ont aucun impact sur le système d’exploitation déjà installé : les systèmes continuent à démarrer.

Les systèmes dont les certificats ont expiré peuvent rencontrer les problèmes suivants :

• Incapacité à recevoir les mises à jour liées à Secure Boot
• Échecs potentiels du démarrage si Secure Boot est désactivé ou si les paramètres par défaut du BIOS sont réinitialisés
• Vulnérabilité accrue aux logiciels malveillants du kit de démarrage

Produits concernés :

• Serveurs Dell PowerEdge exécutant Windows Server 2012 et versions ultérieures
• Les plates-formes concernées comprennent les plates-formes de serveurs de 14e, 15e et 16e génération.
• Les plates-formes de serveurs de 17e génération contiennent déjà les nouveaux certificats

Microsoft retire la chaîne de certificats Secure Boot 2011 (KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011). Ces certificats expirent à compter de juin 2026, ce qui nécessite un passage à la chaîne de certificats 2023.

Dernière annonce officielle sur le blog de Microsoft : Agissez maintenant : Les certificats Secure Boot expirent en juin 2026

• Dell prévoit de publier des mises à jour du BIOS pour les plates-formes de serveurs de 14e, 15e et 16e générations d’ici fin 2025
• Les mises à jour du BIOS incluent les certificats Secure Boot 2023
• Microsoft transmet les mises à jour à la base de données Secure Boot active à l’aide de Windows Update
• Évitez de réinitialiser les paramètres par défaut du BIOS ou de désactiver Secure Boot
• Les plates-formes de serveurs de 12e et 13e générations ne recevront pas de mises à jour en raison de l’état de fin de service

Vous trouverez plus d’informations sur Microsoft dans l’article de la base de connaissances Microsoft, y compris les spécificités du certificat : Expiration du certificat de démarrage sécurisé Windows et mises à jour de l’autorité de certification

Commencez à examiner les ressources et les processus internes pour vous assurer qu’ils sont prêts pour le prochain changement de certificat Microsoft. Microsoft fournit des conseils sur la façon de se préparer au changement à venir ici : Appareils Windows pour les entreprises et les organisations avec des mises à jour

gérées par le service informatiqueEnvironnements Azure et d’entreprise :
pour les systèmes d’entreprise et hébergés dans le Cloud, Microsoft fournit des outils et des conseils supplémentaires pour prendre en charge la transition du certificat Secure Boot :

• Mises à jour des supports amorçables : Mise à jour du support de démarrage Windows pour utiliser le gestionnaire de démarrage signé PCA2023 - Support
  Microsoft Utilisez le script PowerShell Make2023BootableMedia.ps1 pour injecter les certificats Secure Boot 2023 dans le support WinPE, ISO ou USB.
• Machines virtuelles Azure Trusted Launch : Clés UEFI Secure Boot - Machines virtuelles Azure | Microsoft Learn
  Azure prend en charge l’injection de clé Secure Boot UEFI personnalisée à l’aide d’Azure Compute Gallery et de modèles ARM. Cela est utile pour les organisations nécessitant des clés PK, KEK, DB ou DBX personnalisées.
• Mises à jour manuelles de l’UEFI : Set-SecureBootUEFI (SecureBoot) | Les utilisateurs de Microsoft Learn
  Advanced peuvent utiliser la cmdlet PowerShell Set-SecureBootUEFI pour mettre à jour manuellement les variables Secure Boot. Cela nécessite des packages signés et des privilèges d’administration.

Ces outils sont destinés aux environnements gérés par le service informatique et doivent être utilisés avec précaution. Dell Technologies recommande de consulter la documentation officielle de Microsoft avant d’implémenter des modifications manuelles ou scriptées.