Microsoft 보안 부팅 2011 인증서 만료가 Dell PowerEdge 서버에 미치는 영향

보안 부팅 인증서는 부트킷으로부터 시스템을 보호하는 데 도움이 되는 보안 부팅 프로세스의 일부로 사용됩니다. 부트킷은 부트 로더 또는 부팅 프로세스를 감염시켜 악성 코드가 시스템에서 실행될 수 있도록 설계된 일종의 멀웨어입니다.

만료된 인증서는 이미 설치된 OS에 영향을 주지 않습니다. 시스템이 계속 부팅됩니다.

인증서가 만료된 시스템에는 다음이 발생할 수 있습니다.

• 보안 부팅 관련 업데이트를 받을 수 없음
• 보안 부팅이 비활성화되었거나 BIOS 기본값이 재설정된 경우 부팅 실패 가능성이 있습니다.
• 부트킷 멀웨어에 대한 취약성 증가

영향을 받는 제품:

• Windows Server 2012 이상을 실행하는 Dell PowerEdge 서버
• 영향을 받는 플랫폼에는 14세대, 15세대 및 16세대 서버 플랫폼이 포함됩니다.
• 17세대 서버 플랫폼에는 이미 새 인증서가 포함되어 있습니다.

Microsoft는 2011 보안 부팅 인증서 체인(KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011)을 사용 중지합니다. 이러한 인증서는 2026년 6월에 만료되므로 2023년 인증서 체인으로 전환해야 합니다.

최신 공식 Microsoft 블로그 공지 : 지금 행동: 보안 부팅 인증서는 2026년 6월에 만료됩니다.

• Dell은 2025년 말까지 14세대, 15세대 및 16세대 서버 플랫폼에 대한 BIOS 업데이트를 출시할 계획입니다.
• BIOS 업데이트에는 2023 보안 부팅 인증서가 포함되어 있습니다.
• Microsoft는 Windows 업데이트를 사용하여 활성 보안 부팅 데이터베이스에 업데이트를 푸시합니다.
• BIOS 기본값 재설정 또는 보안 부팅 비활성화 방지
• 12세대 및 13세대 서버 플랫폼은 서비스 종료 상태로 인해 업데이트를 받을 수 없습니다.

인증서 세부 사항을 포함하여 Microsoft의 자세한 내용은 여기의 Microsoft KB 문서에서 확인할 수 있습니다. Windows 보안 부팅 인증서 만료 및 CA 업데이트

내부 자산 및 프로세스 검사를 시작하여 향후 Microsoft 인증서 변경에 대비할 수 있는지 확인합니다. Microsoft는 여기에서 예정된 변경에 대비하는 방법에 대한 몇 가지 지침을 제공합니다. IT 관리 업데이트를

사용하는 기업 및 조직용 Windows 장치Azure 및 엔터프라이즈 환경:
엔터프라이즈 및 클라우드 호스팅 시스템의 경우 Microsoft는 보안 부팅 인증서 전환을 지원하기 위한 추가 도구와 지침을 제공합니다.

• 부팅 가능한 미디어 업데이트: PCA2023 서명된 부팅 관리자를 사용하도록 Windows 부팅 가능한 미디어 업데이트 - Microsoft 지원
  PowerShell 스크립트 Make2023BootableMedia.ps1 사용하여 2023 보안 부팅 인증서를 WinPE, ISO 또는 USB 미디어에 삽입합니다.
• Azure 신뢰할 수 있는 시작 VM: 보안 부팅 UEFI 키 - Azure Virtual Machines | Microsoft Learn
  Azure는 Azure Compute Gallery 및 ARM 템플릿을 사용하여 사용자 지정 UEFI 보안 부팅 키 삽입을 지원합니다. 이는 사용자 지정 PK, KEK, DB 또는 DBX 키가 필요한 조직에 유용합니다.
• 수동 UEFI 업데이트: Set-SecureBootUEFI(보안 부팅) | Microsoft Learn
  고급 사용자는 Set-SecureBootUEFI PowerShell cmdlet을 사용하여 보안 부팅 변수를 수동으로 업데이트할 수 있습니다. 이를 위해서는 서명된 패키지와 관리 권한이 필요합니다.

이러한 툴은 IT 관리 환경을 위한 것이므로 주의해서 사용해야 합니다. Dell Technologies는 수동 또는 스크립트 변경 사항을 구현하기 전에 Microsoft의 공식 문서를 검토할 것을 권장합니다.