Verlopen certificaat Microsoft Secure Boot 2011 Impact op Dell PowerEdge servers

Certificaten voor veilig opstarten worden gebruikt als onderdeel van het veilig opstarten, waardoor systemen worden beschermd tegen bootkits. Een bootkit is een type malware dat is ontworpen om een opstartlader of opstartproces te infecteren, waardoor schadelijke code op het systeem kan worden uitgevoerd.

Verlopen certificaten hebben geen invloed op reeds geïnstalleerde besturingssystemen: de systemen blijven opstarten.

Systemen met verlopen certificaten kunnen te maken krijgen met:

• Het is niet mogelijk om updates voor veilig opstarten te ontvangen
• Mogelijke opstartfouten als Secure Boot is uitgeschakeld of de BIOS-standaardinstellingen opnieuw worden ingesteld
• Verhoogde kwetsbaarheid voor bootkit-malware

Betreffende producten:

• Dell PowerEdge servers met Windows Server 2012 en hoger
• Getroffen platforms zijn onder andere serverplatforms van de 14e, 15e en 16e generatie.
• 17e generatie serverplatforms bevatten de nieuwe certificaten al

Microsoft beëindigt de certificaatketen 2011 Secure Boot (KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011). Deze certificaten verlopen vanaf juni 2026, waardoor de overgang naar de certificaatketen van 2023 vereist is.

Laatste officiële aankondiging van Microsoft-blog: Kom nu in actie: Certificaten voor veilig opstarten verlopen in juni 2026

• Dell is van plan om eind 2025 BIOS-updates uit te brengen voor serverplatforms van de 14e, 15e en 16e generatie
• BIOS-updates omvatten de 2023 Secure Boot-certificaten
• Microsoft pusht updates naar de actieve Secure Boot-database met behulp van Windows Update
• Vermijd het resetten van de BIOS-standaardinstellingen of het uitschakelen van Secure Boot
• 12e en 13e generatie serverplatforms ontvangen geen updates vanwege de status van het einde van de service

Meer informatie van Microsoft vindt u hier in het Microsoft KB-artikel, inclusief certificaatspecificaties: Verlopen van het Windows Secure Boot-certificaat en CA-updates

Begin met het onderzoeken van interne assets en processen om ervoor te zorgen dat ze klaar zijn voor de komende wijziging van het Microsoft-certificaat. Microsoft geeft hier enkele richtlijnen over hoe u zich kunt voorbereiden op de aanstaande wijziging: Windows-apparaten voor bedrijven en organisaties met door IT beheerde updates

Azure en Enterprise-omgevingen:
Voor enterprise- en cloud-gehoste systemen biedt Microsoft aanvullende hulpprogramma's en richtlijnen ter ondersteuning van de overgang van het Secure Boot-certificaat:

• Opstartbare media-updates: Opstartbare Windows media bijwerken om de PCA2023 ondertekende boot manager te gebruiken - Microsoft Ondersteuning
  Gebruik het PowerShell-script Make2023BootableMedia.ps1 om 2023 Secure Boot-certificaten te injecteren in WinPE-, ISO- of USB-media.
• Azure Trusted Launch VM's: Secure Boot UEFI-sleutels - Azure Virtual Machines | Microsoft Learn
  Azure ondersteunt aangepaste UEFI Secure Boot-sleutelinjectie met behulp van de Azure Compute Gallery en ARM-sjablonen. Dit is handig voor organisaties die aangepaste PK-, KEK-, DB- of DBX-sleutels nodig hebben.
• Handmatige UEFI-updates: Set-SecureBootUEFI (SecureBoot) | Microsoft Learn
  Advanced-gebruikers kunnen de Set-SecureBootUEFI PowerShell-cmdlet gebruiken om Secure Boot-variabelen handmatig bij te werken. Hiervoor zijn ondertekende pakketten en beheerdersrechten vereist.

Deze tools zijn bedoeld voor door IT beheerde omgevingen en moeten met de nodige voorzichtigheid worden gebruikt. Dell Technologies raadt aan de officiële documentatie van Microsoft te lezen voordat u handmatige of scriptwijzigingen implementeert.