Innvirkning på sertifikatutløp for Microsoft Secure Boot 2011 på Dell PowerEdge-servere

Sertifikater for sikker oppstart brukes som en del av Secure Boot-prosessen, som bidrar til å beskytte systemene mot oppstartssett. Et oppstartssett er en type skadelig programvare designet for å infisere en oppstartslaster eller oppstartsprosess, slik at ondsinnet kode kan kjøre på systemet.

Utløpte sertifikater påvirker ikke allerede installerte operativsystemer – systemene fortsetter å starte opp.

Systemer med utløpte sertifikater kan oppleve:

• Manglende evne til å motta oppdateringer relatert til sikker oppstart
• Potensielle oppstartsfeil hvis sikker oppstart er deaktivert eller BIOS-standardene tilbakestilles
• Økt sårbarhet for oppstartssett med skadelig programvare

Berørte produkter:

• Dell PowerEdge-servere som kjører Windows Server 2012 og nyere
• Berørte plattformer inkluderer 14., 15. og 16. generasjons serverplattformer.
• 17. generasjons serverplattformer inneholder allerede de nye sertifikatene

Microsoft trekker tilbake sertifikatkjeden for sikker oppstart for 2011 (KEK CA 2011, UEFI CA 2011 og Windows UEFI CA 2011). Disse sertifikatene utløper fra juni 2026, og krever overgang til sertifikatkjeden for 2023.

Siste offisielle Microsoft blogg kunngjøring: Gjør noe nå: Sertifikater for sikker oppstart utløper i juni 2026

• Dell planlegger å lansere BIOS-oppdateringer for 14., 15. og 16. generasjons serverplattformer innen utgangen av 2025
• BIOS-oppdateringer inkluderer 2023-sertifikater for sikker oppstart
• Microsoft sender oppdateringer til den aktive databasen for sikker oppstart ved hjelp av Windows Update
• Unngå å tilbakestille standardinnstillingene for BIOS eller deaktivere sikker oppstart
• 12. og 13. generasjons serverplattformer vil ikke motta oppdateringer på grunn av statusen for slutten av tjenesten

Du finner mer informasjon fra Microsoft i Microsoft KB-artikkelen her, inkludert sertifikatspesifikasjoner: Utløpsdato for Windows Secure Boot-sertifikat og CA-oppdateringer

Begynn å undersøke interne ressurser og prosesser for å sikre at de er klare for den kommende sertifikatendringen fra Microsoft. Microsoft gir litt veiledning om hvordan du forbereder deg på den kommende endringen her: Windows-enheter for bedrifter og organisasjoner med IT-administrerte oppdateringer

Azure- og bedriftsmiljøer:
Microsoft tilbyr flere verktøy og veiledning for å støtte sertifikatovergangen for sikker oppstart:

• Oppstartbare medieoppdateringer: Oppdatere oppstartbare Windows-medier for å bruke PCA2023 signerte oppstartsbehandling – Microsoft Support
  Bruk PowerShell-skriptet Make2023BootableMedia.ps1 til å injisere 2023 Secure Boot-sertifikater i WinPE-, ISO- eller USB-medier.
• Azure Trusted Start VM-er: UEFI-nøkler for sikker oppstart – virtuelle Azure-maskiner | Microsoft Learn
  Azure støtter egendefinert UEFI Secure Boot-nøkkelinjeksjon ved hjelp av Azure Compute Gallery og ARM-maler. Dette er nyttig for organisasjoner som krever egendefinerte PK-, KEK-, DB- eller DBX-nøkler.
• Manuelle UEFI-oppdateringer: Set-SecureBootUEFI (SecureBoot) | Avanserte brukere av Microsoft Learn
  kan bruke cmdleten Set-SecureBootUEFI PowerShell til å oppdatere variabler for sikker oppstart manuelt. Dette krever signerte pakker og administrative rettigheter.

Disse verktøyene er beregnet på IT-administrerte miljøer og bør brukes med forsiktighet. Dell Technologies anbefaler at du gjennomgår Microsofts offisielle dokumentasjon før du implementerer manuelle eller skriptede endringer.