Impacto da expiração do certificado do Microsoft Secure Boot 2011 nos servidores Dell PowerEdge

Os certificados de inicialização segura são usados como parte do processo de inicialização segura, que ajuda a proteger os sistemas contra bootkits. Um bootkit é um tipo de malware projetado para infectar um carregador de inicialização ou um processo de inicialização, permitindo que códigos mal-intencionados sejam executados no sistema.

Certificados expirados não afetam o SO já instalado — os sistemas continuam a inicializar.

Os sistemas com certificados expirados podem apresentar:

• Incapacidade de receber atualizações relacionadas à inicialização segura
• Possíveis falhas de inicialização se o Secure Boot estiver desativado ou se os padrões do BIOS forem redefinidos
• Maior vulnerabilidade a malware do bootkit

Produtos afetados:

• Servidores Dell PowerEdge que executam o Windows Server 2012 e posterior
• As plataformas afetadas incluem plataformas de servidor da 14ª, 15ª e 16ª gerações.
• As plataformas de servidor da 17ª geração já contêm os novos certificados

A Microsoft está desativando a cadeia de certificados do 2011 Secure Boot (KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011). Esses certificados expiram a partir de junho de 2026, exigindo a transição para a cadeia de certificados de 2023.

Último anúncio oficial do blog da Microsoft: Aja agora: Os certificados de inicialização segura expiram em junho de 2026

• A Dell planeja lançar atualizações do BIOS para plataformas de servidor da 14ª, 15ª e 16ª gerações até o final de 2025
• As atualizações do BIOS incluem os certificados de inicialização segura de 2023
• A Microsoft envia atualizações para o banco de dados ativo de inicialização segura usando o Windows Update
• Evite redefinir os valores padrão do BIOS ou desativar a inicialização segura
• As plataformas de servidor da 12ª e 13ª gerações não receberão atualizações devido ao status de fim de serviço

Mais detalhes da Microsoft podem ser encontrados no artigo da base de conhecimento da Microsoft aqui, incluindo especificações do certificado: Expiração do certificado da Inicialização segura do Windows e atualizações da CA

Comece a examinar os ativos e processos internos para garantir que eles estejam prontos para a futura alteração de certificado da Microsoft. A Microsoft fornece algumas orientações sobre como se preparar para a próxima alteração aqui: Dispositivos Windows para empresas e organizações com atualizações

gerenciadas por TIAzure e ambientes corporativos:
para sistemas corporativos e hospedados na nuvem, a Microsoft fornece ferramentas e orientações adicionais para dar suporte à transição do certificado de inicialização segura:

• Atualizações de mídia inicializável: Atualizando a mídia inicializável do Windows para usar o gerenciador de inicialização assinado pela PCA2023 - Suporte da
  Microsoft Use o script do PowerShell Make2023BootableMedia.ps1 para injetar certificados de inicialização segura de 2023 em mídias WinPE, ISO ou USB.
• Azure Trusted Inicie VMs: Chaves UEFI de inicialização segura - Máquinas virtuais do Azure | O Microsoft Learn
  Azure oferece suporte à injeção personalizada de chave de inicialização segura UEFI usando a Galeria de Computação do Azure e modelos ARM. Isso é útil para organizações que precisam de chaves PK, KEK, DB ou DBX personalizadas.
• Atualizações manuais da UEFI: Definir SecureBootUEFI (SecureBoot) | Os usuários do Microsoft Learn
  Advanced podem usar o cmdlet Set-SecureBootUEFI PowerShell para atualizar manualmente as variáveis de inicialização segura. Isso requer pacotes assinados e privilégios administrativos.

Essas ferramentas são destinadas a ambientes gerenciados por TI e devem ser usadas com cuidado. A Dell Technologies recomenda analisar a documentação oficial da Microsoft antes de implementar qualquer alteração manual ou com script.