Влияние истечения срока действия сертификата Microsoft Secure Boot 2011 на серверы Dell PowerEdge

Сертификаты безопасной загрузки используются как часть процесса безопасной загрузки, который помогает защитить системы от буткитов. Буткит — это тип вредоносного ПО, предназначенного для заражения загрузчика или загрузочного процесса, что позволяет вредоносному коду выполняться в системе.

Сертификаты с истекшим сроком действия не влияют на уже установленную ОС — загрузка систем продолжается.

В системах с сертификатами с истекшим сроком действия могут возникать следующие проблемы:

• Невозможность получения обновлений, связанных с безопасной загрузкой
• Возможные сбои при загрузке при отключенной безопасной загрузке или сбросе настроек BIOS по умолчанию
• Повышенная уязвимость к вредоносному ПО буткитов

Затронутые продукты:

• Серверы Dell PowerEdge под управлением Windows Server 2012 и более поздних версий
• Затронутые платформы включают серверные платформы 14-го, 15-го и 16-го поколений.
• Серверные платформы 17-го поколения уже содержат новые сертификаты

Корпорация Майкрософт прекращает поддержку цепочки сертификатов безопасной загрузки 2011 (KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011). Срок действия этих сертификатов истекает в июне 2026 г., что требует перехода к цепочке сертификатов 2023 г.

Последнее официальное объявление в блоге Microsoft: Действуйте прямо сейчас: Срок действия сертификатов безопасной загрузки истекает в июне 2026 г.

• Dell планирует выпустить обновления BIOS для серверных платформ 14-го, 15-го и 16-го поколений до конца 2025 г.
• Обновления BIOS включают сертификаты безопасной загрузки 2023 г.
• Microsoft отправляет обновления в активную базу данных безопасной загрузки с помощью Центра обновления Windows
• Избегайте сброса настроек BIOS по умолчанию и отключения безопасной загрузки
• Серверные платформы 12-го и 13-го поколений не будут получать обновления из-за состояния окончания обслуживания

Более подробную информацию от Microsoft можно найти в статье базы знаний Microsoft здесь, включая особенности сертификатов: Истечение срока действия сертификата безопасной загрузки Windows и обновления CA

Начните изучать внутренние ресурсы и процессы, чтобы убедиться, что они готовы к предстоящему изменению сертификата Microsoft. Microsoft предоставляет некоторые рекомендации о том, как подготовиться к предстоящим изменениям здесь: Устройства Windows для предприятий и организаций с обновлениями

, управляемыми ИТ-отделомAzure и корпоративные среды.Для
корпоративных и облачных систем корпорация Майкрософт предоставляет дополнительные средства и рекомендации для поддержки передачи сертификата безопасной загрузки.

• Обновления загрузочного носителя Обновление загрузочного носителя Windows для использования PCA2023 подписанного диспетчера загрузки - Служба поддержки
  Microsoft Используйте сценарий PowerShell Make2023BootableMedia.ps1 для инжекции сертификатов безопасной загрузки 2023 в WinPE, ISO или USB-носитель.
• Виртуальные машины доверенного запуска Azure: Ключи безопасной загрузки UEFI — виртуальные машины Azure | Microsoft Learn
  Azure поддерживает внедрение настраиваемого ключа безопасной загрузки UEFI с использованием коллекции вычислений Azure и шаблонов ARM. Это полезно для организаций, которым требуются пользовательские ключи PK, KEK, DB или DBX.
• Обновление UEFI вручную: Set-SecureBootUEFI (безопасная загрузка) | Пользователи Microsoft Learn
  Advanced могут использовать командлет PowerShell Set-SecureBootUEFI для обновления переменных безопасной загрузки вручную. Для этого требуются подписанные пакеты и права администратора.

Эти инструменты предназначены для сред, управляемых ИТ-отделом, и их следует использовать с осторожностью. Dell Technologies рекомендует ознакомиться с официальной документацией Microsoft, прежде чем вносить какие-либо изменения вручную или с помощью сценариев.