Microsoft Secure Boot 2011-certifikatets utgångsdatum påverkar Dell PowerEdge-servrar

Secure Boot-certifikat används som en del av Secure Boot-processen som hjälper till att skydda system från bootkits. Ett bootkit är en typ av skadlig kod som är utformad för att infektera en starthanterare eller startprocess, vilket gör det möjligt för skadlig kod att köras på systemet.

Utgångna certifikat påverkar inte redan installerat operativsystem – systemen fortsätter att starta.

System med utgångna certifikat kan uppleva:

• Det går inte att ta emot uppdateringar relaterade till säker start
• Potentiella startfel om Säker start är avaktiverad eller BIOS standardinställningar återställs
• Ökad sårbarhet för bootkit-skadlig kod

Berörda produkter:

• Dell PowerEdge-servrar som kör Windows Server 2012 och senare
• Plattformar som påverkas är bland annat 14:e, 15:e och 16:e generationens serverplattformar.
• 17:e generationens serverplattformar innehåller redan de nya certifikaten

Microsoft drar tillbaka 2011 Secure Boot-certifikatkedjan (KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011). Dessa certifikat upphör att gälla från och med juni 2026, vilket kräver en övergång till certifikatkedjan för 2023.

Det senaste officiella meddelandet från Microsoft-bloggen: Agera nu: Secure Boot-certifikat upphör att gälla i juni 2026

• Dell planerar att släppa BIOS-uppdateringar för 14:e, 15:e och 16:e generationens serverplattformar i slutet av 2025
• BIOS-uppdateringar inkluderar 2023 Secure Boot-certifikat
• Microsoft skickar uppdateringar till den aktiva Secure Boot-databasen med hjälp av Windows Update
• Undvik att återställa BIOS standardinställningar eller avaktivera säker start
• 12:e och 13:e generationens serverplattformar får inga uppdateringar på grund av status för tjänstens slut

Mer information från Microsoft finns i Microsoft KB-artikeln här, inklusive certifikatinformation: Förfallodatum för Windows Secure Boot-certifikat och CA-uppdateringar

Börja undersöka interna tillgångar och processer för att säkerställa att de är redo för den kommande Microsoft-certifikatändringen. Microsoft ger vägledning om hur du förbereder dig för den kommande ändringen här: Windows-enheter för företag och organisationer med IT-hanterade uppdateringar

Azure- och företagsmiljöer:
För företags- och molnbaserade system tillhandahåller Microsoft ytterligare verktyg och vägledning för att stödja övergången till Secure Boot-certifikat:

• Startbara medieuppdateringar: Uppdatera Windows startbara media för att använda den PCA2023 signerade starthanteraren - Microsoft Support
  Använd PowerShell-skriptet Make2023BootableMedia.ps1 för att mata in 2023 Secure Boot-certifikat i WinPE-, ISO- eller USB-media.
• Virtuella Azure Trusted Launch-datorer: UEFI-nycklar för säker start – Azure Virtual Machines | Microsoft Learn
  Azure stöder anpassad UEFI Secure Boot-nyckelinmatning med hjälp av Azure Compute Gallery och ARM-mallar. Detta är användbart för organisationer som behöver anpassade PK-, KEK-, DB- eller DBX-nycklar.
• Manuella UEFI-uppdateringar: Set-SecureBootUEFI (SecureBoot) | Microsoft Learn
  Advanced-användare kan använda PowerShell-cmdleten Set-SecureBootUEFI för att manuellt uppdatera variabler för säker start. Detta kräver signerade paket och administratörsrättigheter.

Dessa verktyg är avsedda för IT-hanterade miljöer och bör användas med försiktighet. Dell Technologies rekommenderar att du läser Microsofts officiella dokumentation innan du implementerar några manuella eller skriptade ändringar.