Dell PowerEdge Sunucularında Microsoft Secure Boot 2011 Sertifikasının Süre Sonu Etkisi

Güvenli Önyükleme sertifikaları, sistemleri önyükleme kitlerine karşı korumaya yardımcı olan Güvenli Önyükleme işleminin bir parçası olarak kullanılır. Önyükleme kiti, bir önyükleyiciye veya önyükleme işlemine bulaşarak sistemde kötü amaçlı kodun çalışmasını sağlamak üzere tasarlanmış bir tür kötü amaçlı yazılımdır.

Son kullanım süresi dolan sertifikalar zaten kurulu olan işletim sistemini etkilemez—sistemler ön yüklemeye devam eder.

Süresi dolmuş sertifikalara sahip sistemlerle şunlar karşılaşabilir:

• Güvenli Önyükleme ile ilgili güncelleştirmeleri alamama
• Güvenli Önyükleme devre dışı bırakılırsa veya BIOS varsayılanları sıfırlanırsa olası önyükleme hataları
• Bootkit kötü amaçlı yazılımlarına karşı artan güvenlik açığı

Etkilenen ürünler:

• Windows Server 2012 ve sonraki sürümleri çalıştıran Dell PowerEdge sunucuları
• Etkilenen platformlar arasında 14., 15. ve 16. Nesil Sunucu platformları yer alır.
• 17. Nesil Sunucu platformları zaten yeni sertifikaları içeriyor

Microsoft, 2011 Güvenli Önyükleme sertifika zincirini kullanımdan kaldırıyor (KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011). Bu sertifikaların süresi Haziran 2026'dan itibaren dolacak ve 2023 sertifika zincirine geçiş gerektirecektir.

En son resmi Microsoft blog duyurusu: Şimdi harekete geçin: Güvenli Önyükleme sertifikalarının süresi Haziran 2026'da dolacak

• Dell, 2025'in sonuna kadar 14., 15. ve 16. Nesil Sunucu platformları için BIOS güncellemeleri yayınlamayı planlamaktadır
• BIOS güncellemeleri, 2023 Güvenli Önyükleme sertifikalarını içerir
• Microsoft, Windows Update i kullanarak güncellemeleri etkin Güvenli Önyükleme veritabanına gönderir
• BIOS varsayılanlarını sıfırlamaktan veya Güvenli Önyüklemeyi devre dışı bırakmaktan kaçının
• 12. ve 13. Nesil Sunucu platformları, hizmet sonu durumu nedeniyle güncelleme almayacaktır

Sertifika özellikleri de dahil olmak üzere Microsoft hakkında daha fazla ayrıntıyı buradaki Microsoft KB makalesinde bulabilirsiniz: Windows Güvenli Önyükleme sertifikasının süre sonu ve CA güncelleştirmeleri

Yaklaşan Microsoft sertifika değişikliğine hazır olduklarından emin olmak için dahili varlıkları ve süreçleri incelemeye başlayın. Microsoft, burada yaklaşan değişikliğe nasıl hazırlanacağınız konusunda bazı yönergeler sağlar: BT tarafından yönetilen güncelleştirmelere

sahip işletmeler ve kuruluşlar için Windows cihazlarıAzure ve Kurumsal Ortamlar:
Kurumsal ve bulutta barındırılan sistemler için Microsoft, Güvenli Önyükleme sertifikası geçişini desteklemek için ek araçlar ve rehberlik sağlar:

• Önyüklenebilir Medya Güncelleştirmeleri: Windows önyüklenebilir ortamını PCA2023 imzalı önyükleme yöneticisini kullanacak şekilde güncelleştirme - Microsoft Desteği
  2023 Güvenli Önyükleme sertifikalarını WinPE, ISO veya USB ortamına eklemek için Make2023BootableMedia.ps1 PowerShell betiğini kullanın.
• Azure Güvenilen Başlatma VM'leri: Güvenli Önyükleme UEFI anahtarları - Azure Sanal Makineler | Microsoft Learn
  Azure, Azure İşlem Galerisi ve ARM şablonlarını kullanarak özel UEFI Güvenli Önyükleme anahtarı ekleme işlemini destekler. Bu, özel PK, KEK, DB veya DBX anahtarlarına ihtiyaç duyan kuruluşlar için kullanışlıdır.
• Manuel UEFI Güncellemeleri: Set-SecureBootUEFI (SecureBoot) | Microsoft Learn
  Advanced kullanıcıları, Güvenli Önyükleme değişkenlerini el ile güncelleştirmek için Set-SecureBootUEFI PowerShell cmdlet'ini kullanabilir. Bunun için imzalı paketler ve yönetici ayrıcalıkları gerekir.

Bu araçlar, BT tarafından yönetilen ortamlara yöneliktir ve dikkatli kullanılmalıdır. Dell Technologies, manuel veya komut dosyası olarak yapılan değişiklikleri uygulamadan önce Microsoft'un resmi belgelerini incelemenizi önerir.