Impacto del vencimiento del certificado de Microsoft Secure Boot 2011 en los servidores Dell PowerEdge

Los certificados de arranque seguro se utilizan como parte del proceso de arranque seguro, lo que ayuda a proteger los sistemas de los bootkits. Un bootkit es un tipo de malware diseñado para infectar un cargador de arranque o un proceso de arranque, lo que permite que se ejecute código malicioso en el sistema.

Los certificados vencidos no afectan al sistema operativo ya instalado: los sistemas continúan arrancando.

Los sistemas con certificados vencidos pueden experimentar lo siguiente:

• Incapacidad de recibir actualizaciones relacionadas con el arranque seguro
• Posibles fallas de arranque si el arranque seguro está deshabilitado o si se restablecen los valores predeterminados del BIOS
• Mayor vulnerabilidad al malware de bootkit

Productos afectados:

• Servidores Dell PowerEdge que ejecutan Windows Server 2012 y versiones posteriores
• Las plataformas afectadas incluyen las plataformas Server de 14.ª, 15.ª y 16.ª generación.
• Las plataformas Server de 17.ª generación ya contienen los nuevos certificados

Microsoft retirará la cadena de certificados de arranque seguro de 2011 (KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011). Estos certificados vencen en junio de 2026, lo que requiere una transición a la cadena de certificados de 2023.

Último anuncio del blog oficial de Microsoft: Actúe ahora: Los certificados de arranque seguro vencen en junio de 2026

• Dell planea lanzar actualizaciones del BIOS para las plataformas de servidores de 14.ª, 15.ª y 16.ª generación para fines de 2025
• Las actualizaciones del BIOS incluyen los certificados de arranque seguro de 2023
• Microsoft inserta las actualizaciones en la base de datos activa de arranque seguro mediante Windows Update
• Evite restablecer los valores predeterminados del BIOS o deshabilitar el arranque seguro
• Las plataformas de servidores de 12.ª y 13.ª generación no recibirán actualizaciones debido al estado de fin de servicio

Puede encontrar más detalles de Microsoft en el artículo de la base de conocimientos de Microsoft aquí, incluidas las especificaciones del certificado: Vencimiento del certificado de arranque seguro de Windows y actualizaciones de CA

Comience a examinar los activos y procesos internos para asegurarse de que estén listos para el próximo cambio de certificado de Microsoft. Microsoft proporciona algunas instrucciones sobre cómo prepararse para el próximo cambio aquí: Dispositivos Windows para empresas y organizaciones con actualizaciones administradas por TI

Azure y entornos empresariales:
para los sistemas empresariales y hospedados en la nube, Microsoft proporciona herramientas y orientación adicionales para admitir la transición del certificado de arranque seguro:

• Actualizaciones de medios de arranque: Actualización de medios de arranque de Windows para utilizar el administrador de arranque firmado PCA2023 - Soporte técnico
  de Microsoft Utilice el script de PowerShell Make2023BootableMedia.ps1 para insertar certificados de arranque seguro de 2023 en medios WinPE, ISO o USB.
• Máquinas virtuales de Inicio seguro de Azure: Claves de UEFI de arranque seguro: máquinas virtuales de Azure | Microsoft Learn
  Azure es compatible con la inyección personalizada de claves de arranque seguro de UEFI mediante la Galería de computación de Azure y las plantillas de ARM. Esto es útil para las organizaciones que requieren claves PK, KEK, DB o DBX personalizadas.
• Actualizaciones manuales de UEFI: Set-SecureBootUEFI (SecureBoot) | Los usuarios de Microsoft Learn
  Advanced pueden usar el cmdlet de PowerShell Set-SecureBootUEFI para actualizar manualmente las variables de arranque seguro. Esto requiere paquetes firmados y privilegios administrativos.

Estas herramientas están diseñadas para entornos administrados por TI y se deben utilizar con precaución. Dell Technologies recomienda revisar la documentación oficial de Microsoft antes de implementar cualquier cambio manual o con script.