Wpływ wygaśnięcia certyfikatu Microsoft Secure Boot 2011 na serwery Dell PowerEdge

Certyfikaty bezpiecznego rozruchu są używane w procesie bezpiecznego rozruchu, który pomaga chronić systemy przed bootkitami. Bootkit to rodzaj złośliwego oprogramowania, którego celem jest infekowanie programu ładującego lub procesu rozruchu, umożliwiając uruchomienie złośliwego kodu w systemie.

Wygasłe certyfikaty nie mają wpływu na już zainstalowane systemy operacyjne — systemy nadal się uruchamiają.

W systemach z certyfikatami wygasłymi:

• Brak możliwości otrzymywania aktualizacji związanych z bezpiecznym rozruchem
• Potencjalne problemy z rozruchem w przypadku wyłączenia bezpiecznego rozruchu lub zresetowania ustawień domyślnych systemu BIOS
• Zwiększona podatność na złośliwe oprogramowanie bootkit

Dotyczy produktów:

• Serwery Dell PowerEdge z systemem Windows Server 2012 lub nowszym
• Dotyczy to platform serwerowych 14., 15. i 16. generacji.
• Platformy serwerowe 17. generacji zawierają już nowe certyfikaty

Firma Microsoft wycofuje łańcuch certyfikatów bezpiecznego rozruchu 2011 (KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011). Certyfikaty te wygasają od czerwca 2026 r., co wymaga przejścia do łańcucha certyfikatów 2023 r.

Najnowsze oficjalne ogłoszenie na blogu Microsoft: Działaj teraz: Certyfikaty bezpiecznego rozruchu wygasają w czerwcu 2026 r.

• Firma Dell planuje wydać aktualizacje systemu BIOS dla platform serwerowych 14., 15. i 16. generacji do końca 2025 r.
• Aktualizacje systemu BIOS obejmują certyfikaty bezpiecznego rozruchu na rok 2023
• Firma Microsoft wypycha aktualizacje do aktywnej bazy danych bezpiecznego rozruchu za pomocą usługi Windows Update
• Unikaj przywracania domyślnych ustawień systemu BIOS lub wyłączania funkcji Bezpieczny rozruch
• Platformy serwerowe 12. i 13. generacji nie otrzymają aktualizacji ze względu na zakończenie świadczenia usług

Więcej szczegółów na temat firmy Microsoft można znaleźć w artykule bazy wiedzy firmy Microsoft tutaj, w tym szczegółowe informacje na temat certyfikatu: Wygaśnięcie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje CA

Rozpocznij badanie wewnętrznych zasobów i procesów, aby upewnić się, że są one gotowe na nadchodzącą zmianę certyfikatu firmy Microsoft. Firma Microsoft udostępnia tutaj wskazówki, jak przygotować się na nadchodzącą zmianę: Urządzenia z systemem Windows dla firm i organizacji z aktualizacjami

zarządzanymi przez dział ITŚrodowiska platformy Azure i przedsiębiorstwa:
W przypadku systemów hostowanych w przedsiębiorstwie i w chmurze firma Microsoft udostępnia dodatkowe narzędzia i wskazówki dotyczące obsługi przejścia certyfikatu bezpiecznego rozruchu:

• Aktualizacje nośników startowych: Aktualizowanie nośnika startowego systemu Windows w celu użycia PCA2023 podpisanego menedżera rozruchu - Pomoc techniczna
  firmy Microsoft Użyj skryptu PowerShell Make2023BootableMedia.ps1, aby dodać certyfikaty bezpiecznego rozruchu 2023 do nośnika WinPE, ISO lub USB.
• Maszyny wirtualne zaufanego uruchamiania platformy Azure: Klucze UEFI bezpiecznego rozruchu — Azure Virtual Machines | Microsoft Learn
  Azure obsługuje niestandardowe wstrzykiwanie klucza bezpiecznego rozruchu UEFI przy użyciu galerii obliczeniowej platformy Azure i szablonów usługi ARM. Jest to przydatne w przypadku organizacji wymagających niestandardowych kluczy PK, KEK, DB lub DBX.
• Ręczne aktualizacje UEFI: Set-SecureBootUEFI (SecureBoot) | Użytkownicy usługi Microsoft Learn
  Advanced mogą użyć polecenia cmdlet Set-SecureBootUEFI programu PowerShell do ręcznego aktualizowania zmiennych bezpiecznego rozruchu. Wymaga to podpisanych pakietów i uprawnień administracyjnych.

Narzędzia te są przeznaczone dla środowisk zarządzanych przez dział IT i należy z nich korzystać ostrożnie. Firma Dell Technologies zaleca zapoznanie się z oficjalną dokumentacją firmy Microsoft przed wprowadzeniem jakichkolwiek zmian ręcznych lub skryptowych.