Вплив на завершення терміну дії сертифіката Microsoft Secure Boot 2011 на серверах Dell PowerEdge

Сертифікати Secure Boot використовуються як частина процесу Secure Boot, який допомагає захистити системи від буткітів. Bootkit — це тип шкідливого програмного забезпечення, призначений для зараження завантажувача або завантажувального процесу, що дозволяє запускати шкідливий код у системі.

Прострочені сертифікати не впливають на вже встановлену ОС — системи продовжують завантажуватися.

У системах із простроченими сертифікатами можуть виникати:

• Неможливість отримувати оновлення, пов'язані з Secure Boot
• Потенційні збої завантаження, якщо Secure Boot вимкнено або скинуто налаштування BIOS за замовчуванням
• Підвищена вразливість до шкідливого програмного забезпечення bootkit

Продукти, на які вплинули:

• Сервери Dell PowerEdge під управлінням Windows Server 2012 і пізніших версій
• Це стосується платформ 14-го, 15-го та 16-го поколінь.
• Серверні платформи 17-го покоління вже містять нові сертифікати

Корпорація Майкрософт припиняє використання ланцюжка сертифікатів Secure Boot 2011 року (KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011). Термін дії цих сертифікатів закінчується з червня 2026 року, що вимагає переходу на ланцюжок сертифікатів 2023 року.

Останнє офіційне оголошення в блозі Microsoft: Дійте зараз: Термін дії сертифікатів Secure Boot закінчується в червні 2026 року

• Dell планує випустити оновлення BIOS для серверних платформ 14-го, 15-го та 16-го поколінь до кінця 2025 року
• Оновлення BIOS включають сертифікати Secure Boot 2023 року
• Корпорація Майкрософт надсилає оновлення до активної бази даних Secure Boot за допомогою Windows Update
• Уникайте скидання налаштувань BIOS за замовчуванням або вимкнення Secure Boot
• Серверні платформи 12-го та 13-го поколінь не отримуватимуть оновлень через статус завершення обслуговування

Більш детальну інформацію від Microsoft можна знайти в статті Microsoft KB тут, включаючи специфіка сертифіката: Термін дії сертифіката Windows Secure Boot та оновлення ЦС

Почніть вивчати внутрішні активи та процеси, щоб переконатися, що вони готові до майбутніх змін сертифікатів Microsoft. Корпорація Майкрософт надає деякі вказівки щодо підготовки до майбутніх змін тут: Пристрої Windows для бізнесу та організацій з оновленнями

під керуванням інформаційних технологійAzure і корпоративні середовища:
Для корпоративних і хмарних систем Microsoft надає додаткові інструменти та вказівки для підтримки переходу на сертифікат Secure Boot:

• Оновлення завантажувального носія: Оновлення завантажувального носія Windows для використання менеджера завантаження з підписом PCA2023 - Підтримка
  Microsoft Використовуйте сценарій PowerShell Make2023BootableMedia.ps1, щоб вставити сертифікати Secure Boot 2023 на носій WinPE, ISO або USB.
• Віртуальні машини Azure Trusted Launch: Ключі Secure Boot UEFI - віртуальні машини Azure | Microsoft Learn
  Azure підтримує користувацьке впровадження ключа UEFI Secure Boot за допомогою шаблонів Azure Compute Gallery та ARM. Це корисно для організацій, яким потрібні користувацькі ключі PK, KEK, DB або DBX.
• Оновлення UEFI вручну: Set-SecureBootUEFI (SecureBoot) | Користувачі Microsoft Learn
  Advanced можуть використовувати командлет PowerShell Set-SecureBootUEFI для оновлення змінних безпечного завантаження вручну. Для цього потрібні підписані пакети та адміністративні привілеї.

Ці інструменти призначені для середовищ, керованих IT, і їх слід використовувати з обережністю. Dell Technologies рекомендує ознайомитися з офіційною документацією Microsoft, перш ніж впроваджувати будь-які зміни в керівництві або сценарії.