PowerEdge: Richtlijnen voor BIOS-update van de server voor Microsoft Secure Boot-certificaten

Het is van toepassing op UEFI-systemen waarop Secure Boot is ingeschakeld en oudere Secure Boot-certificaten die worden beïnvloed door het verlopen van het Microsoft Secure Boot-certificaat (juni 2026). Het besturingssysteem beheert voornamelijk Secure Boot-certificaatupdates en klanten moeten ervoor zorgen dat ze hun systemen bijwerken met behulp van ondersteunde Microsoft-updatemechanismen.

Het is van toepassing op Windows Server-besturingssystemen waarop deze wijziging van toepassing is, zoals gedefinieerd door Microsoft, en die worden uitgevoerd op fysieke systemen met door de klant beheerde firmware en Secure Boot-configuratie.

Het is niet van toepassing op cloudplatforms of apparaten waarbij de provider firmware en Secure Boot-sleutels beheert, zoals Microsoft Azure, AX of APEX-Managed Cloud.

Op systemen waarop al BIOS-versies worden uitgevoerd die de bijgewerkte certificaten voor veilig opstarten bevatten, is deze procedure mogelijk niet vereist.

Doelservers en -besturingssystemen

Deze richtsnoeren zijn van toepassing op:

1. Dell PowerEdge servers die UEFI-opstartmodus en Secure Boot ondersteunen
2. Systemen met ondersteunde Windows Server-besturingssystemen waarop het Microsoft Secure Boot-certificaat verloopt (juni 2026), zoals gedefinieerd door Microsoft. Voor andere besturingssystemen dan Microsoft Windows kan het normale BIOS-updateproces worden gevolgd om de nieuwe certificaten toe te voegen.
3. Fysieke servers, waaronder 14e, 15e en 16e generatie

Voor virtuele machines (op basis van UEFI) volgt u de richtlijnen van de Hypervisor-leverancier.

Microsoft Hyper-V: Updates van certificaat voor veilig opstarten: Richtlijnen voor IT-professionals en -organisaties

VMware ESXi: Het verlopen van het Secure Boot-certificaat en updatefouten in VMware virtuele machines

Servergeneraties en BIOS-identifiers

De hieronder vermelde BIOS-versies vertegenwoordigen minimale releases die de bijgewerkte Microsoft Secure Boot-certificaten bevatten. BIOS-versies die nieuwer zijn dan de hieronder vermelde versies bevatten ook de nieuwe certificaten voor veilig opstarten.

Belangrijk
Voordat u doorgaat met de onderstaande stappen, moet u controleren of veilig opstarten is ingeschakeld en geconfigureerd met behulp van het standaard (standaard) beleid voor veilig opstarten.
Systemen die gebruikmaken van aangepast beleid of beleid voor veilig opstarten van derden vereisen mogelijk aanvullende controle voordat updates van het certificaat voor veilig opstarten kunnen worden toegepast.
Als Secure boot niet is ingeschakeld, volgt u het traditionele BIOS-updateproces. Onderstaande stappen zijn niet vereist.

Aanbevolen procedure

1. Controleer de systeemconfiguratie

   • Als BitLocker is ingeschakeld, moet u de BitLocker-beveiliging tijdelijk opschorten voordat u verdergaat om herstelprompts na opnieuw opstarten te vermijden.
   • Stel indien nodig het PowerShell-uitvoeringsbeleid tijdelijk in op 'Onbeperkt' of 'Overslaan' om het uitvoeren van scripts toe te staan. (opdracht Set-ExecutionPolicy)
   • Voor failoverclusters (S2D, SAN Attached): voeg Suspend-ClusterNode -Drain toe om het knooppunt te pauzeren en geclusterde rollen naar een ander knooppunt te verplaatsen.
   • Systeemfirmware (BIOS) heeft een ondersteunde en stabiele release (bijvoorbeeld een door de productie goedgekeurde BIOS-versie voor het platform). Op systemen waarop al BIOS-versies worden uitgevoerd die de bijgewerkte certificaten voor veilig opstarten bevatten, is deze procedure niet vereist.

2. Voer de Microsoft Secure Boot 2023 certificaatupdatescripts uit

   • Download en pak de Secure Boot-updatescripts uit die aan dit artikel zijn toegevoegd
     • Voor 16G - Kopieer 16G_Secure_Boot_Certificates_pkb.zip en pak het uit in een willekeurige map.
     • Voor 15G - Kopieer 15G_Secure_Boot_Certificates_pkb.zip en pak het uit in een willekeurige map.
     • Voor 14G - Kopieer 14G_Secure_Boot_Certificates_pkb.zip en pak het uit in een willekeurige map.

   • Voer de scripts uit met behulp van een opdrachtprompt met verhoogde bevoegdheid (administrator), zoals gedocumenteerd door Microsoft

     • Voor 16G: 16G_SecureBoot_Cert_Update.PS1
     • Voor 15G: 15G_SecureBoot_Cert_Update.PS1
     • Voor 14G: 14G_SecureBoot_Cert_Update.PS1
   • Volg de instructies op het scherm
   • Start de server opnieuw op wanneer hierom wordt gevraagd
   Opmerking: Tijdens de uitvoering kunnen systemen informatieve gebeurtenissen registreren, zoals UEFI00074. Deze berichten worden verwacht en duiden niet op een defect.

3. Pas een bijgewerkt BIOS toe dat de nieuwe certificaten bevat.

4. Windows-updates toepassen

   • Zorg er na het opnieuw opstarten voor dat het systeem volledig is bijgewerkt met de nieuwste cumulatieve Windows-updates voor het geïnstalleerde besturingssysteem. Windows-updates zijn vereist om ervoor te zorgen dat Secure Boot-certificaatupdates en intrekkingen volledig worden toegepast en actueel worden gehouden binnen het besturingssysteem.

5. Status van certificaat voor veilig opstarten valideren

   • Controleer of de bijgewerkte Microsoft Secure Boot-certificaten aanwezig zijn.
   • Certificaten voor veilig opstarten controleren

6. Validatie na update

   • Bevestig dat het systeem succesvol opstart
   • Controleren of veilig opstarten ingeschakeld blijft

Aanvullende overwegingen:

• BIOS-updates kunnen de platformafmetingen wijzigen die worden gebruikt door BitLocker en VBS.
• In zeldzame gevallen kunnen systemen waarop BitLocker is ingeschakeld vragen om herstel na firmware-updates.
• Het wordt aanbevolen BitLocker op te schorten voordat BIOS- en Secure Boot-updates worden uitgevoerd om herstelprompts te voorkomen.