Domande frequenti sul passaggio a Secure Boot

Sistemi operativi interessati:

• Windows

Sommario

• Informazioni generali
• Computer e aggiornamenti Dell
• Comunicazioni e indicazioni per il cliente
• Impatto e ripristino
• Costi e durata

Informazioni generali:

• Cos'è il passaggio a Secure Boot Key?
  • Gli attuali certificati Microsoft 2011 Secure Boot scadono a giugno 2026. Questi certificati verranno sostituiti con una nuova catena di certificati del 2023: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Sono necessari i certificati del 2023 per installare Windows 11 25H2?
  • No. I dispositivi possono installare 25H2 utilizzando i certificati del 2011.
• Cosa succede alla scadenza dei certificati Secure Boot correnti?
  • Il computer è comunque in grado di avviarsi. Tuttavia, con un certificato scaduto, non può ricevere aggiornamenti futuri del bootloader o di Secure Boot.
• In cosa consiste la strategia con doppi certificati di Dell?
  • Per facilitare la transizione, Dell ha iniziato a spedire i certificati del 2011 e del 2023 sulle piattaforme appena lanciate alla fine del 2024 e, entro la fine del 2025, su tutte le piattaforme di supporto fornite dalle fabbriche Dell. Ciò consente ai clienti aziendali con immagini meno recenti di avviare le immagini firmate con uno dei due certificati.
• Qual è la differenza tra il database Active Secure Boot e Default Secure Boot?
  • Il database Active Secure Boot è quello che il computer utilizza durante l'avvio per verificare l'attendibilità del software. Il database Default Secure Boot è un set di backup di chiavi attendibili originali che possono essere ripristinate, se necessario.
    In breve:
    • Active: attualmente applicato (comunemente aggiornato da Windows Update)
    • Default: la versione di ripristino delle impostazioni predefinite non viene utilizzata, a meno che non venga ripristinata (aggiornata tramite un aggiornamento del BIOS)
    Nota: è importante che il database Default Secure Boot sia aggiornato ai certificati del 2023. In caso contrario, se si attiva Expert Key Mode, le variabili Active provenienti da Windows Update potrebbero essere cancellate.
• Come viene aggiornato il database Active?
  • Il database Active può essere aggiornato utilizzando Windows Update. In questo modo si evitano interruzioni nelle funzionalità di protezione come BitLocker. In alternativa, se Windows Update non è disponibile e il cliente è un utente esperto, il database Active può essere sovrascritto utilizzando un comando nel BIOS per ripristinare le chiavi. Fare riferimento a Come aggiornare il database Secure Boot Active dal BIOS per ulteriori informazioni.
• Come viene aggiornato il database Default?
  • Il database Default viene aggiornato utilizzando un flash del BIOS.
• Cosa succede alla scadenza dei certificati Secure Boot correnti?
  • Il computer è comunque in grado di avviarsi. Tuttavia, con un certificato scaduto, non può ricevere aggiornamenti futuri del bootloader o di Secure Boot.

Torna all'inizio

Computer e aggiornamenti Dell:

• Quali computer Dell ricevono gli aggiornamenti del BIOS?
  • Dell si aggiorna:
    • Piattaforme commerciali e per privati con EOSL successiva al 31 dicembre 2025, spedite da fabbriche Dell o sul campo
  • Dell non si aggiorna:
    • Piattaforme con EOSL precedente al 1° gennaio 2026. Significa che, sebbene Microsoft possa rendere disponibili i nuovi certificati, il BIOS su questi computer meno recenti potrebbe non supportarli o conservarli, soprattutto se l'opzione Secure Boot è attivata o vengono ripristinate le impostazioni predefinite del BIOS.
• Qual è il contributo di Dell per mitigare l'impatto sui clienti?
  • Distribuzione degli aggiornamenti del BIOS per le piattaforme supportate entro la fine del 2025
  • Collaborazione con Microsoft per sviluppare strumenti di ripristino efficaci
  • Pubblicazione di articoli della Knowledge Base
  • Aggiornamento di supporti avviabili
• E per quanto riguarda l'impatto sulle schede grafiche di terze parti e sui computer Linux?
  • Microsoft ha creato due nuove CA del 2023 di terze parti per sostituire la CA del 2011 di terze parti in scadenza. In altre parole, Microsoft Corporation UEFI CA 2011 è stato suddiviso in Microsoft UEFI CA 2023 (per bootloader) e Microsoft Option ROM UEFI CA 2023 (per Option ROM). Sono già stati apportati aggiornamenti a Microsoft Hardware Device Center (HDC) per supportare la firma di driver di terze parti che necessitano di queste nuove CA del 2023. Anche se i partner possono iniziare a firmare con le nuove CA del 2023 a ottobre 2025, Microsoft e OEM continuano a supportare l'attuale Microsoft Corporation UEFI CA 2011 finché l'ecosistema non abbia avuto tempo sufficiente per eseguire la migrazione alle nuove CA del 2023.
• In che modo un cliente enterprise ottiene un nuovo certificato del 2023 sull'attuale flotta di dispositivi?
  • I clienti aziendali hanno la possibilità di consentire a Microsoft di gestire gli aggiornamenti ai propri dispositivi tramite Windows Update (WU) o, in alternativa, di applicare manualmente gli aggiornamenti ai dispositivi della flotta. Le indicazioni sono disponibili qui: Windows devices with IT-managed updates Inoltre, Dell invia gli aggiornamenti del BIOS ai dispositivi in modalità di servizio, che possono essere utilizzati per popolare il database Active. Per le istruzioni, consultare Come aggiornare il database Secure Boot Active dal BIOS.
• Esistono requisiti hardware specifici per ottenere questo certificato?
  • I dispositivi devono supportare Secure Boot ed essere compatibili con gli aggiornamenti del firmware UEFI. Dell sta convalidando internamente le piattaforme e ha pubblicato un elenco dei computer supportati nell'articolo della Knowledge Base di Dell Scadenza del certificato Microsoft 2011 Secure Boot.

Torna all'inizio

Comunicazioni e indicazioni per il cliente:

• In che modo Dell comunica ai propri clienti la situazione?
  • Dell ha pubblicato l'articolo Scadenza del certificato Microsoft 2011 Secure Boot aggiornato con l'elenco delle piattaforme Dell pronte per l'aggiornamento. Dell fornirà ulteriori comunicazioni in linea con le indicazioni pubbliche di Microsoft, se necessario.
• Cosa dovrebbero fare i clienti aziendali?
  • Pianificare gli aggiornamenti del BIOS prima dell'implementazione di Windows 25H2, utilizzando l'elenco dei dispositivi Dell gestiti in Scadenza del certificato Microsoft 2011 Secure Boot.
  • Se si preferisce gestire i dispositivi internamente (anziché tramite WU), le aziende possono già iniziare ad aggiornare i dispositivi con le nuove CA del 2023, come indicato qui: Windows devices with IT-managed updates .
  • Segnalare eventuali problemi di aggiornamento a Dell.
• Come può un cliente accertarsi di disporre di un certificato del 2011 o del 2023?
  • Microsoft prevede di aggiungere notifiche a Windows per gli utenti finali. Inoltre, gli utenti possono eseguire il seguente comando PowerShell per verificare se dispongono di una CA del 2011 o del 2023 (metodologia disponibile in un futuro articolo della Knowledge Base).
• Come fa un cliente a sapere se il suo certificato è scaduto o sta per scadere?
  • Computer con uno dei tre certificati (CA) che scadranno nel 2026:

    CA 2011	Data di scadenza
    Microsoft Corporation KEK CA 2011	24 giugno 2026
    Microsoft Windows Production PCA 2011	19 ottobre 2026
    Microsoft Corporation UEFI CA 2011	27 giugno 2026

• Se un cliente dispone di un certificato 2023, deve agire in qualche modo?
  • No. Se sono presenti entrambi i certificati Windows UEFI CA 2023 e Microsoft Corporation KEK 2K CA 2023, non sono necessarie ulteriori azioni.
• Un cliente può passare a un certificato del 2023 se i propri dispositivi eseguono Windows 10 e hanno eliminato o stanno per eliminare un aggiornamento di sicurezza esteso (ESU)?
  • Sì, Microsoft sta aggiornando i certificati Active per i dispositivi Windows 11 sul campo e aggiornerà i dispositivi Windows 10 se il dispositivo:
    • Esegue Windows LTSC 2021
    • Ha una licenza ESU attivata

Torna all'inizio

Impatto e ripristino:

• Qual è l'impatto di un certificato scaduto?
  • Una volta scaduti i certificati Secure Boot (a partire da giugno 2026), i computer continuano ad avviarsi (con l'opzione Secure Boot attivata). Inoltre, il computer non riceve più gli aggiornamenti per i componenti Windows Boot Manager e Secure Boot tramite Windows Update, compromettendone la sicurezza.
• Cosa succede se la funzione Secure Boot è disattivata o attivata su un dispositivo?
  • A volte, la disabilitazione di Secure Boot cancella tutte le variabili UEFI attive, il che significa che tutte le CA del 2023 già utilizzate sul dispositivo potrebbero essere eliminate (e successivamente sostituite con CA del 2011 precedenti del firmware predefinito, se non sono mai state aggiornate). Sui dispositivi Dell, ciò si verifica se un utente seleziona l'opzione Expert Key Mode nel menu del BIOS. In questo caso, le variabili attive vengono estratte dal firmware predefinito.
    Nota: se BitLocker è abilitato sul dispositivo, potrebbe essere richiesto di inserire la chiave di ripristino BitLocker.
• Quali strumenti sono disponibili per il ripristino?
  • Microsoft ha rilasciato uno strumento di ripristino manuale, ma presenta delle limitazioni. Strumenti automatizzati per assistere i clienti sono ancora in fase di sviluppo.

Torna all'inizio

Costi e durata:

• Esiste un costo associato ai nuovi certificati?
  • Non è previsto alcun costo diretto per la ricezione dei certificati del 2023 tramite Windows Update e le CA del 2023 sono già disponibili gratuitamente in Windows Secure Boot Key Creation and Management Guidance . Tuttavia, gli aggiornamenti del BIOS per i dispositivi fuori servizio potrebbero richiedere un intervento manuale o l'intervento dell'assistenza, il che potrebbe comportare costi a seconda dei contratti di assistenza.
• Qual è la durata del nuovo certificato?
  • I certificati del 2023 sono validi per 15 anni (2038).

Torna all'inizio