PowerEdge: Wytyczne dotyczące aktualizacji systemu BIOS serwerów dla certyfikatów bezpiecznego rozruchu firmy Microsoft
Podsumowanie: Ten artykuł zawiera wskazówki dla serwerów Dell PowerEdge wymagających naprawy w związku z wygaśnięciem certyfikatu Microsoft Secure Boot (czerwiec 2026 r.).
Instrukcje
Dotyczy systemów opartych na interfejsie UEFI z włączonym bezpiecznym rozruchem i starszych certyfikatów bezpiecznego rozruchu, których dotyczy wygaśnięcie certyfikatu Microsoft Secure Boot (czerwiec 2026 r.). System operacyjny zarządza głównie aktualizacjami certyfikatów bezpiecznego rozruchu, a klienci powinni upewnić się, że aktualizują swoje systemy przy użyciu obsługiwanych mechanizmów aktualizacji firmy Microsoft.
Dotyczy to systemów operacyjnych Windows Server, których dotyczy ta zmiana, zgodnie z definicją firmy Microsoft, działających na fizycznych systemach z oprogramowaniem wewnętrznym zarządzanym przez klienta i skonfigurowanymi funkcjami bezpiecznego rozruchu.
Nie ma zastosowania do platform lub urządzeń chmurowych, w których dostawca zarządza oprogramowaniem wewnętrznym i kluczami bezpiecznego rozruchu, takich jak Microsoft Azure, AX lub APEX-Managed Cloud.
Systemy z uruchomionymi już wersjami systemu BIOS zawierającymi zaktualizowane certyfikaty bezpiecznego rozruchu mogą nie wymagać tej procedury.
Docelowe serwery i systemy operacyjne
Te wytyczne dotyczą:
- Serwery Dell PowerEdge obsługujące tryb rozruchu UEFI i funkcję bezpiecznego rozruchu
- Systemy z obsługiwanymi systemami operacyjnymi Windows Server, których dotyczy wygaśnięcie certyfikatu bezpiecznego rozruchu firmy Microsoft (czerwiec 2026 r.), zgodnie z definicją firmy Microsoft. W przypadku systemów operacyjnych innych niż Microsoft Windows można przeprowadzić normalny proces aktualizacji systemu BIOS w celu dodania nowych certyfikatów.
- Serwery fizyczne, w tym 14., 15. i 16. generacji
W przypadku maszyn wirtualnych (opartych na UEFI) postępuj zgodnie ze wskazówkami dostarczonymi przez dostawcę monitora maszyny wirtualnej.
Microsoft Hyper-V: Aktualizacje certyfikatu bezpiecznego rozruchu: Wskazówki dla specjalistów IT i organizacji
Kontroler VMware ESXi: Wygaśnięcie certyfikatu bezpiecznego rozruchu i awarie aktualizacji w maszynach wirtualnych VMware
Generacje serwerów i identyfikatory systemu BIOS
Wymienione poniżej wersje systemu BIOS reprezentują minimalne wersje zawierające zaktualizowane certyfikaty bezpiecznego rozruchu firmy Microsoft. Nowsze wersje systemu BIOS niż wymienione poniżej również zawierają nowe certyfikaty bezpiecznego rozruchu.
| Platforma | BIOS Version (Wersja systemu BIOS) |
|---|---|
| R260, R360, T160, T360 | 2.4.0 |
| R660, R760, R860, R760XD2, R760XA, XE8640, XE9680, HS5620, XR7620, R760XS, XR5610, XR8610T, XR8620T, R960, T560, MX760C, XC760, VS-760, XC660, XC760XD2, VE660, VP-760, XC660XS, XC760XA, VP-760XA, R660xs, MC-760 | 2.8.2 |
| R6625, R7625 | 1.15.3 |
| C6615 | 1.10.3 |
| R6615, R7615 | 1.15.3 |
| R750, R750xa, R750xs, R650, R650xs, R550, R450, C6520, MX750c, T550 | 1.19.2 |
| XR4510c, XR4520c | 1.21.1 |
| R350, R250, T350, T150 | 1.13.0 |
| R6515, R7515 | 2.22.0 |
| R6525, R7525 | 2.22.0 |
| R7425 | 1.23.0 |
| R7415, R6415 | 1.23.0 |
| R740, R740XD, R640, R940 | 2.25.0 |
| C4140 | 2.25.0 |
| R840, R940XA | 2.25.0 |
| T640 | 2.25.0 |
| R540, R440, T440 | 2.25.0 |
| R740XD2 | 2.25.0 |
| MX740C | 2.25.0 |
| MX840 | 2.25.0 |
| M640, FC640, M640 (VRTX) | 2.25.0 |
| C6420 | 2.25.0 |
| XE7420, XE7440 | 2.25.0 |
| XE2420 | 2.25.0 |
| R340, T340, R240, T140 | 2.21.0 |
Ważne
Przed wykonaniem poniższych czynności sprawdź, czy funkcja Secure Boot jest włączona i skonfigurowana przy użyciu domyślnej (standardowej) zasady
Secure Boot.Systemy korzystające z niestandardowych zasad bezpiecznego rozruchu lub zasad innych firm mogą wymagać dodatkowej weryfikacji przed zastosowaniem aktualizacji certyfikatu bezpiecznego rozruchu.
Jeśli funkcja Secure Boot nie jest włączona, postępuj zgodnie z tradycyjnym procesem aktualizacji systemu BIOS. Poniższe czynności nie są wymagane.
Zalecana procedura
-
Sprawdź konfigurację systemu
- Jeśli funkcja BitLocker jest włączona, tymczasowo wstrzymaj ochronę BitLocker przed kontynuowaniem działania, aby uniknąć monitów o odzyskiwanie po ponownym uruchomieniu komputera.
- W razie potrzeby tymczasowo ustaw zasady wykonywania programu PowerShell na wartość "Bez ograniczeń" lub "Pomiń", aby umożliwić wykonywanie skryptów. (polecenie Set-ExecutionPolicy)
- W przypadku klastrów trybu failover (S2D, dołączona sieć SAN) — dodaj "Suspend-ClusterNode -Drain", aby wstrzymać węzeł i przenieść klastrowane role do innego węzła.
- Oprogramowanie wewnętrzne systemu (BIOS) jest w wersji obsługiwanej i stabilnej (na przykład w wersji systemu BIOS zatwierdzonej do użytku w środowisku produkcyjnym dla danej platformy). Systemy z bieżącą wersją systemu BIOS zawierającą zaktualizowane certyfikaty bezpiecznego rozruchu nie wymagają tej procedury.
-
Uruchamianie skryptów aktualizacji certyfikatu Microsoft Secure Boot 2023
- Pobierz i wyodrębnij skrypty aktualizacji bezpiecznego rozruchu dołączone do tego artykułu.
- W przypadku 16G — skopiuj 16G_Secure_Boot_Certificates_pkb.zip i wyodrębnij do dowolnego folderu.
- W przypadku 15G — skopiuj 15G_Secure_Boot_Certificates_pkb.zip i wyodrębnij do dowolnego folderu.
- W przypadku 14G — skopiuj 14G_Secure_Boot_Certificates_pkb.zip i wyodrębnij do dowolnego folderu.
-
Uruchamianie skryptów przy użyciu wiersza poleceń z podwyższonym poziomem uprawnień (administratora) zgodnie z dokumentacją firmy Microsoft
- Dla 16G: 16G_SecureBoot_Cert_Update.ps1
- Dla 15G: 15G_SecureBoot_Cert_Update.ps1
- Dla 14G: 14G_SecureBoot_Cert_Update.ps1
- Postępuj zgodnie z wyświetlanymi instrukcjami
- Uruchom ponownie serwer po wyświetleniu monitu
Uwaga: Podczas wykonywania systemy mogą rejestrować zdarzenia informacyjne, takie jak UEFI00074. Te komunikaty są oczekiwane i nie wskazują na awarię. - Pobierz i wyodrębnij skrypty aktualizacji bezpiecznego rozruchu dołączone do tego artykułu.
-
Zainstaluj zaktualizowany system BIOS, który zawiera nowe certyfikaty.
-
Zastosuj aktualizacje systemu Windows
- Po ponownym uruchomieniu upewnij się, że system jest w pełni zaktualizowany przy użyciu najnowszych dostępnych aktualizacji zbiorczych systemu Windows dla zainstalowanego systemu operacyjnego. Aktualizacje systemu Windows są wymagane w celu zapewnienia pełnego stosowania i aktualizowania certyfikatów bezpiecznego rozruchu oraz odwołań w systemie operacyjnym.
-
Weryfikacja stanu certyfikatu bezpiecznego rozruchu
- Upewnij się, że aktualne certyfikaty Microsoft Secure Boot są obecne.
- Sprawdzanie certyfikatów Secure Boot
-
Weryfikacja po aktualizacji
- Potwierdź, że system został pomyślnie uruchomiony
- Sprawdź, czy funkcja Secure Boot pozostaje włączona
Uwagi dodatkowe:
- Aktualizacje systemu BIOS mogą zmienić pomiary platformy używane przez funkcje BitLocker i VBS.
- W rzadkich przypadkach systemy z włączoną funkcją BitLocker mogą wyświetlać monit o przywrócenie po aktualizacji oprogramowania wewnętrznego.
- Zaleca się wstrzymanie funkcji BitLocker przed aktualizacją systemu BIOS i funkcji Secure Boot, aby uniknąć monitów o odzyskiwanie.