Поширені запитання щодо переходу в безпечне завантаження

Уражені операційні системи:

• Windows

Зміст

• Загальна інформація
• Комп'ютери Dell та оновлення
• Комунікація та консультації клієнтів
• Вплив і відновлення
• Вартість і тривалість

Загальна інформація:

• Що таке перехід Secure Boot Key?
  • Чинні сертифікати Microsoft 2011 Secure Boot починають закінчуватися в червні 2026 року. Їх буде замінено новим ланцюжком сертифікатів 2023 року: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Чи потрібні сертифікати 2023 року для встановлення Windows 11 25H2?
  • Ні. Пристрої можуть встановлювати 25H2, використовуючи сертифікати 2011 року.
• Що станеться, коли закінчиться чинний сертифікат Secure Boot?
  • Комп'ютер все ще може завантажуватися. Однак через прострочений сертифікат комп'ютер не може отримувати майбутні оновлення завантажувача або Secure Boot.
• Яка стратегія подвійного сертифіката Dell?
  • Щоб полегшити перехід, Dell почала випускати сертифікати 2011 та 2023 років на нових платформах наприкінці 2024 року, а до кінця 2025 року — на всіх підтримуючих платформах, що постачали з заводів Dell. Це дозволяє корпоративним клієнтам із старими образами завантажувати образи, підписані будь-яким із сертифікатів. Dell не встановила дату завершення цієї стратегії подвійних сертифікатів.
• У чому різниця між Active та Default Secure Boot Database?
  • База даних Active Secure Boot — це та, яку ваш комп'ютер використовує під час запуску для перевірки надійного програмного забезпечення. База даних Default Secure Boot — це резервний набір оригінальних довірених ключів, які можна відновити за потреби.
    Коротко:
    • Активні: Наразі виконується (зазвичай оновлюється з Windows Update)
    • За замовчуванням: Версія скидання до заводських налаштувань не використовується, якщо не відновлена (оновлено за допомогою оновлення BIOS)
    Примітка. Стандартна база даних Secure Boot оновлюється до сертифікатів 2023 року. Інакше, якщо вмикається режим Expert Key Mode, це може видалити активні змінні, що надходять з Windows Update.
• Як оновлюється база даних Active?
  • Активну базу даних можна оновити за допомогою Windows Update. Це дозволяє уникнути збоїв у сфері безпеки, таких як BitLocker. Однак, якщо Windows Update недоступний, а клієнт є досвідченим користувачем, активну базу даних можна перезаписати за допомогою команди в BIOS для скидання ключів, див. How To Update Secure Boot Active Database from BIOS для отримання додаткової інформації.
• Як оновлюється база даних за замовчуванням?
  • База даних за замовчуванням оновлюється за допомогою BIOS FLASH.
• Що станеться, коли закінчиться чинний сертифікат Secure Boot?
  • Комп'ютер все ще може завантажуватися. Однак із простроченим сертифікатом комп'ютер не може отримувати майбутні оновлення завантажувача або безпечне завантаження.

На початок

Комп'ютери Dell та оновлення:

• Які комп'ютери Dell отримують оновлення BIOS?
  • Оновлення Dell:
    • Споживчі та комерційні платформи з завершенням терміну служби (EoSL) після 31 грудня 2025 року, що відправляються з заводів Dell або в польових умовах
  • Dell не оновлює:
    • Платформи з EoSL до 1 січня 2026 року Це означає, що, хоча Microsoft може зробити нові сертифікати доступними, BIOS на цих старих комп'ютерах може їх не підтримувати або зберігати, особливо якщо Secure Boot вимкнено або BIOS за замовчуванням скидається.
• Що робить Dell, щоб зменшити вплив на клієнтів?
  • Доставити оновлення BIOS для підтримуваних платформ до кінця 2025 року
  • Координуйте з Microsoft щодо інструментів відновлення
  • Публікація статей у базі знань
  • Оновлення завантажувальних носіїв
• А як щодо впливу на сторонні відеокарти та комп'ютери з Linux?
  • Microsoft створила два нових сторонніх CA 2023 року, щоб замінити термін дії стороннього CA 2011 року. Іншими словами, Microsoft Corporation UEFI CA 2011 розділено на Microsoft UEFI CA 2023 (для завантажувачів) та Microsoft Option ROM UEFI CA 2023 (для опційних ROM). А також вже внесено оновлення до Hardware Device Center (HDC) від Microsoft, щоб підтримувати підписання сторонніх драйверів, які потребують цих нових CA 2023 року. Хоча партнери можуть почати підписувати контракти з новими CA 2023 у жовтні 2025 року, Microsoft та OEM-виробники продовжують підтримувати існуючий UEFI CA 2011 від Microsoft Corporation, доки екосистема не матиме достатньо часу для переходу на нові CA 2023 року.
• Як корпоративний клієнт отримує новий сертифікат 2023 року на своєму поточному парку пристроїв?
  • Корпоративні клієнти можуть дозволити Microsoft керувати оновленнями своїх пристроїв через Windows Update (WU) або, альтернативно, вручну застосовувати оновлення до пристроїв автопарку. Рекомендації щодо останнього доступні тут: Пристрої Windows з оновленнями, керованими ІТ, крім того, Dell надсилає оновлення BIOS на пристрої в експлуатації, які можна використовувати для заповнення активної бази даних. Для інструкцій: Як оновити безпечну активну базу даних завантаження з BIOS.
• Чи існують якісь конкретні апаратні вимоги для отримання цього сертифіката?
  • Пристрої повинні підтримувати Secure Boot і бути сумісними з оновленнями прошивки UEFI. Dell проводить внутрішню перевірку платформ і опублікувала список підтримуваних комп'ютерів у статті Dell Knowledge Base « Microsoft 2011 Secure Boot Certificate Expiration».
• Чи є спосіб перевірити через операційну систему, чи може UEFI отримувати оновлення?
  • У розділі ключів реєстру можна перевірити доступний ключ реєстру оновлень , який показує, що комп'ютер знімає оновлення від Microsoft. Джерело, оновлення ключів реєстру для безпечного завантаження: Пристрої Windows з оновленнями, керованими ІТ. Це стосується комп'ютерів з WU, якими керує Microsoft. Деякі підприємства можуть забороняти Microsoft запускати ці оновлення.

На початок

Комунікація та консультації клієнтів:

• Як Dell повідомляє про це клієнтам?
  • Dell опублікувала сертифікацію Secure Boot Certificate-Expiration Microsoft 2011 , яка оновлюється зі списком платформ Dell, готових до оновлення. Dell за потреби буде надсилати додаткові повідомлення відповідно до публічних рекомендацій Microsoft.
• Що мають робити корпоративні клієнти зараз?
  • Плануйте оновлення BIOS перед запуском Windows 25H2, використавши список пристроїв Dell, що підтримується у Microsoft 2011 Secure Boot Certificate Expiration.
  • Якщо ви віддаєте перевагу керувати пристроями самостійно (а не через WU), підприємства вже можуть почати оновлювати пристрої з новими CA 2023 року, згідно з рекомендаціями тут: Пристрої Windows з оновленнями, керованими ІТ
  • Повідомляйте Dell про будь-які проблеми з оновленнями.
• Як клієнт дізнається, чи має він сертифікат за 2011 або 2023 рік?
  • Microsoft планує додати сповіщення до Windows для кінцевих користувачів. Також користувачі можуть виконати наступну команду PowerShell, щоб перевірити, чи є у них CA 2011 або 2023 року (методологія буде у майбутній статті бази знань).
• Як клієнт дізнається, чи закінчився його сертифікат?
  • Комп'ютери з будь-яким із трьох сертифікатів (CA), термін дії яких закінчується у 2026 році:

    CA 2011 року	Термін придатності
    Microsoft Corporation KEK CA 2011	24 червня 2026 року
    Microsoft Windows Production PCA 2011	19 жовтня 2026 року
    Microsoft Corporation UEFI CA 2011	27 червня 2026 року

• Якщо клієнт має сертифікат 2023 року, чи потрібно йому діяти?
  • Ні. Якщо присутні як сертифікати Windows UEFI CA 2023, так і Microsoft Corporation KEK 2K CA 2023, подальші дії не потрібні.
• Чи може клієнт перейти на сертифікат 2023 року, якщо його пристрої працюють на Windows 10 і мають або збираються отримати розширені оновлення безпеки (ESU)?
  • Так, Microsoft оновлює активні сертифікати для пристроїв Windows 11 у полі і оновить пристрої Windows 10, якщо пристрій:
    • Чи працює Windows LTSC 2021
    • Має активовану ліцензію ESU

На початок

Вплив і відновлення:

• Який вплив має прострочений сертифікат?
  • Після закінчення терміну дії сертифікатів Secure Boot (починаючи з червня 2026 року) комп'ютери продовжують завантажуватися (з увімкненим Secure Boot). Однак комп'ютер більше не отримує оновлення для компонентів Windows Boot Manager і Secure Boot через Windows Update, що призводить до скомпрометованого стану безпеки.
• Що відбувається, якщо Secure Boot вимкнено або перемкнено на пристрої?
  • Іноді вимкнення Secure Boot може стерти всі активні змінні UEFI, що означає, що будь-які CA 2023 року, які вже використовуються на пристрої, можуть бути видалені (а пізніше замінені старішими CA 2011 року з стандартної прошивки, якщо вона не була оновлена). На пристроях Dell це відбувається, якщо користувач вибирає опцію Expert Key Mode у меню BIOS. У цьому випадку активні змінні забираються з стандартної прошивки.
    Примітка. Якщо на пристрої увімкнено BitLocker, вам можуть запропонувати ввести ключ відновлення BitLocker.
• Які інструменти доступні для відновлення?
  • Microsoft випустила інструмент ручного відновлення, але він має обмеження. Автоматизовані інструменти для допомоги клієнтам досі розробляються.

На початок

Вартість і тривалість:

• Чи є якісь витрати, пов'язані з новими сертифікатами?
  • Отримання сертифікатів 2023 року через Windows Update не стягується, а CA 2023 року вже доступні безкоштовно на Windows Secure Boot Key Creation and Management Guide. Однак оновлення BIOS для пристроїв, що не працюють, можуть вимагати ручного втручання або залучення сервісу, що може спричинити витрати залежно від угод про підтримку.
• Яка тривалість дії нового сертифіката?
  • Сертифікати 2023 року дійсні протягом 15 років (2038).

На початок