PowerEdge: Керівництво з оновлення BIOS сервера для сертифікатів Microsoft Secure Boot
Summary: У цій статті наведено рекомендації щодо серверів Dell PowerEdge, які потребують усунення через закінчення терміну дії сертифіката Microsoft Secure Boot (червень 2026 року).
Instructions
Він застосовується до систем на базі UEFI з увімкненим Secure Boot та старіших сертифікатів Secure Boot, які постраждали від закінчення терміну дії сертифіката Microsoft Secure Boot (червень 2026 року). Операційна система переважно керує оновленнями сертифікатів Secure Boot, і клієнтам слід переконатися, що вони оновлюють свої системи за допомогою підтримуваних механізмів оновлення Microsoft.
Вона застосовується до операційних систем Windows Server, які постраждали від цієї зміни, визначених Microsoft, які працюють на фізичних системах із прошивкою, керованою клієнтом, та конфігурацією Secure Boot.
Він не застосовується до хмарних платформ або пристроїв, де провайдер керує прошивкою та ключами Secure Boot, таких як Microsoft Azure, AX або APEX-Managed Cloud.
Системи, які вже працюють з версіями BIOS, що містять оновлені сертифікати Secure Boot, можуть не потребувати цієї процедури.
Цільові сервери та операційні системи
Ці рекомендації застосовуються до:
- Сервери Dell PowerEdge, які підтримують режим завантаження UEFI та Secure Boot
- Системи, що працюють на підтримуваних операційних системах Windows Server, на яких впливає закінчення терміну дії сертифіката Microsoft Secure Boot (червень 2026 року), як визначено Microsoft. Для операційних систем, окрім Microsoft Windows, можна дотримуватися звичайного процесу оновлення BIOS для додавання нових сертифікатів.
- Фізичні сервери, включно з 14-м, 15-м і 16-м поколіннями
Для віртуальних машин (на базі UEFI) дотримуйтесь рекомендацій, наданих постачальником гіпервізорів.
Microsoft Hyper-V: Оновлення Secure Boot Certificate: Рекомендації для ІТ-фахівців та організацій
VMware ESXi: Закінчення терміну дії сертифікатів безпечного завантаження та помилки оновлень у віртуальних машинах VMware
Генерації серверів та ідентифікатори BIOS
Версії BIOS, наведені нижче, представляють мінімальні релізи, які включають оновлені сертифікати Microsoft Secure Boot. Версії BIOS, новіші за наведені нижче, також містять нові сертифікати безпечного завантаження.
| Платформа | Версія BIOS |
|---|---|
| R260, R360, T160, T360 | 2.4.0 |
| R660, R760, R860, R760XD2, R760XA, XE8640, XE9680, HS5620, XR7620, R760XS, XR5610, XR8610T, XR8620T, R960, T560, MX760C, XC760, VS-760, XC660, XC760XD2, VE660, VP-760, XC660XS, XC760XA, VP-760XA, R660xs, MC-760 | 2.8.2 |
| R6625, R7625 | 1.15.3 |
| C6615 | 1.10.3 |
| R6615, R7615 | 1.15.3 |
| R750, R750xa, R750xs, R650, R650xs, R550, R450, C6520, MX750c, T550 | 1.19.2 |
| XR4510c, XR4520c | 1.21.1 |
| R350, R250, T350, T150 | 1.13.0 |
| R6515, R7515 | 2.22.0 |
| R6525, R7525 | 2.22.0 |
| R7425 | 1.23.0 |
| R7415, R6415 | 1.23.0 |
| R740, R740XD, R640, R940 | 2.25.0 |
| C4140 | 2.25.0 |
| R840, R940XA | 2.25.0 |
| T640 | 2.25.0 |
| R540, R440, T440 | 2.25.0 |
| R740XD2 | 2.25.0 |
| MX740C | 2.25.0 |
| MX840 | 2.25.0 |
| M640, FC640, M640 (VRTX) | 2.25.0 |
| C6420 | 2.25.0 |
| XE7420, XE7440 | 2.25.0 |
| XE2420 | 2.25.0 |
| R340, T340, R240, T140 | 2.21.0 |
Важливо
Перед тим, як виконувати наступні кроки, переконайтеся, що Secure Boot увімкнено та налаштовано за стандартною (Стандартною) політикою
Secure Boot.Системи, що використовують власні або сторонні політики Secure Boot, можуть потребувати додаткового перегляду перед застосуванням
оновлень сертифікатів Secure Boot.Якщо Secure Boot не увімкнено, дотримуйтесь традиційного процесу оновлення BIOS. Кроки нижче не є обов'язковими.
Рекомендована процедура
-
Перевірити конфігурацію системи
- Якщо BitLocker увімкнено, тимчасово призупинить захист від BitLocker перед тим, щоб уникнути запитів на відновлення після перезавантаження.
- За потреби тимчасово встановіть політику виконання PowerShell на «Unrestricted» або «Bypass» для дозволу виконання скрипту. (Команда Set-ExecutionPolicy)
- Для резервних кластерів (S2D, SAN Attached) — додайте 'Suspend-ClusterNode -Drain', щоб призупинити вузол і перенести кластеризовані ролі на інший вузол.
- Системна прошивка (BIOS) має підтримувану та стабільну версію (наприклад, сертифікційно схвалена версія BIOS для платформи). Системи, які вже працюють з версіями BIOS, що містять оновлені сертифікати Secure Boot, не потребують цієї процедури.
-
Запустіть скрипти оновлення сертифіката Microsoft Secure Boot 2023
- Завантажте та розтягніть скрипти оновлення Secure Boot, додані до цієї статті
- Для 16G — скопіюйте 16G_Secure_Boot_Certificates_pkb.zip і розпакуйте в будь-яку папку.
- Для 15G — скопіюйте 15G_Secure_Boot_Certificates_pkb.zip і розпаковуйте в будь-яку папку.
- Для 14G — скопіюйте 14G_Secure_Boot_Certificates_pkb.zip і розпакуйте в будь-яку папку.
-
Запускайте скрипти за допомогою піднятого (адміністративного) командного рядка, як це задокументовано Microsoft
- Для 16G: 16G_SecureBoot_Cert_Update.ps1
- Для 15G: 15G_SecureBoot_Cert_Update.ps1
- Для 14G: 14G_SecureBoot_Cert_Update.ps1
- Дотримуйтесь інструкцій на екрані
- Перезавантажте сервер за запитом
Примітка. Під час виконання системи можуть фіксувати інформаційні події, такі як UEFI00074. Ці повідомлення є очікуваними і не свідчать про невдачу. - Завантажте та розтягніть скрипти оновлення Secure Boot, додані до цієї статті
-
Застосуйте оновлений BIOS, який містить нові сертифікати.
-
Застосування оновлень Windows
- Після перезавантаження переконайтеся, що система повністю оновлена з останніми доступними кумулятивними оновленнями Windows для встановленої операційної системи. Оновлення Windows необхідні для забезпечення повного застосування та актуальності сертифікатів Secure Boot та відкликання в операційній системі.
-
Перевірка стану сертифіката Secure Boot
- Переконайтеся, що оновлені сертифікати Microsoft Secure Boot присутні.
- Як перевірити сертифікати безпечного завантаження
-
Валідація після оновлення
- Підтвердіть, що система успішно завантажилася
- Перевірте, що Secure Boot залишається увімкненим
Додаткові аспекти:
- Оновлення BIOS можуть змінювати вимірювання платформи, які використовуються BitLocker і VBS.
- У рідкісних випадках системи з увімкненим BitLocker можуть подавати запит на відновлення після оновлення прошивки.
- Рекомендується призупиняти BitLocker перед оновленнями BIOS та Secure Boot, щоб уникнути запитів на відновлення.