تحديثات شهادة التمهيد الآمن: إرشادات لمتخصصي تكنولوجيا المعلومات والمؤسسات

انتهاء صلاحية شهادة التمهيد الآمن

ظل تكوين المراجع المصدقة (CAs)، المشار إليه أيضا باسم الشهادات، التي توفرها Microsoft كجزء من البنية الأساسية للتمهيد الآمن، كما هو منذ Windows 8 Windows Server 2012. يتم تخزين هذه الشهادات في متغيرات قاعدة بيانات التوقيع (DB) ومفتاح Exchange الرئيسي (KEK) في البرنامج الثابت. قدمت Microsoft نفس الشهادات الثلاث عبر النظام البيئي للشركة المصنعة للمعدات الأصلية (OEM) لتضمينها في البرنامج الثابت للجهاز. تدعم هذه الشهادات التمهيد الآمن في Windows وتستخدم أيضا من قبل أنظمة التشغيل التابعة لجهة خارجية (OS). يتم توفير الشهادات التالية من قبل Microsoft:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

ما الذي يتغير؟

ستبدأ صلاحية شهادات Microsoft Secure Boot الحالية (Microsoft Corporation KEK CA 2011 وMicrosoft Windows Production PCA 2011 وMicrosoft Corporation UEFI CA 2011) بدءا من يونيو 2026 وستنتهي صلاحيتها بحلول أكتوبر 2026. 

يتم طرح شهادات 2023 جديدة للحفاظ على أمان التمهيد الآمن واستمراريته. يجب تحديث الأجهزة إلى شهادات 2023 قبل انتهاء صلاحية شهادات 2011 أو أنها ستكون خارج التوافق الأمني ومخاطرة.  

قد تحتوي أجهزة Windows المصنعة منذ عام 2012 على إصدارات منتهية الصلاحية من الشهادات، والتي يجب تحديثها. 

المصطلحات

الشهادات

التحقق من حالة التمهيد الآمن عبر أسطولك: هل تم تمكين التمهيد الآمن؟ 

معظم الأجهزة المصنعة منذ عام 2012 لديها دعم للتمهيد الآمن ويتم شحنها مع تمكين التمهيد الآمن. للتحقق من تمكين التمهيد الآمن للجهاز، قم بأحد الإجراءات التالية: 

• أسلوب واجهة المستخدم الرسومية: انتقل إلى Start > Settings > Privacy & Security > أمن Windows > Device Security. ضمن أمان الجهاز، يجب أن يشير قسم التمهيد الآمن إلى أن التمهيد الآمن قيد التشغيل.

• أسلوب سطر الأوامر: في موجه أوامر غير مقيد في PowerShell، اكتب Confirm-SecureBootUEFI ثم اضغط على Enter. يجب أن يرجع الأمر True يشير إلى تشغيل Secure Boot.

في عمليات التوزيع واسعة النطاق لأسطول من الأجهزة، سيحتاج برنامج الإدارة الذي يستخدمه محترفو تكنولوجيا المعلومات إلى توفير فحص لتمكين التمهيد الآمن. 

على سبيل المثال، أسلوب التحقق من حالة التمهيد الآمن على الأجهزة المدارة من Microsoft Intune هو إنشاء برنامج نصي للتوافق المخصص Intune ونشره. تتم تغطية إعدادات توافق Intune في استخدام إعدادات التوافق المخصصة لأجهزة Linux وWindows مع Microsoft Intune.  

كيفية نشر التحديثات

هناك طرق متعددة لاستهداف الأجهزة لتحديثات شهادة التمهيد الآمن. ستتم مناقشة تفاصيل التوزيع، بما في ذلك الإعدادات والأحداث، لاحقا في هذا المستند. عند استهداف جهاز للتحديثات، يتم إجراء إعداد على الجهاز للإشارة إلى أن الجهاز يجب أن يبدأ عملية تطبيق الشهادات الجديدة. يتم تشغيل مهمة مجدولة على الجهاز كل 12 ساعة وتكتشف أنه تم استهداف الجهاز للتحديثات. مخطط تفصيلي لما تقوم به المهمة كما يلي:

1. يتم تطبيق Windows UEFI CA 2023 على DB.

2. إذا كان الجهاز يحتوي على Microsoft Corporation UEFI CA 2011 في DB، فإن المهمة تطبق خيار Microsoft Option ROM UEFI CA 2023وMicrosoft UEFI CA 2023 على DB.

3. ثم تضيف المهمة Microsoft Corporation KEK 2K CA 2023.

4. وأخيرا، تقوم المهمة المجدولة بتحديث مدير تمهيد Windows إلى الذي تم توقيعه بواسطة Windows UEFI CA 2023. سيكتشف Windows أن هناك حاجة إلى إعادة التشغيل قبل تطبيق مدير التمهيد. سيتم تأخير تحديث مدير التمهيد حتى تحدث إعادة التشغيل بشكل طبيعي (مثل وقت تطبيق التحديثات الشهرية)، ثم سيحاول Windows مرة أخرى تطبيق تحديث مدير التمهيد.

يجب إكمال كل خطوة من الخطوات المذكورة أعلاه بنجاح قبل أن تنتقل المهمة المجدولة إلى الخطوة التالية. أثناء هذه العملية، ستكون سجلات الأحداث والحالة الأخرى متاحة للمساعدة في مراقبة التوزيع. يتم توفير مزيد من التفاصيل حول المراقبة وسجلات الأحداث أدناه.  

يتيح تحديث شهادات التمهيد الآمن تحديثا مستقبليا إلى 2023 Boot Manager، وهو أكثر أمانا. ستكون التحديثات المحددة على Boot Manager في الإصدارات المستقبلية.

خطوات التوزيع 

• التحضير: أجهزة المخزون والاختبار.

• اعتبارات البرنامج الثابت

• المراقبة: تحقق من أعمال المراقبة وأساس أسطولك.

• التوزيع: استهداف الأجهزة للتحديثات، بدءا من المجموعات الفرعية الصغيرة والتوسع استنادا إلى الاختبارات الناجحة.

• المعالجة: تحقق من أي مشكلات وحلها باستخدام السجلات ودعم المورد.

اعداد 

مخزون الأجهزة والبرامج الثابتة. أنشئ عينة تمثيلية من الأجهزة استنادا إلى الشركة المصنعة للنظام، ونموذج النظام، وإصدار/تاريخ BIOS، وإصدار منتج BaseBoard، وما إلى ذلك، واختبار التحديثات على تلك العينات قبل التوزيع الواسع.  تتوفر هذه المعلمات بشكل شائع في معلومات النظام (MSINFO32). 

مثال على أوامر PowerShell لجمع المعلومات هي:

اعتبارات البرنامج الثابت

يتطلب نشر شهادات Secure Boot الجديدة إلى أسطول الأجهزة أن يلعب البرنامج الثابت للجهاز دورا في إكمال التحديث. بينما تتوقع Microsoft أن تعمل معظم البرامج الثابتة للجهاز كما هو متوقع، يلزم إجراء اختبار دقيق قبل نشر الشهادات الجديدة.

افحص مخزون الأجهزة الخاصة بك وقم بإنشاء عينة صغيرة تمثيلية من الأجهزة استنادا إلى المعايير الفريدة التالية مثل: 

• الشركة المصنِّعة

• رقم النموذج

• إصدار البرنامج الثابت

• OEM Baseboard version، وما إلى ذلك.

قبل النشر على نطاق واسع على الأجهزة في أسطولك، نوصي باختبار تحديثات الشهادة على نماذج الأجهزة التمثيلية (كما هو محدد بواسطة عوامل مثل الشركة المصنعة والطراز وإصدار البرنامج الثابت) للتأكد من معالجة التحديثات بنجاح. الإرشادات الموصى بها حول عدد نماذج الأجهزة التي يجب اختبارها لكل فئة فريدة هي 4 أو أكثر.

سيساعد هذا في بناء الثقة في عملية التوزيع الخاصة بك ويساعد على تجنب التأثيرات غير المتوقعة على أسطولك الأوسع. 

في بعض الحالات، قد يلزم تحديث البرنامج الثابت لتحديث شهادات التمهيد الآمن بنجاح. في هذه الحالات، نوصي بالتحقق مع الشركة المصنعة للمعدات الأصلية (OEM) على جهازك لمعرفة ما إذا كان البرنامج الثابت المحدث متوفرا.

Windows في بيئات ظاهرية

بالنسبة إلى Windows الذي يعمل في بيئة ظاهرية، هناك طريقتان لإضافة الشهادات الجديدة إلى متغيرات البرامج الثابتة للتمهيد الآمن:  

• يمكن لمنشئ البيئة الظاهرية (AWS وAzure وHyper-V وVMware وما إلى ذلك) توفير تحديث للبيئة وتضمين الشهادات الجديدة في البرنامج الثابت الظاهري. قد يعمل هذا مع الأجهزة الظاهرية الجديدة.

• بالنسبة إلى Windows الذي يعمل على المدى الطويل في جهاز ظاهري، يمكن تطبيق التحديثات من خلال Windows مثل أي أجهزة أخرى، إذا كان البرنامج الثابت الظاهري يدعم تحديثات التمهيد الآمن.

المراقبة والتوزيع 

نوصي ببدء مراقبة الجهاز قبل التوزيع للتأكد من أن المراقبة تعمل بشكل صحيح ولديك إحساس جيد بحالة الأسطول مسبقا. تتم مناقشة خيارات المراقبة أدناه. 

توفر Microsoft أساليب متعددة لنشر تحديثات شهادة التمهيد الآمن ومراقبتها.

يساعد التوزيع التلقائي 

توفر Microsoft اثنين من مساعدتنا في النشر. قد تكون هذه المساعدة مفيدة في المساعدة في نشر الشهادات الجديدة إلى أسطولك. تتطلب كلتا المساعدتين بيانات تشخيصية.

• خيار التحديثات التراكمية مع مستودعات الثقة: قد تقوم Microsoft تلقائيا بتضمين مجموعات أجهزة عالية الثقة في التحديثات الشهرية استنادا إلى البيانات التشخيصية المشتركة حتى الآن، للاستفادة من الأنظمة والمؤسسات التي لا يمكنها مشاركة البيانات التشخيصية. لا تتطلب هذه الخطوة تمكين البيانات التشخيصية.

  • بالنسبة للمؤسسات والأنظمة التي يمكنها مشاركة البيانات التشخيصية، فإنه يمنح Microsoft الرؤية والثقة في أن الأجهزة يمكنها نشر الشهادات بنجاح. يتوفر مزيد من المعلومات حول تمكين البيانات التشخيصية في: تكوين بيانات تشخيص Windows في مؤسستك. نقوم بإنشاء "مستودعات" لكل جهاز فريد (كما هو محدد بواسطة السمات التي تتضمن الشركة المصنعة وإصدار اللوحة الأم والشركة المصنعة للبرامج الثابتة وإصدار البرنامج الثابت ونقاط البيانات الإضافية). لكل مستودع، نراقب أدلة النجاح على أجهزة متعددة. بمجرد أن نرى ما يكفي من التحديثات الناجحة وعدم حدوث حالات فشل، سنعتبر المستودع "عالي الثقة" وندرج تلك البيانات في التحديثات التراكمية الشهرية. عند تطبيق التحديثات الشهرية على جهاز في مستودع عالي الثقة، سيقوم Windows تلقائيا بتطبيق الشهادات على متغيرات التمهيد الآمن ل UEFI في البرامج الثابتة.

  • تتضمن المستودعات عالية الثقة الأجهزة التي تعالج التحديثات بشكل صحيح. وبطبيعة الحال، لن توفر جميع الأجهزة بيانات تشخيصية، وقد يحد هذا من ثقة Microsoft في قدرة الجهاز على معالجة التحديثات بشكل صحيح.

  • يتم تمكين هذه المساعدة بشكل افتراضي للأجهزة عالية الثقة ويمكن تعطيلها باستخدام إعداد خاص بالجهاز. ستتم مشاركة مزيد من المعلومات في إصدارات Windows المستقبلية.

• إطلاق الميزات المتحكم بها (CFR):  اختر الأجهزة للتوزيع الذي تديره Microsoft إذا تم تمكين البيانات التشخيصية.

  • يمكن استخدام إطلاق الميزات الخاضعة للرقابة (CFR) مع أجهزة العميل في أساطيل المؤسسة. يتطلب هذا أن ترسل الأجهزة البيانات التشخيصية المطلوبة إلى Microsoft وقد أشارت إلى أن الجهاز يختار للسماح ب CFR على الجهاز. فيما يلي تفاصيل حول كيفية الاشتراك.

  • ستقوم Microsoft بإدارة عملية التحديث لهذه الشهادات الجديدة على أجهزة Windows حيث تتوفر البيانات التشخيصية وتشارك الأجهزة في إطلاق الميزات الخاضعة للرقابة (CFR). في حين أن CFR قد يساعد في نشر الشهادات الجديدة، لن تتمكن المؤسسات من الاعتماد على CFR لمعالجة أساطيلها - سيتطلب اتباع الخطوات الموضحة في هذا المستند في القسم حول أساليب التوزيع التي لا تغطيها المساعدة التلقائية.

  • القيود: هناك بعض الأسباب التي قد تجعل CFR لا يعمل في بيئتك. على سبيل المثال:

    • لا تتوفر بيانات تشخيصية أو أن البيانات التشخيصية غير قابلة للاستخدام كجزء من توزيع CFR.

    • الأجهزة ليست على إصدارات العميل المدعومة من Windows 11 Windows 10 مع تحديثات الأمان الموسعة (ESU).

أساليب التوزيع التي لا تغطيها المساعدة التلقائية

اختر الأسلوب الذي يناسب بيئتك. تجنب خلط الأساليب على نفس الجهاز: 

• مفاتيح التسجيل: التحكم في التوزيع ومراقبة النتائج.
  هناك مفاتيح تسجيل متعددة متاحة للتحكم في سلوك توزيع الشهادات ومراقبة النتائج. بالإضافة إلى ذلك، هناك مفتاحان للاشتراك والخروج من أدوات مساعدة التوزيع الموضحة أعلاه. لمزيد من المعلومات حول مفاتيح التسجيل، راجع مفتاح التسجيل التحديثات للتمهيد الآمن - أجهزة Windows التي تحتوي على تحديثات مدارة بواسطة تكنولوجيا المعلومات.

• نهج المجموعة Objects (GPO): إدارة الإعدادات؛ المراقبة عبر سجلات السجل والأحداث.
  ستوفر Microsoft الدعم لإدارة تحديثات التمهيد الآمن باستخدام نهج المجموعة في تحديث مستقبلي. لاحظ أنه نظرا لأن نهج المجموعة للإعدادات، يجب مراقبة حالة الجهاز باستخدام أساليب بديلة بما في ذلك مراقبة مفاتيح التسجيل وإدخالات سجل الأحداث.

• WinCS (نظام تكوين Windows) CLI: استخدم أدوات سطر الأوامر للعملاء المرتبطين بالمجال.
  يمكن لمسؤولي المجال بدلا من ذلك استخدام نظام تكوين Windows (WinCS) المضمن في تحديثات نظام التشغيل Windows لنشر تحديثات التمهيد الآمن عبر عملاء وخوادم Windows المرتبطة بالمجال. وهو يتكون من سلسلة من أدوات سطر الأوامر المساعدة (كل من وحدة نمطية قابلة للتنفيذ التقليدية وPowerShell) للاستعلام عن تكوينات التمهيد الآمن وتطبيقها محليا على جهاز. لمزيد من المعلومات، راجع واجهات برمجة تطبيقات نظام تكوين Windows (WinCS) للتمهيد الآمن.

• Microsoft Intune/Configuration Manager: نشر البرامج النصية PowerShell. سيتم توفير موفر خدمة التكوين (CSP) في تحديث مستقبلي للسماح بالنشر باستخدام Intune.

مراقبة سجلات الأحداث

يتم توفير حدثين جديدين للمساعدة في نشر تحديثات شهادة التمهيد الآمن. يتم وصف هذه الأحداث بالتفصيل في أحداث تحديث متغيرات Secure Boot DB وDBX: 

• معرف الحدث: 1801
  هذا الحدث هو حدث خطأ يشير إلى أنه لم يتم تطبيق الشهادات المحدثة على الجهاز. يقدم هذا الحدث بعض التفاصيل الخاصة بالجهاز، بما في ذلك سمات الجهاز، والتي ستساعد في ربط الأجهزة التي لا تزال بحاجة إلى التحديث.

• معرف الحدث: 1808
  هذا الحدث هو حدث إعلامي يشير إلى أن الجهاز لديه شهادات التمهيد الآمن الجديدة المطلوبة المطبقة على البرنامج الثابت للجهاز.

استراتيجيات التوزيع 

لتقليل المخاطر، قم بتوزيع تحديثات التمهيد الآمن على مراحل بدلا من كل ذلك في وقت واحد. ابدأ مع مجموعة فرعية صغيرة من الأجهزة، وتحقق من صحة النتائج، ثم قم بالتوسيع إلى مجموعات إضافية. نقترح أن تبدأ بمجموعات فرعية من الأجهزة، ومع اكتساب الثقة في عمليات التوزيع هذه، أضف مجموعات فرعية إضافية من الأجهزة. يمكن استخدام عوامل متعددة لتحديد ما يدخل في مجموعة فرعية، بما في ذلك نتائج الاختبار على نماذج الأجهزة وبنية المؤسسة، وما إلى ذلك. 

القرار بشأن الأجهزة التي تقوم بنشرها متروك لك. يتم سرد بعض الاستراتيجيات المحتملة هنا. 

• أسطول الأجهزة الكبيرة: ابدأ بالاعتماد على المساعدة الموضحة أعلاه للأجهزة الأكثر شيوعا التي تديرها. بالتوازي، ركز على الأجهزة الأقل شيوعا التي تديرها مؤسستك. اختبر نماذج الأجهزة الصغيرة، وإذا كان الاختبار ناجحا، فانشر على بقية الأجهزة من نفس النوع. إذا تسبب الاختبار في حدوث مشكلات، فتحقق من سبب المشكلة وحدد خطوات المعالجة. قد ترغب أيضا في مراعاة فئات الأجهزة التي لها قيمة أعلى في أسطولك والبدء في الاختبار والنشر لضمان تحديث الحماية في مكانها مبكرا.

• أسطول صغير، مجموعة متنوعة كبيرة: إذا كان الأسطول الذي تديره يحتوي على مجموعة كبيرة ومتنوعة من الأجهزة حيث سيكون اختبار الأجهزة الفردية باهظا، ففكر في الاعتماد بشكل كبير على المساعدتين الموضحتين أعلاه، خاصة للأجهزة التي من المحتمل أن تكون أجهزة شائعة في السوق. ركز في البداية على الأجهزة الضرورية للعملية اليومية، واختبرها ثم وزعها. استمر في تحريك قائمة الأجهزة ذات الأولوية العالية، والاختبار والنشر أثناء مراقبة الأسطول للتأكد من أن المساعدة تساعد في بقية الأجهزة.

الملاحظات 

• انتبه إلى الأجهزة القديمة، خاصة الأجهزة التي لم تعد مدعومة من قبل الشركة المصنعة. بينما يجب أن يقوم البرنامج الثابت بتنفيذ عمليات التحديث بشكل صحيح، قد لا يقوم البعض بتنفيذها. في الحالات التي لا يعمل فيها البرنامج الثابت بشكل صحيح ولم يعد الجهاز في الدعم، ضع في اعتبارك استبدال الجهاز لضمان حماية التمهيد الآمن عبر أسطولك.

• قد تحتوي الأجهزة الجديدة المصنعة في السنوات 1-2 الماضية بالفعل على الشهادات المحدثة في مكانها ولكن قد لا يكون مدير التمهيد الموقع ل Windows UEFI CA 2023 مطبقا على النظام. يعد تطبيق مدير التمهيد هذا خطوة أخيرة هامة في التوزيع لكل جهاز.

• بمجرد تحديد جهاز للتحديثات، قد يستغرق الأمر بعض الوقت قبل اكتمال التحديثات. تقدير 48 ساعة وإعادة تشغيل واحدة أو أكثر لتطبيق الشهادات.

المشكلات والتوصيات الشائعة

يتناول هذا الدليل بالتفصيل كيفية عمل عملية تحديث شهادة التمهيد الآمن ويعرض بعض الخطوات لاستكشاف الأخطاء وإصلاحها إذا تمت مواجهة مشكلات أثناء التوزيع على الأجهزة. ستتم إضافة التحديثات إلى هذا القسم حسب الحاجة.

دعم نشر شهادة التمهيد الآمن 

لدعم تحديثات شهادة التمهيد الآمن، يحتفظ Windows بمهمة مجدولة يتم تشغيلها مرة واحدة كل 12 ساعة. تبحث المهمة عن وحدات البت في مفتاح التسجيل AvailableUpdates الذي يحتاج إلى المعالجة. توجد بتات الاهتمام المستخدمة في نشر الشهادات في الجدول التالي. يشير عمود Order إلى الترتيب الذي تتم به معالجة البتات.

تتم معالجة كل بت من قبل الحدث المجدول بالترتيب المحدد في الجدول أعلاه.

يجب أن يبدو التقدم من خلال البتات كما يلي: 

1. البدء: 0x5944

2. 0x0040 → 0x5904 (تم تطبيق Windows UEFI CA 2023 بنجاح)

3. 0x0800 → 0x5104 (تطبيق Microsoft UEFI CA 2023 إذا لزم الأمر)

4. 0x1000 → 0x4104 (تطبيق خيار Microsoft ROM UEFI CA 2023 إذا لزم الأمر)

5. 0x0004 → 0x4100 (تطبيق Microsoft Corporation KEK 2K CA 2023)

6. 0x0100 → 0x4000 (تطبيق مدير التمهيد الموقع ل Windows UEFI CA 2023)

الملاحظات

• بمجرد اكتمال العملية المقترنة بت بنجاح، يتم مسح هذا البت من المفتاح AvailableUpdates .

• إذا فشلت إحدى هذه العمليات، يتم تسجيل حدث، ويتم إعادة محاولة العملية في المرة التالية التي يتم فيها تشغيل المهمة المجدولة.

• إذا تم تعيين 0x4000 بت، فلن يتم مسحه. بعد معالجة جميع وحدات البت الأخرى، سيتم تعيين مفتاح التسجيل AvailableUpdates إلى 0x4000.

المشكلة 1: فشل تحديث KEK: يقوم الجهاز بتحديث الشهادات إلى Secure Boot DB ولكنه لا يتقدم بعد نشر شهادة مفتاح Exchange الجديدة إلى Secure Boot KEK. 

‏ملاحظة حاليا عند حدوث هذه المشكلة، سيتم تسجيل معرف الحدث: 1796 (راجع أحداث تحديث متغير التمهيد الآمن وDBX). سيتم توفير حدث جديد في إصدار لاحق للإشارة إلى هذه المشكلة المحددة. 

يتم تعيين مفتاح التسجيل AvailableUpdates على جهاز إلى 0x4104 ولا يقوم بإلغاء تحديد بت 0x0004، حتى بعد إعادة التشغيل المتعددة والوقت الكبير الذي مر. 

قد تكون المشكلة هي أنه لا يوجد KEK موقع من قبل PK الشركة المصنعة للمعدات الأصلية للجهاز. تتحكم الشركة المصنعة للمعدات الأصلية في PK للجهاز وهي مسؤولة عن توقيع شهادة Microsoft KEK الجديدة وإعادتها إلى Microsoft بحيث يمكن تضمينها في التحديثات التراكمية الشهرية. 

إذا واجهت هذا الخطأ، فتحقق من الشركة المصنعة للمعدات الأصلية للتأكد من أنها اتبعت الخطوات الموضحة في Windows Secure Boot Key Create and Management Guidance.  

المشكلة 2: أخطاء البرنامج الثابت: عند تطبيق تحديثات الشهادة، يتم تسليم الشهادات إلى البرنامج الثابت لتطبيقها على متغيرات Secure Boot DB أو KEK. في بعض الحالات، سيرجع البرنامج الثابت خطأ. 

عند حدوث هذه المشكلة، سيقوم Secure Boot بتسجيل معرف الحدث: 1795. للحصول على معلومات حول هذا الحدث، راجع أحداث تحديث متغير التمهيد الآمن DB وDBX. 

نوصي بالتحقق مع الشركة المصنعة للمعدات الأصلية لمعرفة ما إذا كان هناك تحديث للبرامج الثابتة متوفر للجهاز لحل هذه المشكلة.