Изтичане на срока на сертификата за защитено стартиране на Windows и актуализации на CA

Какво представлява защитеното стартиране?

Защитеното стартиране е функция за защита във фърмуера, базиран на унифициран разширяем интерфейс за фърмуер (UEFI), който помага да се гарантира, че само надежден софтуер се изпълнява по време на последователността на стартиране (стартиране) на устройството. Той работи чрез проверка на цифровия подпис на софтуера за предварително стартиране на набор от надеждни цифрови сертификати (известни още като сертифициращ орган или СО), съхранени във фърмуера на устройството. Като отрасловия стандарт защитеното стартиране на UEFI определя как фърмуерът на платформата управлява сертификатите, удостоверява фърмуера и как операционната система (ОС) взаимодейства с този процес. За повече информация относно UEFI и защитеното стартиране вижте Защитено стартиране.

Защитеното стартиране беше въведено за първи път в Windows 8, за да се защити срещу нововъзникващия злонамерен софтуер преди стартиране (известен също като bootkit) заплаха в този момент. Като част от инициализацията на платформата, Secure Boot удостоверява фърмуерните модули преди изпълнение. Тези модули включват драйвери за фърмуер на UEFI (като например Option ROMs), зареждащи и приложения. Като последната стъпка от процеса на защитено стартиране, фърмуерът проверява дали защитеното стартиране се доверява на зареждащата програма за зареждане. След това фърмуерът предава управлението на зареждащата програма, която на свой ред проверява, зарежда в паметта и стартира операционната система Windows.

Защитеното стартиране дефинира надежден код чрез набор от правила за фърмуера по време на производството. Промените в тези правила, като например добавяне или анулиране на сертификати, се управляват от йерархия от ключове. Тази йерархия започва с ключа от платформата (PK), който обикновено е собственост на производителя на хардуера, последван от ключа за записване на ключ (KEK) (известен също като ключ за обмен на ключове), който може да включва Microsoft KEK и други OEM KEK. Базата данни за разрешени подписи (DB) и забранената база данни за подписи (DBX) определят кой код може да се изпълнява в средата на UEFI преди стартирането на операционната система. Базата данни включва сертификати, управлявани от Microsoft и OEM, докато DBX се актуализира от Microsoft с най-новите анулирания. Всеки обект с KEK може да актуализира базата данни и DBX.

Въздействието на изтичането на срока на сертификата за защитено стартиране

Microsoft актуализира сертификатите за защитено стартиране, които първоначално са издадени през 2011 г., за да се гарантира, че устройствата с Windows продължават да проверяват надежден софтуер за стартиране. Тези по-стари сертификати започват да изтичат през юни 2026 г. Устройства, които не са получили по-новите сертификати от 2023, ще продължат да се стартират и работят нормално и стандартните актуализации на Windows ще продължат да се инсталират. Въпреки това тези устройства вече няма да могат да получават нови защити на защитата за процеса на ранно стартиране, включително актуализации на диспечера за зареждане на Windows, базите данни за защитено стартиране, списъците на анулираните или смекчавания на наскоро открити уязвимости в нивото на зареждане. 

С течение на времето това ограничава защитата на устройството от възникващи заплахи и може да повлияе на сценарии, които разчитат на доверие на защитеното стартиране, като например втвърдяване на BitLocker или зареждащи устройства на трети лица. Повечето устройства с Windows ще получат актуализираните сертификати автоматично и много OEM предоставят актуализации на фърмуера, когато е необходимо. Поддържането на актуално състояние на вашето устройство с тези актуализации гарантира, че може да продължи да получава пълния набор от защити на защитата, които защитеното стартиране е създадено да предоставя.

Сертификатите за защитено стартиране на Windows изтичат през 2026 г.

Тъй като Windows въведе поддръжката на защитеното стартиране, всички устройства, базирани на Windows, са носили един и същ набор от сертификати на Microsoft в KEK и DB. Тези оригинални сертификати наближават датата на изтичане на срока им и вашето устройство е засегнато, ако има някоя от изброените версии на сертификата. За да продължите да използвате Windows и да получавате редовни актуализации за конфигурацията на защитеното стартиране, ще трябва да актуализирате тези сертификати.

Терминология

• КЕК: Ключ за записване на ключ

• CA: Сертифициращ орган

• DB: База данни с подписи за защитено зареждане

• DBX: База данни за анулиран подпис при защитено стартиране

Microsoft издаде актуализирани сертификати, за да осигури приемственост на защитата при защитено стартиране на устройства с Windows. Microsoft ще управлява процеса на актуализиране за тези нови сертификати на значителна част от устройствата с Windows. Освен това ще предложим подробни указания за организации, които управляват собствените си актуализации на устройството.

Повикване за действие

Може да се наложи да предприемете действие, за да се уверите, че вашето устройство с Windows остава защитено, когато срокът на сертификатите изтече през 2026 г. Както UEFI защитеното стартиране на DB, така и KEK трябва да бъдат актуализирани със съответните нови версии на сертификата 2023. За повече информация относно новите сертификати вижте Създаване и указания за управление на ключ за защитено стартиране на Windows. 

Действията ви ще се различават в зависимост от типа на устройството с Windows, което имате. Изберете от менюто вляво за типа на устройството и конкретно действие, което трябва да предприемете.