Актуализации на сертификата за защитено стартиране: Указания за ИТ специалисти и организации

Проверка на състоянието на защитеното стартиране във вашия автопарк: Защитеното стартиране разрешено ли е? 

Повечето устройства, произведени от 2012 г., имат поддръжка за защитено стартиране и се доставят с разрешено защитено стартиране. За да проверите дали устройството е с разрешено защитено стартиране, направете едно от следните неща: 

• Метод на ГПИ: Отидете в Настройки на "Старт" > > & "Защита > Защита в Windows Защита в Windows" >"Защита на устройството". Под Защита на устройството разделът Защитено стартиране трябва да показва, че защитеното стартиране е включено.

• Метод на командния ред: В команден прозорец с администраторски права в PowerShell въведете Confirm-SecureBootUEFI и след това натиснете Enter. Командата трябва да върне True, което показва, че защитеното стартиране е включено.

При широкомащабни разполагания за множество устройства софтуерът за управление, използван от ИТ специалистите, ще трябва да осигури проверка за разрешаване на защитеното стартиране. 

Например методът за проверка на състоянието на защитено стартиране на устройства, управлявани от Microsoft Intune, е да създадете и разположите скрипт за съответствие по избор на Intune. Intune съответствие се покриват от Използване на персонализирани настройки за съответствие за Linux и устройства с Windows с Microsoft Intune.  

Ако защитеното стартиране не е разрешено, можете да пропуснете стъпките за актуализиране по-долу, тъй като те не са приложими.

Как се разполагат актуализациите

Има няколко начина за насочване на устройства към актуализациите на сертификата за защитено стартиране. Подробностите за разполагането, включително настройките и събитията, ще бъдат обсъдени по-нататък в този документ. Когато насочвате устройство за актуализации, на устройството се прави настройка, която да указва, че устройството трябва да започне процеса на прилагане на новите сертификати. Планирана задача се изпълнява на устройството на всеки 12 часа и открива, че устройството е предназначено за актуализациите. Структура на това, което прави задачата, е следната:

1. Windows UEFI CA 2023 се прилага към базата данни.

2. Ако устройството има Microsoft Corporation UEFI CA 2011 в базата данни, задачата прилага Microsoft Option ROM UEFI CA 2023 и Microsoft UEFI CA 2023 към базата данни.

3. След това задачата добавя Microsoft Corporation KEK 2K CA 2023.

4. И накрая, планираната задача актуализира диспечера за зареждане на Windows до този, подписан от Windows UEFI CA 2023. Windows ще открие, че е необходимо рестартиране, преди диспечерът за зареждане да може да бъде приложен. Актуализацията на диспечера за зареждане ще бъде отложена, докато рестартирането стане естествено (например когато са приложени месечни актуализации), след което Windows отново ще се опита да приложи актуализацията на диспечера за зареждане.

Всяка от стъпките по-горе трябва да бъде изпълнена успешно, преди планираната задача да премине към следващата стъпка. По време на този процес регистрите на събитията и другото състояние ще бъдат на разположение за подпомагане на наблюдението на разполагането. Повече подробности за мониторинга и регистрите на събитията са предоставени по-долу.  

Актуализирането на сертификатите за защитено стартиране позволява бъдеща актуализация на диспечера за зареждане на 2023, който е по-защитен. Конкретни актуализации на диспечера за зареждане ще бъдат в бъдещите издания.

Стъпки за разполагане 

• Подготовка: Опис и тестови устройства.

• Съображения за фърмуера

• Наблюдение: Уверете се, че наблюдението работи и базовата линия на вашия автопарк.

• Разполагане: Целеви устройства за актуализации, започвайки с малки подмножества и разширяващи се на базата на успешни тестове.

• Отстраняване на проблеми: Проучете и отстранете всички проблеми с помощта на регистрационни файлове и поддръжка на доставчици.

Подготовка 

Хардуер и фърмуер за наличности. Създайте представителна извадка от устройства въз основа на производителя на системата, модела на системата, версията/датата на BIOS, версията на продукта BaseBoard и т.н., и тествайте актуализациите на тези устройства преди широкото разполагане.  Тези параметри са често налични в системната информация (MSINFO32). Използвайте включените примерни команди на PowerShell, за да проверите за състоянието на актуализацията на защитеното стартиране и за наличностите на устройства във вашата организация.

Sample Secure Boot Inventory Data Collection script

Копирайте и поставете този примерен скрипт и променете, както е необходимо за вашата среда: скриптът за събиране на данни за примерно защитено стартиране.

Доверителни нива на защитено стартиране

Първата стъпка, ако защитеното стартиране е разрешено, е да проверите дали има чакащи събития, които наскоро са били актуализирани или в процес на актуализиране на сертификатите за защитено стартиране. От специфичен интерес са най-новите събития в 1801 и 1808. Тези събития са описани подробно в събития за актуализиране на DB и DBX променливи. Също така проверете раздела Наблюдение и разполагане за това как събитията могат да показват състоянието на чакащите актуализации.  

Следващата стъпка е да описите устройствата във вашата организация. Съберете следните подробности с командите на PowerShell, за да създадете представителна извадка: 

Съображения за фърмуера

Разполагането на новите сертификати за защитено стартиране за вашия набор от устройства изисква фърмуерът на устройството да играе роля в завършването на актуализацията. Въпреки че Microsoft очаква, че по-голямата част от фърмуера на устройството ще работи по очаквания начин, е необходимо внимателно тестване преди разполагането на новите сертификати.

Прегледайте вашия хардуерен опис и създайте малка, представителна извадка от устройства въз основа на следните уникални критерии, като например: 

• Производител

• Номер на модел

• Версия на фърмуера

• Версия на OEM база и т.н.

Преди да разположите най-общо устройства във вашата автопарк, ви препоръчваме да тествате актуализациите на сертификатите на представителни примерни устройства (както са определени от фактори като производител, модел, версия на фърмуера), за да се уверите, че актуализациите се обработват успешно. Препоръчителните указания за броя на примерните устройства, които да се тестват за всяка уникална категория, са 4 или повече.

Това ще спомогне за изграждането на доверие в процеса на разполагане и ще ви помогне да избегнете неочаквано въздействие върху по-широката си флота. 

В някои случаи може да се изисква актуализация на фърмуера за успешно актуализиране на сертификатите за защитено стартиране. В тези случаи препоръчваме да проверите при OEM на вашето устройство дали е наличен актуализиран фърмуер.

Windows във виртуализирани среди

За Windows, който се изпълнява във виртуална среда, има два метода за добавяне на новите сертификати към променливите на фърмуера на защитеното стартиране:  

• Създателят на виртуалната среда (AWS, Azure, Hyper-V, VMware и т.н.) може да предостави актуализация за средата и да включи новите сертификати във виртуализирания фърмуер. Това ще работи за нови виртуализирани устройства.

• За Windows, който работи дългосрочно във виртуална машина, актуализациите могат да бъдат приложени чрез Windows като всички други устройства, ако виртуализираният фърмуер поддържа актуализации на защитеното стартиране.

Наблюдение и разполагане 

Препоръчваме ви да започнете наблюдението на устройството преди внедряването, за да се уверите, че наблюдението работи правилно и имате добро усещане за състоянието на флота предварително. Опциите за мониторинг са обсъдени по-долу. 

Microsoft предоставя множество методи за разполагане и наблюдение на актуализациите на сертификата за защитено стартиране.

Помощ за автоматизирано разполагане 

Microsoft предоставя две помощни услуги за разполагане. Тези помощи могат да се окажат полезни за подпомагане на разполагането на новите сертификати за автопарка ви. Само управляваната помощ за внедряване на функции изисква диагностични данни.

• Опция за кумулативни актуализации с доверителни набори: Microsoft може автоматично да включва групи устройства с висока достоверност в месечните актуализации въз основа на споделените към момента диагностични данни в полза на системите и организациите, които не могат да споделят диагностични данни. Тази стъпка не изисква диагностичните данни да бъдат разрешени.

  • За организации и системи, които могат да споделят диагностични данни, това дава на Microsoft видимостта и увереността, че устройствата могат успешно да внедрят сертификатите. Повече информация за разрешаването на диагностични данни е налична в: Конфигуриране на диагностични данни на Windows във вашата организация. Ние създаваме "набори" за всяко уникално устройство (както е дефинирано от атрибути, които включват производител, версия на дънната платка, производител на фърмуер, версия на фърмуера и допълнителни точки от данни). За всеки набор ние следим доказателствата за успех на няколко устройства. След като сме видели достатъчно успешни актуализации и няма грешки, ще разгледаме набора "с висока достоверност" и ще включим тези данни в месечните кумулативни актуализации. Когато месечни актуализации се прилагат към устройство в набор с висока достоверност, Windows автоматично ще приложи сертификатите към променливите на защитеното стартиране на UEFI във фърмуера.

  • Наборите с висока достоверност включват устройства, които обработват актуализациите правилно. Естествено, не всички устройства ще предоставят диагностични данни и това може да ограничи доверието на Microsoft към способността на дадено устройство да обработва актуализациите правилно.

  • Тази помощ е разрешена по подразбиране за устройства с висока достоверност и може да бъде забранена със специфична за устройството настройка. Повече информация ще бъде споделена в бъдещите издания на Windows.

• Контролирано внедряване на функции (CFR):  Включете устройства за разполагане, управлявано от Microsoft, ако са разрешени диагностични данни.

  • Контролираното внедряване на функции (CFR) може да се използва с клиентски устройства в организационни флотове. Това изисква устройствата да изпращат задължителни диагностични данни на Microsoft и да са сигнализирали, че устройството се записва, за да разреши CFR на устройството. Подробностите за това как да се включите са описани по-долу.

  • Microsoft ще управлява процеса на актуализиране за тези нови сертификати на устройства с Windows, където са налични диагностични данни и устройствата участват в контролирано внедряване на функции (CFR). Въпреки че CFR може да помогне при разполагането на новите сертификати, организациите няма да могат да разчитат на CFR за отстраняване на техните автопаркове – това ще изисква следване на стъпките, описани в този документ в раздела за методи за разполагане, които не са обхванати от автоматизирана помощ.

  • Ограничения: Има няколко причини, поради които CFR може да не работи във вашата среда. Например:

    • Няма налични диагностични данни или диагностичните данни не са използваеми като част от внедряването на CFR.

    • Устройствата не са на поддържани клиентски версии на Windows 11 и Windows 10 с разширени актуализации на защитата (ESU).

Методи за разполагане, които не са обхванати от автоматизирани помощни средства

Изберете метода, който отговаря на вашата среда. Избягвайте смесването на методи на едно и също устройство: 

• Ключове от системния регистър: Управление на разполагането и наблюдение на резултатите.
  Налични са няколко ключа от системния регистър за контролиране на поведението на разполагането на сертификатите и за наблюдение на резултатите. Освен това има два ключа за включване и отписване от помощите за разполагане, описани по-горе. За повече информация относно ключовете от системния регистър вижте ключ от системния регистър Актуализации за защитено стартиране – устройства с Windows с актуализации, управлявани от ИТ.

• групови правила обекти (GPO): Управление на настройките; следене чрез регистрите на системния регистър и събитията.
  Microsoft ще предоставя поддръжка за управление на актуализациите на защитеното стартиране с помощта на групови правила в бъдеща актуализация. Имайте предвид, че тъй като групови правила е за настройките, наблюдението на състоянието на устройството ще трябва да се направи с помощта на алтернативни методи, включително наблюдение на ключове от системния регистър и записи в регистъра на събитията.

• CLI за WinCS (Windows Configuration System): Използване на инструменти от командния ред за клиенти, присъединени към домейн.
  Администраторите на домейни могат също така да използват системата за конфигуриране на Windows (WinCS), включена в актуализациите на ос Windows, за да разположат актуализациите на защитеното стартиране сред клиенти и сървъри на Windows, присъединени към домейн. Той се състои от поредица от помощни програми в командния ред (както традиционен изпълним файл, така и модул на PowerShell), за да извършвате заявки и да прилагате конфигурации на защитено стартиране локално към компютъра. За повече информация вижте следните статии:

  • API на системата за конфигуриране на Windows (WinCS) за защитено стартиране

  • Sample Secure Boot E2E Automation Guide

• Microsoft Intune/Configuration Manager: Разполагане на скриптове на PowerShell. Доставчик на конфигурационни услуги (CSP) ще бъде предоставен в бъдеща актуализация, за да се позволи разполагане с помощта на Intune.

Следене на регистрите на събитията

Предоставят се две нови събития, които да помогнат при разполагането на актуализациите на сертификата за защитено стартиране. Тези събития са описани подробно в събития за актуализиране на DB и DBX променливи: 

• ИД на събитие: 1801
  Това събитие е събитие за грешка, което показва, че актуализираните сертификати не са приложени към устройството. Това събитие предоставя някои подробности, специфични за устройството, включително атрибутите на устройството, които ще ви помогнат да се съпоставят устройствата, които все още се нуждаят от актуализиране.

• ИД на събитие: 1808
  Това събитие е информационно събитие, което показва, че устройството има необходимите нови сертификати за защитено стартиране, приложени към фърмуера на устройството.

Стратегии за разполагане 

За да намалите риска, разположете актуализациите на защитеното стартиране поетапено, а не всички наведнъж. Започнете с малко подмножество от устройства, проверете резултатите и след това разгънете до допълнителни групи. Предлагаме ви да започнете с подмножества от устройства и, когато се доверявате на тези разполагания, да добавяте допълнителни подмножества от устройства. Няколко фактора могат да се използват, за да се определи какво попада в подмножество, включително тестови резултати на примерни устройства и организационна структура и т.н. 

Решението кои устройства разполагате зависи от вас. Някои възможни стратегии са изброени тук. 

• Голям автопарк от устройства: започнете, като разчитате на помощта, описана по-горе, за най-често срещаните устройства, които управлявате. Успоредно с това се фокусирайте върху по-рядко срещаните устройства, управлявани от вашата организация. Тествайте малките примерни устройства и, ако тестването е успешно, разположете в останалите устройства от същия тип. Ако тестването създава проблеми, проучете причината за проблема и определете стъпките за отстраняване. Може също да помислите за класове устройства, които имат по-висока стойност във флота, и да започнете да тествате и разполагате, за да сте сигурни, че тези устройства са актуализирали защитата си по-рано.

• Малък флот, голям сорт: Ако автопаркът, който управлявате, съдържа голямо разнообразие от машини, при които тестването на отделни устройства би било възпрепятстващо, обмислете дали да не разчитате до голяма степен на двете помощни средства, описани по-горе, особено за устройства, които е вероятно да са често срещани устройства на пазара. Първоначално се фокусирайте върху устройства, които са от решаващо значение за ежедневната работа, тествайте и след това разполагайте. Продължете да се придвижвате надолу по списъка с устройства с висок приоритет, тестване и разполагане, докато наблюдавате флота, за да се уверите, че помощните средства помагат за останалата част от устройствата.

Бележки 

• Обърнете внимание на по-стари устройства, особено на устройства, които вече не се поддържат от производителя. Въпреки че фърмуерът трябва да изпълнява операциите за актуализиране правилно, някои може да не работят. В случаите, когато фърмуерът не работи правилно и устройството вече не се поддържа, обмислете смяна на устройството, за да осигурите защита на защитеното стартиране по целия флот.

• Възможно е новите устройства, произведени през последните 1 – 2 години, вече да имат актуализирани сертификати, но може да не са приложили към системата диспечера за зареждане, подписан с Windows UEFI CA 2023. Прилагането на този диспечер за зареждане е важна последна стъпка в разполагането за всяко устройство.

• След като устройството е избрано за актуализации, може да отнеме известно време, преди актуализациите да завършат. Оценка 48 часа и едно или повече рестартирания, за да се приложат сертификатите.