Първоначална дата на публикуване: 26 юни 2025 г.
ИД на КБ: 5062710
Какво представлява защитеното стартиране?
Защитеното стартиране е функция за защита във фърмуера, базиран на унифициран разширяем интерфейс за фърмуер (UEFI), който помага да се гарантира, че само надежден софтуер се изпълнява по време на последователността на стартиране (стартиране) на устройството. Той работи чрез проверка на цифровия подпис на софтуера за предварително стартиране на набор от надеждни цифрови сертификати (известни още като сертифициращ орган или СО), съхранени във фърмуера на устройството. Като отрасловия стандарт защитеното стартиране на UEFI определя как фърмуерът на платформата управлява сертификатите, удостоверява фърмуера и как операционната система (ОС) взаимодейства с този процес. За повече информация относно UEFI и защитеното стартиране вижте Защитено стартиране.
Защитеното стартиране беше въведено за първи път в Windows 8, за да се защити срещу нововъзникващия злонамерен софтуер преди стартиране (известен също като bootkit) заплаха в този момент. Като част от инициализацията на платформата, Secure Boot удостоверява фърмуерните модули преди изпълнение. Тези модули включват драйвери за фърмуер на UEFI (като например Option ROMs), зареждащи и приложения. Като последната стъпка от процеса на защитено стартиране, фърмуерът проверява дали защитеното стартиране се доверява на зареждащата програма за зареждане. След това фърмуерът предава управлението на зареждащата програма, която на свой ред проверява, зарежда в паметта и стартира операционната система Windows.
Защитеното стартиране дефинира надежден код чрез набор от правила за фърмуера по време на производството. Промените в тези правила, като например добавяне или анулиране на сертификати, се управляват от йерархия от ключове. Тази йерархия започва с ключа от платформата (PK), който обикновено е собственост на производителя на хардуера, последван от ключа за записване на ключ (KEK) (известен също като ключ за обмен на ключове), който може да включва Microsoft KEK и други OEM KEK. Базата данни за разрешени подписи (DB) и забранената база данни за подписи (DBX) определят кой код може да се изпълнява в средата на UEFI преди стартирането на операционната система. Базата данни включва сертификати, управлявани от Microsoft и OEM, докато DBX се актуализира от Microsoft с най-новите анулирания. Всеки обект с KEK може да актуализира базата данни и DBX.
Сертификатите за защитено стартиране на Windows изтичат през 2026 г.
Тъй като Windows въведе поддръжката на защитеното стартиране, всички устройства, базирани на Windows, са носили един и същ набор от сертификати на Microsoft в KEK и DB. Тези оригинални сертификати наближават датата на изтичане на срока им и вашето устройство е засегнато, ако има някоя от изброените версии на сертификата. За да продължите да използвате Windows и да получавате редовни актуализации за конфигурацията на защитеното стартиране, ще трябва да актуализирате тези сертификати.
Терминология
-
Не, не Ключ за записване на ключ
-
Не, не Сертифициращ орган
-
База данни: База данни с подписи за защитено зареждане
-
DBX: База данни за анулиран подпис при защитено стартиране
|
Сертификат за изтичане на срока |
Срок на годност |
Нов сертификат |
Съхраняване на местоположението |
Цел |
|
Microsoft Corporation KEK CA 2011 |
Юни 2026 г. |
Microsoft Corporation KEK CA 2023 |
Съхранява се в KEK |
Подписва актуализации за DB и DBX. |
|
Microsoft Windows Production PCA 2011 |
Октомври 2026 г. |
Windows UEFI CA 2023 |
Съхранено в база данни |
Използва се за подписване на зареждащата програма на Windows. |
|
Microsoft UEFI CA 2011* |
Юни 2026 г. |
Microsoft UEFI CA 2023 |
Съхранено в база данни |
Подписва зареждащи и EFI приложения на трети лица. |
|
Microsoft UEFI CA 2011* |
Юни 2026 г. |
Microsoft Option ROM CA 2023 |
Съхранено в база данни |
Подписва ROM за опции на трети лица |
*По време на подновяването на сертификата на Microsoft Corporation UEFI CA 2011 два сертификата отделят подписването на зареждащата програма за стартиране от подписването на ROM с опция. Това позволява по-прецизен контрол върху доверието на системата. Например системи, които трябва да се доверяват на ROM за опции, могат да добавят Microsoft Option ROM UEFI CA 2023, без да добавят доверие за зареждащи устройства на трети лица.
Microsoft издаде актуализирани сертификати, за да осигури приемственост на защитата при защитено стартиране на устройства с Windows. Microsoft ще управлява процеса на актуализиране за тези нови сертификати на значителна част от устройствата с Windows. Освен това ще предложим подробни указания за организации, които управляват собствените си актуализации на устройството.
Важно Когато срокът на 2011 Г. изтече, устройства с Windows, които нямат нови сертификати 2023, вече не могат да получават корекции на защитата за компоненти преди стартиране, които правят компромис със защитата при стартиране на Windows.
Повикване за действие
Може да се наложи да предприемете действие, за да се уверите, че вашето устройство с Windows остава защитено, когато срокът на сертификатите изтече през 2026 г. Както UEFI защитеното стартиране на DB, така и KEK трябва да бъдат актуализирани със съответните нови версии на сертификата 2023. За повече информация относно новите сертификати вижте Създаване и указания за управление на ключ за защитено стартиране на Windows.
Важно Без актуализации устройствата с Windows с активирано защитено стартиране рискуват да не получават актуализации на защитата или да не се доверяват на нови зареждащи устройства за зареждане, което ще компрометира както възможността за обслужване, така и защитата.
Действията ви ще се различават в зависимост от типа на устройството с Windows, което имате. Изберете от менюто вляво за типа на устройството и конкретно действие, което трябва да предприемете.
