Aktualizace certifikátů zabezpečeného spouštění: Pokyny pro IT profesionály a organizace

Vypršení platnosti certifikátu zabezpečeného spouštění

Konfigurace certifikačních autorit (CA), označovaných také jako certifikáty poskytované Microsoftem v rámci infrastruktury zabezpečeného spouštění, zůstává od Windows 8 a Windows Server 2012 stejná. Tyto certifikáty jsou uloženy v proměnných Databáze podpisů (DB) a Klíč výměny klíčů (KEK) ve firmwaru. Společnost Microsoft poskytla stejné tři certifikáty v ekosystému výrobce OEM (Original Equipment Manufacturer), které jsou součástí firmwaru zařízení. Tyto certifikáty podporují zabezpečené spouštění ve Windows a používají je také operační systémy třetích stran. Microsoft poskytuje následující certifikáty:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

Co se mění?

Aktuální certifikáty zabezpečeného spouštění Microsoftu (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) začnou vypršet od června 2026 a platnost vyprší do října 2026. 

Zavádíme nové certifikáty 2023, které udržují zabezpečení a kontinuitu zabezpečeného spouštění. Zařízení se musí před vypršením platnosti certifikátů 2011 aktualizovat na certifikáty 2023, jinak nebudou dodržovat předpisy zabezpečení a budou ohrožena.  

Zařízení s Windows vyrobená od roku 2012 můžou mít vypršení platnosti verzí certifikátů, které je potřeba aktualizovat. 

Terminologie

Certifikáty

Ověření stavu zabezpečeného spouštění ve vašem vozovém parku: Je povolené zabezpečené spouštění? 

Většina zařízení vyrobených od roku 2012 podporuje zabezpečené spouštění a dodává se s povoleným zabezpečeným spouštěním. Pokud chcete ověřit, že je na zařízení povolené zabezpečené spouštění, udělejte jednu z těchto věcí: 

• Metoda grafického uživatelského rozhraní: Přejděte na Start > Nastavení > Ochrana osobních údajů & Zabezpečení > Zabezpečení Windows > Zabezpečení zařízení. V části Zabezpečení zařízení by v části Zabezpečené spouštění mělo být uvedeno, že zabezpečené spouštění je zapnuté.

• Metoda příkazového řádku: Na příkazovém řádku se zvýšenými oprávněními v PowerShellu zadejte Confirm-SecureBootUEFI a stiskněte KlávesuEnter. Příkaz by měl vrátit hodnotu True označující, že je zapnuté zabezpečené spouštění.

V rozsáhlých nasazeních pro řadu zařízení bude software pro správu, který používají IT specialisté, muset zkontrolovat povolení zabezpečeného spouštění. 

Například metodou kontroly stavu zabezpečeného spouštění na zařízeních spravovaných Microsoft Intune je vytvoření a nasazení vlastního skriptu dodržování předpisů Intune. Nastavení dodržování předpisů v Intune najdete v tématu Použití vlastního nastavení dodržování předpisů pro zařízení s Linuxem a Windows s Microsoft Intune.  

Jak se nasazují aktualizace

Existuje několik způsobů, jak cílit na zařízení pro aktualizace certifikátů zabezpečeného spouštění. Podrobnosti o nasazení, včetně nastavení a událostí, budou popsány dále v tomto dokumentu. Když cílíte na zařízení kvůli aktualizacím, nastaví se na zařízení nastavení, které indikuje, že zařízení by mělo zahájit proces použití nových certifikátů. Naplánovaná úloha se na zařízení spouští každých 12 hodin a zjistí, že zařízení bylo cílem aktualizací. Přehled toho, co úkol dělá, je následující:

1. Na databázi se použije ca rozhraní UEFI windows 2023.

2. Pokud má zařízení v databázi Microsoft Corporation UEFI CA 2011, pak úloha použije Microsoft Option ROM UEFI CA 2023 a Microsoft UEFI CA 2023 na databázi.

3. Úkol pak přidá Microsoft Corporation KEK 2K CA 2023.

4. Nakonec naplánovaná úloha aktualizuje správce spouštění systému Windows na správce podepsaného certifikační autoritou UEFI systému Windows 2023. Systém Windows zjistí, že je potřeba restartovat, než bude možné použít správce spouštění. Aktualizace správce spouštění se zpozdí, dokud k restartování nedojde přirozeně (například při použití měsíčních aktualizací), a pak se systém Windows znovu pokusí nainstalovat aktualizaci správce spouštění.

Každý z výše uvedených kroků musí být úspěšně dokončen, než se naplánovaná úloha přesune k dalšímu kroku. Během tohoto procesu budou k dispozici protokoly událostí a další stav, které vám pomůžou monitorovat nasazení. Další podrobnosti o monitorování a protokolech událostí najdete níže.  

Aktualizace certifikátů zabezpečeného spouštění umožňuje budoucí aktualizaci Správce spouštění 2023, která je bezpečnější. Konkrétní aktualizace ve Správci spouštění budou v budoucích verzích.

Kroky nasazení 

• Příprava: Inventarizace a testování zařízení.

• Aspekty firmwaru

• Monitorování: Ověřte, že monitorování funguje a podle plánu vašeho vozového parku.

• Nasazení: Cílová zařízení pro aktualizace, počínaje malými podmnožinami a rozšířením na základě úspěšných testů.

• Náprava: Prozkoumejte a vyřešte všechny problémy s využitím protokolů a podpory dodavatelů.

Příprava 

Inventarizace hardwaru a firmwaru Vytvořte reprezentativní vzorek zařízení založených na výrobci systému, modelu systému, verzi/datu systému BIOS, verzi základního produktu atd. a před širokým nasazením otestujte aktualizace těchto ukázek.  Tyto parametry jsou běžně dostupné v informacích o systému (MSINFO32). 

Příklady příkazů PowerShellu pro shromažďování informací:

Aspekty firmwaru

Nasazení nových certifikátů zabezpečeného spouštění do vaší skupiny zařízení vyžaduje, aby při dokončení aktualizace hrál roli firmware zařízení. I když Microsoft očekává, že většina firmwaru zařízení bude fungovat podle očekávání, před nasazením nových certifikátů je potřeba pečlivě otestovat.

Zkontrolujte inventář hardwaru a sestavte malý reprezentativní vzorek zařízení na základě následujících jedinečných kritérií, jako jsou: 

• Výrobce

• Číslo modelu

• Verze firmwaru

• Verze základní desky OEM atd.

Před širším nasazením do zařízení ve vašem vozovém parku doporučujeme otestovat aktualizace certifikátů na reprezentativních ukázkových zařízeních (jak jsou definovány faktory, jako je výrobce, model nebo verze firmwaru), abyste měli jistotu, že se aktualizace úspěšně zpracují. Doporučené pokyny k počtu ukázkových zařízení, která se mají testovat pro každou jedinečnou kategorii, je 4 nebo více.

Pomůže vám to budovat důvěru v proces nasazení a vyhnout se nepředvídatelným dopadům na širší vozový park. 

V některých případech může být k úspěšné aktualizaci certifikátů zabezpečeného spouštění vyžadována aktualizace firmwaru. V těchto případech doporučujeme zkontrolovat u výrobce OEM vašeho zařízení, jestli je k dispozici aktualizovaný firmware.

Windows ve virtualizovaných prostředích

Pro Windows běžící ve virtuálním prostředí existují dvě metody přidání nových certifikátů do proměnných firmwaru zabezpečeného spouštění:  

• Tvůrce virtuálního prostředí (AWS, Azure, Hyper-V, VMware atd.) může poskytnout aktualizaci prostředí a zahrnout nové certifikáty do virtualizovaného firmwaru. To by fungovalo pro nová virtualizovaná zařízení.

• Pokud virtualizovaný firmware podporuje aktualizace zabezpečeného spouštění, je možné aktualizace v systému Windows použít v systému Windows jako na všech ostatních zařízeních.

Monitorování a nasazení 

Doporučujeme zahájit monitorování zařízení před nasazením, abyste měli jistotu, že monitorování funguje správně a máte předem dobrý přehled o stavu vozového parku. Možnosti monitorování jsou popsány níže. 

Microsoft poskytuje několik metod pro nasazení a monitorování aktualizací certifikátů zabezpečeného spouštění.

Pomoc s automatizovaným nasazením 

Microsoft poskytuje dva pomocníky při nasazení. Tyto pomocníky se můžou ukázat jako užitečné při nasazování nových certifikátů do vašeho vozového parku. Oba pomocníky vyžadují diagnostická data.

• Možnost pro kumulativní aktualizace s intervaly spolehlivosti: Společnost Microsoft může automaticky zahrnout vysoce důvěryhodné skupiny zařízení do měsíčních aktualizací na základě dosud sdílených diagnostických dat, což bude přínosem pro systémy a organizace, které nemůžou sdílet diagnostická data. Tento krok nevyžaduje povolení diagnostických dat.

  • Organizacím a systémům, které můžou sdílet diagnostická data, poskytuje Microsoftu přehled a jistotu, že zařízení můžou certifikáty úspěšně nasadit. Další informace o povolení diagnostických dat najdete v tématu Konfigurace diagnostických dat Windows ve vaší organizaci. Vytváříme "kbelíky" pro každé jedinečné zařízení (definované atributy, mezi které patří výrobce, verze základní desky, výrobce firmwaru, verze firmwaru a další datové body). U každého kbelíku monitorujeme důkazy o úspěchu na více zařízeních. Jakmile se dočkáme dostatečného množství úspěšných aktualizací a nedojde k žádným selháním, budeme tento kbelík považovat za vysoce důvěryhodný a zahrneme tato data do měsíčních kumulativních aktualizací. Když se na zařízení použijí měsíční aktualizace ve vysoce důvěryhodném kontejneru, systém Windows automaticky použije certifikáty na proměnné zabezpečeného spouštění rozhraní UEFI ve firmwaru.

  • Kontejnery s vysokou spolehlivostí zahrnují zařízení, která zpracovávají aktualizace správně. Samozřejmě, že ne všechna zařízení budou poskytovat diagnostická data, což může microsoftu omezit důvěru ve schopnost zařízení správně zpracovávat aktualizace.

  • Tento pomocník je ve výchozím nastavení povolený pro zařízení s vysokou spolehlivostí a je možné ho zakázat pomocí nastavení specifického pro konkrétní zařízení. Další informace budeme sdílet v budoucích verzích Windows.

• CFR (Controlled Feature Rollout):  Pokud jsou povolená diagnostická data, přihlaste se k nasazení spravovaným Microsoftem.

  • Řízené zavedení funkcí (CFR) je možné použít s klientskými zařízeními ve fleetech organizace. To vyžaduje, aby zařízení odesílala do Microsoftu povinná diagnostická data a signalizovala, že se zařízení přihlašuje k povolení CFR na zařízení. Podrobnosti o tom, jak se přihlásit, jsou popsány níže.

  • Microsoft bude spravovat proces aktualizace těchto nových certifikátů na zařízeních s Windows, kde jsou k dispozici diagnostická data a zařízení se účastní zavedení kontrolovaných funkcí (CFR). I když může CFR pomoct s nasazením nových certifikátů, organizace se nebudou moct spoléhat na CFR, aby opravily své flotily – bude vyžadovat provedení kroků popsaných v tomto dokumentu v části Věnované metodám nasazení, které nejsou pokryty automatizovanými pomocníky.

  • Omezení: Existuje několik důvodů, proč CFR nemusí ve vašem prostředí fungovat. Například:

    • Nejsou k dispozici žádná diagnostická data nebo diagnostická data nejsou použitelná v rámci nasazení CFR.

    • Zařízení nejsou v podporovaných klientských verzích Windows 11 a Windows 10 s rozšířenými aktualizacemi zabezpečení (ESU).

Metody nasazení, které nejsou pokryty automatizovanými pomocníky

Zvolte metodu, která odpovídá vašemu prostředí. Vyhněte se metodám míchání na stejném zařízení: 

• Klíče registru: Řízení nasazení a monitorování výsledků.
  K dispozici je několik klíčů registru pro řízení chování nasazení certifikátů a pro monitorování výsledků. Kromě toho existují dva klíče pro vyjádření souhlasu a odhlášení z výše popsaných pomůcek pro nasazení. Další informace o klíčích registru najdete v tématu Klíč registru Aktualizace pro zabezpečené spouštění – zařízení s Windows s aktualizacemi spravovanými IT.

• Zásady skupiny Objekty (GPO): Správa nastavení, monitorování prostřednictvím registru a protokolů událostí.
  Microsoft bude poskytovat podporu pro správu aktualizací zabezpečeného spouštění pomocí Zásady skupiny v budoucí aktualizaci. Vzhledem k tomu, že Zásady skupiny slouží k nastavení, bude potřeba monitorovat stav zařízení pomocí alternativních metod, včetně monitorování klíčů registru a položek protokolu událostí.

• Rozhraní příkazového řádku WinCS (Windows Configuration System): Pro klienty připojené k doméně používejte nástroje příkazového řádku.
  Správci domény můžou alternativně použít systém Windows Configuration System (WinCS), který je součástí aktualizací operačního systému Windows, k nasazení aktualizací zabezpečeného spouštění na klienty a servery Windows připojené k doméně. Skládá se z řady nástrojů příkazového řádku (tradiční spustitelný soubor i modul PowerShellu), které místně dotazují a aplikují konfigurace zabezpečeného spouštění na počítač. Další informace najdete v tématu Rozhraní API systému Windows Configuration System (WinCS) pro zabezpečené spouštění.

• Microsoft Intune nebo Configuration Manager: Nasazení skriptů PowerShellu Poskytovatel konfiguračních služeb (CSP) bude k dispozici v budoucí aktualizaci, která umožní nasazení pomocí Intune.

Monitorování protokolů událostí

K dispozici jsou dvě nové události, které vám pomůžou s nasazením aktualizací certifikátů zabezpečeného spouštění. Tyto události jsou podrobně popsány v tématu Události aktualizace databáze zabezpečeného spouštění a proměnné DBX: 

• ID události: 1801
  Tato událost je chybová událost, která značí, že se na zařízení nepoužily aktualizované certifikáty. Tato událost poskytuje určité podrobnosti specifické pro zařízení, včetně atributů zařízení, které vám pomůžou s korelací zařízení, která se stále potřebují aktualizovat.

• ID události: 1808
  Tato událost je informační událost, která označuje, že zařízení má na firmware zařízení použité požadované nové certifikáty zabezpečeného spouštění.

Strategie nasazení 

Aby se minimalizovalo riziko, nasaďte aktualizace zabezpečeného spouštění ve fázích, nikoli ve všech najednou. Začněte s malou podmnožinou zařízení, ověřte výsledky a pak rozbalte další skupiny. Doporučujeme, abyste začali s podmnožinami zařízení, a až v těchto nasazeních získáte důvěru, přidejte další podmnožinu zařízení. K určení toho, co je součástí podmnožina, je možné použít několik faktorů, včetně výsledků testů na ukázkových zařízeních, organizační struktuře atd. 

Rozhodnutí o tom, která zařízení nasadíte, je na vás. Tady jsou uvedené některé možné strategie. 

• Rozsáhlý vozový park zařízení: Začněte tím, že budete spoléhat na výše popsané pomocníky pro nejběžnější zařízení, která spravujete. Souběžně se zaměřte na méně běžná zařízení spravovaná vaší organizací. Otestujte malá ukázková zařízení, a pokud je testování úspěšné, nasaďte je do zbývajících zařízení stejného typu. Pokud testování způsobuje problémy, prozkoumejte příčinu problému a určete nápravné kroky. Můžete také zvážit třídy zařízení, které mají vyšší hodnotu ve vašem vozovém parku, a začít testovat a nasazovat, abyste zajistili, že tato zařízení mají aktualizovanou ochranu v rané fázi.

• Malá flotila, velká rozmanitost: Pokud vozový park, který spravujete, obsahuje velké množství počítačů, u kterých by testování jednotlivých zařízení bylo zakázané, zvažte, zda se do značné míry spoléhat na dvě výše popsané pomocníky, zejména u zařízení, která budou pravděpodobně běžnými zařízeními na trhu. Nejprve se zaměřte na zařízení, která jsou důležitá pro každodenní provoz, otestujte a pak nasaďte. Pokračujte v procházení seznamu zařízení s vysokou prioritou a testování a nasazování během monitorování vozového parku, abyste si ověřili, že asistence pomáhají se zbývajícími zařízeními.

Poznámky 

• Věnujte pozornost starším zařízením, zejména zařízením, která už nejsou podporována výrobcem. I když by firmware měl provádět operace aktualizace správně, některé ne. V případech, kdy firmware nefunguje správně a zařízení už není podporované, zvažte výměnu zařízení, aby se zajistila ochrana zabezpečeného spouštění ve vašem vozovém parku.

• Nová zařízení vyrobená v posledních 1 až 2 letech už můžou mít aktualizované certifikáty, ale nemusí mít na systém použitý správce spouštění podepsaný windows UEFI CA 2023. Použití tohoto správce spouštění je kritickým posledním krokem v nasazení pro každé zařízení.

• Po výběru zařízení pro aktualizace může dokončení aktualizací nějakou dobu trvat. Odhadněte 48 hodin a jedno nebo více restartování, aby se certifikáty použily.

Běžné problémy a doporučení

Tato příručka podrobně popisuje, jak funguje proces aktualizace certifikátu zabezpečeného spouštění, a obsahuje několik kroků pro řešení potíží v případě, že dojde k problémům během nasazování do zařízení. Aktualizace do této části se podle potřeby přidají.

Podpora nasazení certifikátů zabezpečeného spouštění 

V rámci podpory aktualizací certifikátů zabezpečeného spouštění udržuje systém Windows naplánovanou úlohu, která se spouští každých 12 hodin. Úloha hledá v klíči registru AvailableUpdates bity , které vyžadují zpracování. Části, které vás zajímají při nasazování certifikátů, najdete v následující tabulce. Sloupec Order (Pořadí) označuje pořadí zpracování bitů.

Každý bit je zpracován naplánovanou událostí v pořadí uvedeném ve výše uvedené tabulce.

Průběh bitů by měl vypadat takto: 

1. Zahájení: 0x5944

2. 0x0040 → 0x5904 (úspěšně se použila certifikační autorita rozhraní UEFI systému Windows 2023)

3. 0x0800 → 0x5104 (v případě potřeby se použila certifikační autorita microsoftu UEFI 2023)

4. 0x1000 → 0x4104 (v případě potřeby se použil Microsoft Option ROM UEFI CA 2023)

5. 0x0004 → 0x4100 (používá se Microsoft Corporation KEK 2K CA 2023)

6. 0x0100 → 0x4000 (Používá se správce spouštění podepsaný certifikační autoritou UEFI systému Windows 2023)

Poznámky

• Jakmile se operace přidružená k bitu úspěšně dokončí, vymaže se tento bit z klíče AvailableUpdates .

• Pokud jedna z těchto operací selže, zaprotokoluje se událost a při příštím spuštění naplánované úlohy se operace opakuje.

• Pokud je bit 0x4000 nastavený, nevymaže se. Po zpracování všech ostatních bitů se klíč registru AvailableUpdates nastaví na 0x4000.

Problém 1: Selhání aktualizace klíče KEK: Zařízení aktualizuje certifikáty na databázi zabezpečeného spouštění, ale nepostupuje po nasazení nového certifikátu klíče exchange klíčů do klíče KEK zabezpečeného spouštění. 

Poznámka V současné době, když dojde k tomuto problému, bude zaznamenáno ID události: 1796 (viz Události aktualizace databáze zabezpečeného spouštění a DBX proměnné). V pozdější verzi bude k dispozici nová událost, která bude indikovat tento konkrétní problém. 

Klíč registru AvailableUpdates na zařízení je nastavený na 0x4104 a nevymaže 0x0004 bit, a to ani po několika restartováních a poměrně dlouhou dobu. 

Problém může být v tom, že pro zařízení neexistuje klíč KEK podepsaný infrastrukturou infrastruktury výrobce OEM. Výrobce OEM řídí infrastrukturu veřejných klíčů zařízení a zodpovídá za podepsání nového certifikátu Microsoft KEK a jeho vrácení do Microsoftu, aby se mohl zahrnout do měsíčních kumulativních aktualizací. 

Pokud narazíte na tuto chybu, ověřte u výrobce OEM, že postupoval podle kroků uvedených v pokynech k vytvoření a správě klíče zabezpečeného spouštění Windows.  

Problém 2: Chyby firmwaru: Při použití aktualizací certifikátů se certifikáty předají firmwaru, aby se použily pro databázi zabezpečeného spouštění nebo proměnné KEK. V některých případech firmware vrátí chybu. 

Když dojde k tomuto problému, zabezpečené spouštění zaznamená ID události: 1795. Informace o této události najdete v tématu Události aktualizace databáze zabezpečeného spouštění a proměnné DBX. 

Pokud chcete tento problém vyřešit, doporučujeme zkontrolovat u výrobce OEM, jestli je pro zařízení k dispozici aktualizace firmwaru.