Opdateringer til Secure Boot Certificate: Vejledning til it-fagfolk og organisationer

Udløb af certifikat til sikker bootstart

Konfigurationen af nøglecentre, også kaldet certifikater, der leveres af Microsoft som en del af Sikker bootstart-infrastruktur, er forblevet den samme siden Windows 8 og Windows Server 2012. Disse certifikater gemmes i variablerne Db (Signature Database) og Key Exchange Key (KEK) i firmwaren. Microsoft har leveret de samme tre certifikater på tværs af økosystemet fra producenten af originalt udstyr (OEM), som skal medtages i enhedens firmware. Disse certifikater understøtter sikker bootstart i Windows og bruges også af tredjepartsoperativsystemer . Følgende certifikater leveres af Microsoft:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

Hvad ændres?

Aktuelle Microsoft Secure Boot-certifikater (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) begynder at udløbe i juni 2026 og udløber i oktober 2026. 

Nye 2023-certifikater udrulles for at opretholde sikker bootstartsikkerhed og -kontinuitet. Enheder skal opdateres til 2023-certifikaterne, før 2011-certifikaterne udløber, ellers er de ude af sikkerhedsrisiko.  

Windows-enheder, der er produceret siden 2012, kan have versioner af certifikater, der udløber, og som skal opdateres. 

Terminologi

Certifikater

Bekræftelse af status for sikker bootstart på tværs af din flåde: Er Sikker bootstart aktiveret? 

De fleste enheder, der er produceret siden 2012, har understøttelse af Sikker bootstart og leveres med Sikker bootstart aktiveret. Gør et af følgende for at bekræfte, at sikker bootstart er aktiveret på en enhed: 

• GUI-metode: Gå til Start > Indstillinger > Beskyttelse af personlige oplysninger & Sikkerhed >Windows Sikkerhed >Enhedssikkerhed. Under Enhedssikkerhed skal afsnittet Sikker start angive, at Sikker bootstart er slået til.

• Kommandolinjemetode: Skriv Confirm-SecureBootUEFI ved en kommandoprompt med administratorrettigheder i PowerShell, og tryk derefter på Enter. Kommandoen skal returnere Sand, hvilket angiver, at Sikker bootstart er slået til.

I store installationer til en flåde af enheder skal den administrationssoftware, der bruges af it-teknikere, give mulighed for at kontrollere, om sikker bootstart er aktiveret. 

Metoden til at kontrollere tilstanden sikker bootstart på Microsoft Intune-administrerede enheder er f.eks. at oprette og installere et brugerdefineret Intune-overholdelsesscript. Intune-overholdelsesindstillinger er dækket i Brug brugerdefinerede indstillinger for overholdelse af regler og standarder til Linux- og Windows-enheder med Microsoft Intune.  

Sådan installeres opdateringer

Der er flere måder at målrette enheder mod opdateringer af certifikat til sikker bootstart på. Oplysninger om installation, herunder indstillinger og hændelser, diskuteres senere i dette dokument. Når du målretter en enhed efter opdateringer, angives der en indstilling på enheden for at angive, at enheden skal begynde processen med at anvende de nye certifikater. En planlagt opgave kører på enheden hver 12. time og registrerer, at enheden er blevet målrettet efter opdateringerne. En oversigt over, hvad opgaven gør, er som følger:

1. Windows UEFI CA 2023 anvendes på DB.

2. Hvis enheden har Microsoft Corporation UEFI CA 2011 i DB, anvender opgaven Microsoft Option ROM UEFI CA 2023 og Microsoft UEFI CA 2023 til DB.

3. Opgaven tilføjer derefter Microsoft Corporation KEK 2K CA 2023.

4. Endelig opdaterer den planlagte opgave Windows Boot Manager til den, der er signeret af Windows UEFI CA 2023. Windows registrerer, at der kræves en genstart, før startstyringen kan anvendes. Opdateringen til Boot Manager forsinkes, indtil genstarten sker naturligt (f.eks. når der anvendes månedlige opdateringer), og derefter forsøger Windows igen at anvende opdateringen til Boot Manager.

Hvert af ovenstående trin skal fuldføres, før den planlagte opgave flyttes til næste trin. Under denne proces vil hændelseslogge og anden status være tilgængelige for overvågning af installationen. Du kan finde flere oplysninger om overvågning og hændelseslogge nedenfor.  

Opdatering af certifikater til sikker bootstart muliggør en fremtidig opdatering til 2023 Boot Manager, som er mere sikker. Bestemte opdateringer på Boot Manager vil være i fremtidige versioner.

Installationstrin 

• Forberedelse: Lager- og testenheder.

• Overvejelser i forbindelse med firmware

• Overvågning: Kontrollér overvågning af værker og grundlinje for din flåde.

• Installation: Målenheder til opdateringer, startende med små undersæt og udvidelse baseret på vellykkede test.

• Afhjælpning: Undersøg og løs eventuelle problemer ved hjælp af logfiler og leverandørsupport.

Præparation 

Lagerhardware og firmware. Byg et repræsentativt eksempel på enheder, der er baseret på systemproducent, systemmodel, BIOS-version/dato, version af BaseBoard-produkt osv., og test opdateringer på disse eksempler før bred installation.  Disse parametre er ofte tilgængelige i systemoplysninger (MSINFO32). 

Eksempel på PowerShell-kommandoer til indsamling af oplysninger er:

Overvejelser i forbindelse med firmware

Installation af de nye certifikater til sikker bootstart til din flåde af enheder kræver, at enhedens firmware spiller en rolle i fuldførelsen af opdateringen. Mens Microsoft forventer, at de fleste enhedsfirmware fungerer som forventet, er der behov for omhyggelig test, før de nye certifikater installeres.

Undersøg hardwarelageret, og opbyg et lille, repræsentativt eksempel på enheder ud fra følgende entydige kriterier, f.eks.: 

• Producent

• Modelnummer

• Firmwareversion

• OEM-basisboardversion osv.

Før du installerer bredt på enheder i din flåde, anbefaler vi, at du tester certifikatopdateringer på repræsentative eksempelenheder (som defineret af faktorer som producent, model, firmwareversion) for at sikre, at opdateringerne behandles korrekt. Anbefalet vejledning til antallet af prøveenheder, der skal testes for hver entydige kategori, er 4 eller mere.

Dette hjælper med at skabe tillid til din installationsproces og hjælpe med at undgå uventede virkninger på din bredere flåde. 

I nogle tilfælde kan det være nødvendigt med en firmwareopdatering for at kunne opdatere certifikater til sikker bootstart. I disse tilfælde anbefaler vi, at du spørger enheds-OEM'en for at se, om der findes opdateret firmware.

Windows i virtualiserede miljøer

For Windows, der kører i et virtuelt miljø, er der to metoder til at føje de nye certifikater til variablerne for secure boot-firmware:  

• Skaberen af det virtuelle miljø (AWS, Azure, Hyper-V, VMware osv.) kan levere en opdatering til miljøet og medtage de nye certifikater i den virtualiserede firmware. Dette ville fungere for nye virtualiserede enheder.

• For Windows, der kører på lang sigt i en VM, kan opdateringerne anvendes via Windows på samme måde som alle andre enheder, hvis den virtualiserede firmware understøtter opdateringer til sikker bootstart.

Overvågning og installation 

Vi anbefaler, at du starter enhedsovervågning før udrulning for at sikre, at overvågningen fungerer korrekt, og at du på forhånd har en god fornemmelse for flådens tilstand. Overvågningsmuligheder beskrives nedenfor. 

Microsoft indeholder flere metoder til installation og overvågning af opdateringer af certifikat til sikker bootstart.

Automatiseret installationshjælp 

Microsoft yder to installationshjælpe. Disse hjælpeforanstaltninger kan være nyttige i forbindelse med udrulningen af de nye certifikater i din flåde. Begge assister kræver diagnosticeringsdata.

• Indstilling for kumulative opdateringer med konfidens buckets: Microsoft kan automatisk medtage høj tillidsenhedsgrupper i månedlige opdateringer, der er baseret på diagnosticeringsdata, der er delt til dato, til fordel for systemer og organisationer, der ikke kan dele diagnosticeringsdata. Dette trin kræver ikke, at diagnosticeringsdata aktiveres.

  • For organisationer og systemer, der kan dele diagnosticeringsdata, giver det Microsoft synligheden og tilliden til, at enhederne kan installere certifikaterne korrekt. Du kan få flere oplysninger om aktivering af diagnosticeringsdata i: Konfigurer Diagnostiske Windows-data i organisationen. Vi opretter "buckets" for hver entydige enhed (som defineret af attributter, der omfatter producent, bundkortversion, firmwareproducent, firmwareversion og yderligere datapunkter). For hver bucket overvåger vi succesbeviser over flere enheder. Når vi har set nok vellykkede opdateringer og ingen fejl, vil vi overveje bucket'en "høj tillid" og medtage disse data i de månedlige kumulative opdateringer. Når månedlige opdateringer anvendes på en enhed i en bucket med høj sikkerhed, anvender Windows automatisk certifikaterne på UEFI Secure Boot-variablerne i firmwaren.

  • Buckets med høj sikkerhed omfatter enheder, der behandler opdateringerne korrekt. Det er naturligvis ikke alle enheder, der leverer diagnosticeringsdata, og det kan begrænse Microsofts tillid til en enheds evne til at behandle opdateringerne korrekt.

  • Denne hjælp er som standard aktiveret for enheder med høj pålidelighed og kan deaktiveres med en enhedsspecifik indstilling. Flere oplysninger vil blive delt i fremtidige Windows-versioner.

• Kontrolleret funktionsudrulning (CFR):  Tilvælge enheder til Microsoft-administreret installation, hvis diagnosticeringsdata er aktiveret.

  • Controlled Feature Rollout (CFR) kan bruges med klientenheder i organisationens flåder. Dette kræver, at enheder sender påkrævede diagnosticeringsdata til Microsoft og har signaleret, at enheden tilvælger at tillade CFR på enheden. Oplysninger om, hvordan du tilmelder dig, er beskrevet nedenfor.

  • Microsoft administrerer opdateringsprocessen for disse nye certifikater på Windows-enheder, hvor diagnosticeringsdata er tilgængelige, og hvor enhederne deltager i CFR (Controlled Feature Rollout). Selvom CFR kan hjælpe med installation af de nye certifikater, vil organisationer ikke kunne stole på, at CFR afhjælper deres flåder – det kræver, at du følger trinnene i dette dokument i afsnittet om installationsmetoder, der ikke er dækket af automatiserede assister.

  • Begrænsninger: Der er nogle få årsager til, at CFR muligvis ikke fungerer i dit miljø. For eksempel:

    • Der er ingen tilgængelige diagnosticeringsdata, eller diagnosticeringsdataene kan ikke bruges som en del af CFR-installationen.

    • Enheder er ikke på understøttede klientversioner af Windows 11 og Windows 10 med udvidede sikkerhedsopdateringer (ESU).

Installationsmetoder, der ikke er dækket af automatiserede hjælpemidler

Vælg den metode, der passer til dit miljø. Undgå at blande metoder på den samme enhed: 

• Registreringsdatabasenøgler: Kontrollér udrulningen, og overvåg resultaterne.
  Der er flere tilgængelige registreringsdatabasenøgler til at kontrollere funktionsmåden for installationen af certifikaterne og til overvågning af resultaterne. Derudover er der to nøgler til at til- og fravalge de installationshjælpemidler, der er beskrevet ovenfor. Du kan få mere at vide om registreringsdatabasenøgler under Registreringsdatabasenøgle Opdateringer til sikker bootstart – Windows-enheder med it-administrerede opdateringer.

• Gruppepolitik Objekter (GPO): Administrer indstillinger, overvåg via registreringsdatabasen og hændelseslogge.
  Microsoft yder support til administration af opdateringer til sikker bootstart ved hjælp af Gruppepolitik i en fremtidig opdatering. Bemærk, at da Gruppepolitik er til indstillinger, skal du overvåge enhedens status ved hjælp af alternative metoder, herunder overvågning af registreringsdatabasenøgler og hændelseslogposter.

• CLI (Windows Configuration System) WinCS (Windows Configuration System): Brug kommandolinjeværktøjer til domænetilsluttede klienter.
  Domæneadministratorer kan alternativt bruge Windows Configuration System (WinCS), der er inkluderet i Opdateringer til Windows-operativsystemet, til at installere opdateringer til sikker bootstart på tværs af domænetilsluttede Windows-klienter og -servere. Den består af en række kommandolinjeværktøjer (både en traditionel eksekverbar fil og et PowerShell-modul) til at forespørge og anvende konfigurationer af sikker bootstart lokalt på en computer. Du kan få mere at vide under WinCS-API'er (Windows Configuration System) til sikker bootstart.

• Microsoft Intune/Configuration Manager: Installér PowerShell-scripts. Der leveres en konfigurationstjenesteudbyder i en fremtidig opdatering, der giver mulighed for installation ved hjælp af Intune.

Overvågning af hændelseslogge

Der leveres to nye hændelser for at hjælpe med installation af sikker bootstartcertifikatopdateringer. Disse hændelser er beskrevet detaljeret i hændelserne Sikker bootstart DB og DBX-variable opdateringshændelser: 

• Hændelses-id: 1801
  Hændelsen er en fejlhændelse, der angiver, at de opdaterede certifikater ikke er blevet anvendt på enheden. Hændelsen indeholder nogle detaljer, der er specifikke for enheden, herunder enhedsattributter, som kan hjælpe med at korrelere, hvilke enheder der stadig skal opdateres.

• Hændelses-id: 1808
  Hændelsen er en oplysende hændelse, der angiver, at enheden har de påkrævede nye certifikater til sikker bootstart anvendt på enhedens firmware.

Installationsstrategier 

For at minimere risikoen skal du installere Sikker bootstart-opdateringer i faser i stedet for på én gang. Start med et lille undersæt af enheder, valider resultaterne, og udvid derefter til flere grupper. Vi anbefaler, at du starter med undersæt af enheder og, efterhånden som du får tillid til disse installationer, tilføjer yderligere undersæt af enheder. Der kan bruges flere faktorer til at bestemme, hvad der indgår i et undersæt, herunder testresultater på eksempelenheder og organisationsstruktur osv. 

Beslutningen om, hvilke enheder du installerer, er op til dig. Nogle mulige strategier er angivet her. 

• Stor enhedsflåde: Start med at stole på de assister, der er beskrevet ovenfor for de mest almindelige enheder, du administrerer. Samtidig skal du fokusere på de mindre almindelige enheder, der administreres af din organisation. Test små prøveenheder, og udrul til resten af enheder af samme type, hvis testen lykkes. Hvis testen giver problemer, skal du undersøge årsagen til problemet og fastlægge afhjælpningstrin. Du kan også overveje klasser af enheder, der har højere værdi i din flåde, og begynde at teste og implementere for at sikre, at disse enheder har opdateret beskyttelse på plads tidligt.

• Lille flåde, stort udvalg: Hvis den flåde, du administrerer, indeholder et stort udvalg af maskiner, hvor test af individuelle enheder ville være uoverkommelig, kan du overveje at være meget afhængig af de to assister, der er beskrevet ovenfor, især for enheder, der sandsynligvis er fælles enheder på markedet. I første omgang fokusere på enheder, der er kritiske for den daglige drift, skal du teste og derefter installere. Fortsæt med at flytte ned på listen over enheder med høj prioritet, test og udrulning, mens du overvåger flåden for at bekræfte, at hjælpene hjælper med resten af enhederne.

Noter 

• Vær opmærksom på ældre enheder, især enheder, der ikke længere understøttes af producenten. Mens firmwaren skal udføre opdateringshandlingerne korrekt, kan nogle muligvis ikke. I tilfælde, hvor firmwaren ikke fungerer korrekt, og enheden ikke længere understøttes, kan du overveje at udskifte enheden for at sikre sikker bootstartbeskyttelse på tværs af din flåde.

• Nye enheder, der er produceret inden for de seneste 1-2 år, har muligvis allerede de opdaterede certifikater på plads, men windows UEFI CA 2023-signeret boot manager er muligvis ikke anvendt på systemet. Anvendelse af denne boot manager er et vigtigt sidste trin i installationen for hver enhed.

• Når en enhed er blevet valgt til opdateringer, kan det tage lidt tid, før opdateringerne er fuldført. Anslå 48 timer og en eller flere genstarter for certifikater, der skal anvendes.

Almindelige problemer og anbefalinger

Denne vejledning beskriver, hvordan sikker bootstartcertifikatopdatering fungerer, og indeholder nogle trin til fejlfinding, hvis der opstår problemer under installationen på enheder. Opdateringer til dette afsnit tilføjes efter behov.

Understøttelse af sikker bootstartcertifikatinstallation 

Til understøttelse af certifikatopdateringer til sikker bootstart vedligeholder Windows en planlagt opgave, der kører én gang hver 12. time. Opgaven søger efter bits i registreringsdatabasenøglen AvailableUpdates , der skal behandles. De interesse bits, der bruges til installation af certifikaterne, findes i følgende tabel. Kolonnen Rækkefølge angiver den rækkefølge, som bitene behandles i.

Hver af bits behandles af den planlagte begivenhed i den rækkefølge, der er angivet i tabellen ovenfor.

Forløbet gennem bits skal se sådan ud: 

1. Start: 0x5944

2. 0x0040 → 0x5904 (Windows UEFI CA 2023 er blevet anvendt)

3. 0x0800 → 0x5104 (Anvendt Microsoft UEFI CA 2023, hvis det er nødvendigt)

4. 0x1000 → 0x4104 (Anvendt Microsoft Option ROM UEFI CA 2023, hvis det er nødvendigt)

5. 0x0004 → 0x4100 (Anvendt Microsoft Corporation KEK 2K CA 2023)

6. 0x0100 → 0x4000 (Anvendt Windows UEFI CA 2023-signeret boot manager)

Noter

• Når handlingen, der er knyttet til en bit, er fuldført, fjernes denne bit fra nøglen AvailableUpdates .

• Hvis en af disse handlinger mislykkes, logføres en hændelse, og handlingen udføres igen, næste gang den planlagte opgave køres.

• Hvis bit 0x4000 er angivet, ryddes den ikke. Når alle andre bit er blevet behandlet, indstilles registreringsdatabasenøglen AvailableUpdates til 0x4000.

Problem 1: KEK-opdateringsfejl: Enheden opdaterer certifikater til Secure Boot DB, men går ikke videre efter installation af det nye nøglecenternøglecertifikat til Secure Boot KEK. 

Bemærk! Når dette problem opstår, logføres et hændelses-id: 1796 (se Opdateringshændelser for sikker bootstart DB og DBX-variable opdateringer). En ny begivenhed vil blive leveret i senere version for at angive dette specifikke problem. 

Registreringsdatabasenøglen AvailableUpdates på en enhed er indstillet til 0x4104 og rydder ikke 0x0004 bit, selv efter flere genstart og lang tid er gået. 

Problemet kan være, at der ikke er en KEK signeret af OEM'ens PK for enheden. OEM'en styrer PK for enheden og er ansvarlig for at signere det nye Microsoft KEK-certifikat og returnere det til Microsoft, så det kan medtages i de månedlige kumulative opdateringer. 

Hvis du støder på denne fejl, skal du kontakte din OEM for at få bekræftet, at de har fulgt trinnene i Vejledning til oprettelse og administration af Windows Secure Boot Key.  

Problem 2: Firmwarefejl: Når du anvender certifikatopdateringerne, afleveres certifikaterne til firmwaren, der gælder for variablerne Secure Boot DB eller KEK. I nogle tilfælde returnerer firmwaren en fejl. 

Når dette problem opstår, logføres et hændelses-id: 1795. Du kan finde oplysninger om denne hændelse under Sikker bootstart DB- og DBX-variable opdateringshændelser. 

Vi anbefaler, at du undersøger hos OEM'en, om der findes en firmwareopdatering til enheden for at løse dette problem.