Udløb af Windows Secure Boot-certifikat og ca-opdateringer

Hvad er sikker bootstart?

Sikker bootstart er en sikkerhedsfunktion i UEFI-baseret firmware (Unified Extensible Firmware Interface), der er med til at sikre, at kun software, der er tillid til, kører under en enheds startsekvens. Det fungerer ved at bekræfte den digitale signatur for software før start i forhold til et sæt pålidelige digitale certifikater (også kaldet nøglecenter), der er gemt i enhedens firmware. Som en branchestandard definerer UEFI Secure Boot, hvordan platformens firmware administrerer certifikater, godkender firmware, og hvordan operativsystemet (OS) bruger denne proces. Du kan finde flere oplysninger om UEFI og sikker bootstart under Sikker bootstart.

Secure Boot blev første gang introduceret i Windows 8 for at beskytte mod den nye præ-boot malware (også kendt som en bootkit) trussel på det pågældende tidspunkt. Som en del af platformens initialisering godkender Sikker boot firmwaremoduler før udførelse. Disse moduler omfatter UEFI-firmwaredrivere (f.eks. option ROMs), boot loaders og programmer. Som det sidste trin i processen til sikker bootstart kontrollerer firmwaren, om Sikker bootstart har tillid til startindlæseren. Derefter videregiver firmwaren styringen til startindlæseren, som igen bekræfter, indlæser i hukommelsen og starter Windows-operativsystemet.

Sikker bootstart definerer en pålidelig kode via en firmwarepolitik, der er angivet under produktion. Ændringer af denne politik, f.eks. tilføjelse eller tilbagekaldelse af certifikater, styres af et hierarki af nøgler. Dette hierarki starter med Platform Key (PK), der typisk ejes af hardwareproducenten, efterfulgt af KEK (Key Enrollment Key) (også kaldet Nøgleudvekslingsnøgle), som kan omfatte en Microsoft KEK og andre OEM KEKs. Den tilladte signaturdatabase (DB) og DBX (Disallowed Signature Database) bestemmer, hvilken kode der kan køre i UEFI-miljøet, før operativsystemet starter. DB indeholder certifikater, der administreres af Microsoft og OEM'en, mens DBX opdateres af Microsoft med de seneste tilbageførsler. Alle enheder med en KEK kan opdatere DB og DBX.

Certifikater til sikker bootstart til Windows udløber i 2026

Siden Windows introducerede understøttelse af sikker bootstart, har alle Windows-baserede enheder det samme sæt Microsoft-certifikater i KEK og DB. Disse oprindelige certifikater nærmer sig udløbsdatoen, og enheden påvirkes, hvis den har nogen af de viste certifikatversioner. Hvis du vil fortsætte med at køre Windows og modtage regelmæssige opdateringer til konfigurationen af sikker bootstart, skal du opdatere disse certifikater.

Terminologi

• KEK: Nøgleregistreringsnøgle

• CA: Nøglecenter

• DB: Signaturdatabase for sikker bootstart

• DBX: Tilbagekaldt signaturdatabase til sikker bootstart

Microsoft har udstedt opdaterede certifikater for at sikre kontinuitet i beskyttelse mod sikker bootstart på Windows-enheder. Microsoft administrerer opdateringsprocessen for disse nye certifikater på en betydelig del af Windows-enheder. Desuden tilbyder vi detaljeret vejledning til organisationer, der administrerer deres egne enhedsopdateringer.

Vigtigt! Når 2011-CAs udløber, kan Windows-enheder, der ikke har nye 2023-certifikater, ikke længere modtage sikkerhedsrettelser til komponenter før start, der går på kompromis med Windows-startsikkerheden.

Nødvendig handling

Du skal muligvis gøre noget for at sikre, at din Windows-enhed forbliver sikker, når certifikaterne udløber i 2026. Både UEFI Secure Boot DB og KEK skal opdateres med de tilsvarende nye 2023-certifikatversioner. Du kan få mere at vide om de nye certifikater under Vejledning til oprettelse og administration af Windows Secure Boot Key. 

Vigtigt! Uden opdateringer risikerer de Sikre bootstartaktiverede Windows-enheder ikke at modtage sikkerhedsopdateringer eller have tillid til nye startindlæsere, hvilket vil forringe både servicevenligheden og sikkerheden.

Dine handlinger varierer, afhængigt af hvilken type Windows-enhed du har. Vælg den type enhed og specifikke handlinger, du skal udføre, i menuen til venstre.