Ενημερώσεις πιστοποιητικού ασφαλούς εκκίνησης: Οδηγίες για επαγγελματίες IT και οργανισμούς

Λήξη πιστοποιητικού ασφαλούς εκκίνησης

Η ρύθμιση παραμέτρων των αρχών έκδοσης πιστοποιητικών (CAS), οι οποίες αναφέρονται επίσης ως πιστοποιητικά, οι οποίες παρέχονται από τη Microsoft ως μέρος της υποδομής Ασφαλούς εκκίνησης, παραμένει η ίδια από Windows 8 και Windows Server 2012. Αυτά τα πιστοποιητικά αποθηκεύονται στις μεταβλητές Βάση δεδομένων υπογραφής (DB) και Κλειδιού exchange (KEK) στο υλικολογισμικό. Η Microsoft έχει παράσχει τα ίδια τρία πιστοποιητικά σε ολόκληρο το οικοσύστημα του κατασκευαστή πρωτότυπου εξοπλισμού (OEM) για να συμπεριληφθεί στο υλικολογισμικό της συσκευής. Αυτά τα πιστοποιητικά υποστηρίζουν την Ασφαλή εκκίνηση στα Windows και χρησιμοποιούνται επίσης από λειτουργικά συστήματα (ΛΣ) τρίτων κατασκευαστών. Τα παρακάτω πιστοποιητικά παρέχονται από τη Microsoft:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

Τι αλλάζει;

Τα τρέχοντα πιστοποιητικά ασφαλούς εκκίνησης της Microsoft (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) θα αρχίσουν να λήγουν από τον Ιούνιο του 2026 και θα λήξουν έως τον Οκτώβριο του 2026. 

Νέα πιστοποιητικά του 2023 κυκλοφορούν για να διατηρηθεί η ασφάλεια και η συνέχεια της Ασφαλούς εκκίνησης. Οι συσκευές πρέπει να ενημερωθούν στα πιστοποιητικά του 2023 πριν από τη λήξη των πιστοποιητικών του 2011, διαφορετικά δεν θα συμμορφώνονται με την ασφάλεια και βρίσκονται σε κίνδυνο.  

Οι συσκευές Windows που έχουν κατασκευαστεί από το 2012 ενδέχεται να έχουν εκδόσεις πιστοποιητικών που έχουν λήξει, οι οποίες πρέπει να ενημερωθούν. 

Ορολογία

Πιστοποιητικά

Επαλήθευση της κατάστασης Ασφαλούς εκκίνησης σε ολόκληρο τον στόλο σας: Είναι ενεργοποιημένη η Ασφαλής εκκίνηση; 

Οι περισσότερες συσκευές που έχουν κατασκευαστεί από το 2012 έχουν υποστήριξη για την Ασφαλή εκκίνηση και διατίθενται με ενεργοποιημένη την Ασφαλή εκκίνηση. Για να επαληθεύσετε ότι μια συσκευή έχει ενεργοποιημένη την Ασφαλή εκκίνηση, κάντε ένα από τα εξής: 

• Μέθοδος GUI: Μεταβείτε στην περιοχή Έναρξηρυθμίσεων > > Προστασία προσωπικών δεδομένων & Ασφάλεια > Ασφάλεια των Windows > Ασφάλεια συσκευών. Στην περιοχή Ασφάλεια συσκευής, η ενότητα Ασφαλής εκκίνηση θα πρέπει να υποδεικνύει ότι η Ασφαλής εκκίνηση είναι ενεργοποιημένη.

• Μέθοδος γραμμής εντολών: Σε μια γραμμή εντολών με αναβαθμισμένο επίπεδο στο PowerShell, πληκτρολογήστε Confirm-SecureBootUEFI και, στη συνέχεια, πατήστε Enter. Η εντολή θα πρέπει να επιστρέψει true υποδεικνύοντας ότι η Ασφαλής εκκίνηση είναι ενεργοποιημένη.

Σε αναπτύξεις μεγάλης κλίμακας για ένα στόλο συσκευών, το λογισμικό διαχείρισης που χρησιμοποιείται από επαγγελματίες IT θα πρέπει να παρέχει έναν έλεγχο για ενεργοποίηση ασφαλούς εκκίνησης. 

Για παράδειγμα, η μέθοδος ελέγχου της κατάστασης ασφαλούς εκκίνησης σε συσκευές διαχειριζόμενες από το Microsoft Intune είναι η δημιουργία και ανάπτυξη μιας προσαρμοσμένης δέσμης ενεργειών συμμόρφωσης του Intune. Οι ρυθμίσεις συμμόρφωσης του Intune καλύπτονται στο θέμα Χρήση προσαρμοσμένων ρυθμίσεων συμμόρφωσης για συσκευές Linux και Windows με το Microsoft Intune.  

Πώς αναπτύσσονται οι ενημερώσεις

Υπάρχουν πολλοί τρόποι για να ορίσετε συσκευές για τις ενημερώσεις πιστοποιητικών Ασφαλούς εκκίνησης. Οι λεπτομέρειες ανάπτυξης, συμπεριλαμβανομένων των ρυθμίσεων και των συμβάντων, θα συζητηθούν αργότερα σε αυτό το έγγραφο. Όταν στοχεύετε μια συσκευή για ενημερώσεις, γίνεται μια ρύθμιση στη συσκευή για να υποδείξει ότι η συσκευή θα πρέπει να ξεκινήσει τη διαδικασία εφαρμογής των νέων πιστοποιητικών. Μια προγραμματισμένη εργασία εκτελείται στη συσκευή κάθε 12 ώρες και εντοπίζει ότι η συσκευή έχει στοχοποιηθεί για τις ενημερώσεις. Μια διάρθρωση του τι κάνει η εργασία είναι η εξής:

1. Το Windows UEFI CA 2023 εφαρμόζεται στο DB.

2. Αν η συσκευή έχει το Microsoft Corporation UEFI CA 2011 στο DB, τότε η εργασία εφαρμόζει το Microsoft Option ROM UEFI CA 2023 και το Microsoft UEFI CA 2023 στο DB.

3. Στη συνέχεια, η εργασία προσθέτει τη Microsoft Corporation KEK 2K CA 2023.

4. Τέλος, η προγραμματισμένη εργασία ενημερώνει τη διαχείριση εκκίνησης των Windows σε αυτήν που έχει υπογραφεί από το Windows UEFI CA 2023. Τα Windows θα εντοπίσουν ότι απαιτείται επανεκκίνηση για να μπορέσει να εφαρμοστεί η διαχείριση εκκίνησης. Η ενημέρωση διαχείρισης εκκίνησης θα καθυστερήσει μέχρι να γίνει φυσική επανεκκίνηση (όπως όταν εφαρμόζονται μηνιαίες ενημερώσεις) και, στη συνέχεια, τα Windows θα επιχειρήσουν ξανά να εφαρμόσουν την ενημέρωση διαχείρισης εκκίνησης.

Κάθε ένα από τα παραπάνω βήματα πρέπει να ολοκληρωθεί με επιτυχία πριν από τη μετακίνηση της προγραμματισμένης εργασίας στο επόμενο βήμα. Κατά τη διάρκεια αυτής της διαδικασίας, τα αρχεία καταγραφής συμβάντων και άλλες καταστάσεις θα είναι διαθέσιμα για βοήθεια στην παρακολούθηση της ανάπτυξης. Περισσότερες λεπτομέρειες σχετικά με την παρακολούθηση και τα αρχεία καταγραφής συμβάντων παρέχονται παρακάτω.  

Η ενημέρωση των πιστοποιητικών ασφαλούς εκκίνησης επιτρέπει μια μελλοντική ενημέρωση στη Διαχείριση εκκίνησης 2023, η οποία είναι πιο ασφαλής. Συγκεκριμένες ενημερώσεις στη Διαχείριση εκκίνησης θα είναι σε μελλοντικές εκδόσεις.

Βήματα ανάπτυξης 

• Προετοιμασία: Συσκευές απογραφής και δοκιμής.

• Ζητήματα υλικολογισμικού

• Παρακολούθηση: Επαληθεύστε τις εργασίες παρακολούθησης και ελέγξτε τον στόλο σας.

• Ανάπτυξη: Συσκευές προορισμού για ενημερώσεις, ξεκινώντας με μικρά υποσύνολα και επεκτείνοντας με βάση επιτυχημένες δοκιμές.

• Αποκατάσταση: Διερεύνηση και επίλυση τυχόν προβλημάτων με τη χρήση αρχείων καταγραφής και υποστήριξης από προμηθευτές.

Ετοιμασία 

Υλικό και υλικολογισμικό αποθέματος. Δημιουργήστε ένα αντιπροσωπευτικό δείγμα συσκευών με βάση τον κατασκευαστή συστήματος, το μοντέλο συστήματος, την έκδοση/ημερομηνία BIOS, την έκδοση προϊόντος BaseBoard κ.λπ. και τις δοκιμαστικές ενημερώσεις σε αυτά τα δείγματα πριν από την ευρεία ανάπτυξη.  Αυτές οι παράμετροι είναι συνήθως διαθέσιμες στις πληροφορίες συστήματος (MSINFO32). 

Παράδειγμα οι εντολές του PowerShell για τη συλλογή των πληροφοριών είναι:

Ζητήματα υλικολογισμικού

Η ανάπτυξη των νέων πιστοποιητικών Ασφαλούς εκκίνησης για τον στόλο των συσκευών σας απαιτεί το υλικολογισμικό της συσκευής να διαδραματίσει ρόλο στην ολοκλήρωση της ενημέρωσης. Ενώ η Microsoft αναμένει ότι το μεγαλύτερο μέρος του υλικολογισμικού της συσκευής θα λειτουργεί όπως αναμένεται, απαιτούνται προσεκτικές δοκιμές πριν από την ανάπτυξη των νέων πιστοποιητικών.

Εξετάστε το απόθεμα υλικού και δημιουργήστε ένα μικρό, αντιπροσωπευτικό δείγμα συσκευών με βάση τα ακόλουθα μοναδικά κριτήρια, όπως: 

• Κατασκευαστής

• Αριθμός μοντέλου

• Έκδοση υλικολογισμικού

• Έκδοση baseboard OEM κ.λπ.

Πριν από την ευρεία ανάπτυξη σε συσκευές στον στόλο σας, συνιστάται να ελέγχετε τις ενημερώσεις πιστοποιητικών σε αντιπροσωπευτικά δείγματα συσκευών (όπως καθορίζεται από παράγοντες όπως ο κατασκευαστής, το μοντέλο, η έκδοση υλικολογισμικού), για να διασφαλίσετε ότι οι ενημερώσεις υποβάλλονται σε επιτυχή επεξεργασία. Προτεινόμενες οδηγίες σχετικά με τον αριθμό των συσκευών δείγματος που θα ελέγξετε για κάθε μοναδική κατηγορία είναι 4 ή περισσότερες.

Αυτό θα βοηθήσει στην οικοδόμηση εμπιστοσύνης στη διαδικασία ανάπτυξής σας και θα σας βοηθήσει να αποφύγετε απρόβλεπτες επιπτώσεις στον ευρύτερο στόλο σας. 

Σε ορισμένες περιπτώσεις, ενδέχεται να απαιτείται μια ενημέρωση υλικολογισμικού για την επιτυχή ενημέρωση των πιστοποιητικών Ασφαλούς εκκίνησης. Σε αυτές τις περιπτώσεις, συνιστάται να συμβουλευτείτε τον OEM της συσκευής σας, για να ελέγξετε αν υπάρχει διαθέσιμο ενημερωμένο υλικολογισμικό.

Windows σε περιβάλλοντα αναπαράστασης

Για τα Windows που εκτελούνται σε εικονικό περιβάλλον, υπάρχουν δύο μέθοδοι για την προσθήκη των νέων πιστοποιητικών στις μεταβλητές υλικολογισμικού ασφαλούς εκκίνησης:  

• Ο δημιουργός του εικονικού περιβάλλοντος (AWS, Azure, Hyper-V, VMware κ.λπ.) μπορεί να παρέχει μια ενημέρωση για το περιβάλλον και να συμπεριλάβει τα νέα πιστοποιητικά στο υλικολογισμικό αναπαράστασης. Αυτό θα λειτουργεί για νέες εικονικές συσκευές.

• Για τα Windows που εκτελούνται μακροπρόθεσμα σε μια εικονική μηχανή, οι ενημερώσεις μπορούν να εφαρμοστούν μέσω των Windows, όπως και με οποιεσδήποτε άλλες συσκευές, αν το υλικολογισμικό αναπαράστασης υποστηρίζει ενημερώσεις ασφαλούς εκκίνησης.

Παρακολούθηση και ανάπτυξη 

Σας συνιστούμε να ξεκινήσετε την παρακολούθηση της συσκευής πριν από την ανάπτυξη, για να βεβαιωθείτε ότι η παρακολούθηση λειτουργεί σωστά και ότι έχετε μια καλή αίσθηση για την κατάσταση του στόλου εκ των προτέρων. Οι επιλογές παρακολούθησης αναφέρονται παρακάτω. 

Η Microsoft παρέχει πολλές μεθόδους για την ανάπτυξη και την παρακολούθηση των ενημερώσεων για τα πιστοποιητικά Ασφαλούς εκκίνησης.

Βοηθοί αυτοματοποιημένης ανάπτυξης 

Η Microsoft παρέχει δύο βοηθούς ανάπτυξης. Αυτές οι βοηθήσεις μπορεί να φανούν χρήσιμες για την ενίσχυση της ανάπτυξης των νέων πιστοποιητικών στον στόλο σας. Και οι δύο βοηθοί απαιτούν διαγνωστικά δεδομένα.

• Επιλογή για αθροιστικές ενημερώσεις με κάδους εμπιστοσύνης: Η Microsoft ενδέχεται να συμπεριλάβει αυτόματα ομάδες συσκευών υψηλής αξιοπιστίας σε μηνιαίες ενημερώσεις με βάση τα διαγνωστικά δεδομένα που έχουν κοινοποιηθεί μέχρι σήμερα, προς όφελος συστημάτων και οργανισμών που δεν μπορούν να κοινοποιήσουν διαγνωστικά δεδομένα. Αυτό το βήμα δεν απαιτεί την ενεργοποίηση των διαγνωστικών δεδομένων.

  • Για τους οργανισμούς και τα συστήματα που μπορούν να κάνουν κοινή χρήση διαγνωστικών δεδομένων, παρέχει στη Microsoft την ορατότητα και την αξιοπιστία ότι οι συσκευές μπορούν να αναπτύξουν με επιτυχία τα πιστοποιητικά. Περισσότερες πληροφορίες σχετικά με την ενεργοποίηση διαγνωστικών δεδομένων είναι διαθέσιμες στο θέμα: Ρύθμιση παραμέτρων διαγνωστικών δεδομένων των Windows στον οργανισμό σας. Δημιουργούμε "κάδους" για κάθε μοναδική συσκευή (όπως ορίζεται από χαρακτηριστικά που περιλαμβάνουν τον κατασκευαστή, την έκδοση μητρικής πλακέτας, τον κατασκευαστή του υλικολογισμικού, την έκδοση υλικολογισμικού και πρόσθετα σημεία δεδομένων). Για κάθε κάδο, παρακολουθούμε τα αποδεικτικά στοιχεία επιτυχίας σε πολλές συσκευές. Αφού έχουμε δει αρκετές επιτυχημένες ενημερώσεις και καμία αποτυχία, θα θεωρήσουμε τον κάδο "υψηλής αξιοπιστίας" και θα συμπεριλάβουμε αυτά τα δεδομένα στις μηνιαίες αθροιστικές ενημερώσεις. Όταν εφαρμόζονται μηνιαίες ενημερώσεις σε μια συσκευή σε κάδο υψηλής αξιοπιστίας, τα Windows θα εφαρμόζουν αυτόματα τα πιστοποιητικά στις μεταβλητές ασφαλούς εκκίνησης UEFI στο υλικολογισμικό.

  • Οι κάδοι υψηλής αξιοπιστίας περιλαμβάνουν συσκευές που επεξεργάζονται σωστά τις ενημερώσεις. Φυσικά, δεν παρέχουν όλες οι συσκευές διαγνωστικά δεδομένα και αυτό μπορεί να περιορίσει την εμπιστοσύνη της Microsoft στη δυνατότητα μιας συσκευής να επεξεργάζεται σωστά τις ενημερώσεις.

  • Αυτός ο βοηθός είναι ενεργοποιημένος από προεπιλογή για συσκευές υψηλής αξιοπιστίας και μπορεί να απενεργοποιηθεί με μια συγκεκριμένη ρύθμιση συσκευής. Περισσότερες πληροφορίες θα κοινοποιηθούν σε μελλοντικές εκδόσεις των Windows.

• Ελεγχόμενη κυκλοφορία δυνατοτήτων (CFR):  Επιλέξτε να συμμετάσχετε σε συσκευές για ανάπτυξη διαχειριζόμενη από τη Microsoft, εάν είναι ενεργοποιημένα τα διαγνωστικά δεδομένα.

  • Η ελεγχόμενη κυκλοφορία δυνατοτήτων (CFR) μπορεί να χρησιμοποιηθεί με συσκευές-πελάτες σε εταιρικούς στόλους. Αυτό απαιτεί οι συσκευές να στέλνουν τα απαιτούμενα διαγνωστικά δεδομένα στη Microsoft και έχουν επισημάνει ότι η συσκευή επιλέγει να επιτρέψει το CFR στη συσκευή. Οι λεπτομέρειες σχετικά με τον τρόπο για να επιλέξετε να συμμετάσχετε περιγράφονται παρακάτω.

  • Η Microsoft θα διαχειρίζεται τη διαδικασία ενημέρωσης για αυτά τα νέα πιστοποιητικά σε συσκευές Windows, όπου είναι διαθέσιμα διαγνωστικά δεδομένα και οι συσκευές συμμετέχουν στην Ελεγχόμενη κυκλοφορία δυνατοτήτων (CFR). Παρόλο που το CFR μπορεί να βοηθήσει στην ανάπτυξη των νέων πιστοποιητικών, οι οργανισμοί δεν θα μπορούν να βασίζονται στο CFR για την αποκατάσταση του στόλου τους . Θα χρειαστεί να ακολουθήσετε τα βήματα που περιγράφονται σε αυτό το έγγραφο στην ενότητα σχετικά με τις μεθόδους ανάπτυξης που δεν καλύπτονται από αυτοματοποιημένες βοηθούς.

  • Περιορισμούς: Υπάρχουν μερικοί λόγοι για τους οποίους το CFR ενδέχεται να μην λειτουργεί στο περιβάλλον σας. Για παράδειγμα:

    • Δεν υπάρχουν διαθέσιμα διαγνωστικά δεδομένα ή τα διαγνωστικά δεδομένα δεν είναι εύχρηστα ως μέρος της ανάπτυξης του CFR.

    • Οι συσκευές δεν είναι σε υποστηριζόμενες εκδόσεις προγράμματος-πελάτη του Windows 11 και Windows 10 με εκτεταμένες ενημερώσεις ασφαλείας (ESU).

Μέθοδοι ανάπτυξης που δεν καλύπτονται από αυτοματοποιημένους βοηθούς

Επιλέξτε τη μέθοδο που ταιριάζει στο περιβάλλον σας. Αποφύγετε τη ανάμειξη μεθόδων στην ίδια συσκευή: 

• Κλειδιά μητρώου: Έλεγχος ανάπτυξης και παρακολούθηση αποτελεσμάτων.
  Υπάρχουν πολλά διαθέσιμα κλειδιά μητρώου για τον έλεγχο της συμπεριφοράς της ανάπτυξης των πιστοποιητικών και για την παρακολούθηση των αποτελεσμάτων. Επιπλέον, υπάρχουν δύο κλειδιά για τη συμμετοχή και την έξοδο από τα βοηθήματα ανάπτυξης που περιγράφονται παραπάνω. Για περισσότερες πληροφορίες σχετικά με τα κλειδιά μητρώου, ανατρέξτε στο θέμα Κλειδιά μητρώου Ενημερώσεις για ασφαλή εκκίνηση - Συσκευές Windows με ενημερώσεις διαχειριζόμενες από IT.

• Πολιτική ομάδας Objects (GPO): Manage settings, monitor via registry and event logs.
  Η Microsoft θα παρέχει υποστήριξη για τη διαχείριση των ενημερώσεων Ασφαλούς εκκίνησης χρησιμοποιώντας Πολιτική ομάδας σε μια μελλοντική ενημέρωση. Λάβετε υπόψη ότι, δεδομένου ότι η Πολιτική ομάδας αφορά τις ρυθμίσεις, η παρακολούθηση της κατάστασης της συσκευής θα πρέπει να γίνεται με τη χρήση εναλλακτικών μεθόδων, συμπεριλαμβανομένης της παρακολούθησης κλειδιών μητρώου και καταχωρήσεων στο αρχείο καταγραφής συμβάντων.

• CLI WinCS (Windows Configuration System): Χρήση εργαλείων γραμμής εντολών για προγράμματα-πελάτες που συμμετέχουν σε τομέα.
  Οι διαχειριστές τομέα μπορούν εναλλακτικά να χρησιμοποιήσουν το σύστημα ρύθμισης παραμέτρων των Windows (WinCS) που περιλαμβάνεται στις ενημερώσεις λειτουργικού συστήματος Windows για την ανάπτυξη των ενημερώσεων ασφαλούς εκκίνησης σε προγράμματα-πελάτες και διακομιστές Windows που συνδέονται με τομέα. Αποτελείται από μια σειρά βοηθητικών προγραμμάτων γραμμής εντολών (ένα παραδοσιακό εκτελέσιμο αρχείο και μια λειτουργική μονάδα PowerShell) για την υποβολή ερωτημάτων και την εφαρμογή ρυθμίσεων παραμέτρων ασφαλούς εκκίνησης τοπικά σε έναν υπολογιστή. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα API συστήματος ρύθμισης παραμέτρων των Windows (WinCS) για ασφαλή εκκίνηση.

• Microsoft Intune/Configuration Manager: Ανάπτυξη δεσμών ενεργειών του PowerShell. Μια υπηρεσία παροχής ρύθμισης παραμέτρων (CSP) θα παρέχεται σε μια μελλοντική ενημέρωση που θα επιτρέπει την ανάπτυξη με χρήση του Intune.

Παρακολούθηση αρχείων καταγραφής συμβάντων

Παρέχονται δύο νέα συμβάντα για να βοηθήσουν στην ανάπτυξη των ενημερώσεων πιστοποιητικών Ασφαλούς εκκίνησης. Αυτά τα συμβάντα περιγράφονται λεπτομερώς στα συμβάντα ενημέρωσης μεταβλητής Εκκίνησης Ασφαλούς εκκίνησης DB και DBX: 

• Αναγνωριστικό συμβάντος: 1801
  Αυτό το συμβάν είναι ένα συμβάν σφάλματος που υποδεικνύει ότι τα ενημερωμένα πιστοποιητικά δεν έχουν εφαρμοστεί στη συσκευή. Αυτό το συμβάν παρέχει ορισμένες συγκεκριμένες λεπτομέρειες για τη συσκευή, συμπεριλαμβανομένων των χαρακτηριστικών της συσκευής, που θα σας βοηθήσουν να συσχετίσετε τις συσκευές που εξακολουθούν να χρειάζονται ενημέρωση.

• Αναγνωριστικό συμβάντος: 1808
  Αυτό το συμβάν είναι ένα ενημερωτικό συμβάν που υποδεικνύει ότι στη συσκευή έχουν εφαρμοστεί τα απαιτούμενα νέα πιστοποιητικά Ασφαλούς εκκίνησης στο υλικολογισμικό της συσκευής.

Στρατηγικές ανάπτυξης 

Για να ελαχιστοποιήσετε τον κίνδυνο, αναπτύξτε ενημερώσεις ασφαλούς εκκίνησης σε στάδια και όχι όλες ταυτόχρονα. Ξεκινήστε με ένα μικρό υποσύνολο συσκευών, επικυρώστε αποτελέσματα και, στη συνέχεια, αναπτύξτε το στοιχείο σε πρόσθετες ομάδες. Προτείνουμε να ξεκινήσετε με υποσύνολα συσκευών και, καθώς αποκτάτε εμπιστοσύνη σε αυτές τις αναπτύξεις, να προσθέσετε επιπλέον υποσύνολα συσκευών. Μπορείτε να χρησιμοποιήσετε πολλούς παράγοντες για να προσδιορίσετε τι εισέρχεται σε ένα υποσύνολο, συμπεριλαμβανομένων των αποτελεσμάτων των δοκιμών σε δείγματα συσκευών και δομής του οργανισμού κ.λπ. 

Η απόφαση σχετικά με τις συσκευές που αναπτύσσετε εξαρτάται από εσάς. Ορισμένες πιθανές στρατηγικές παρατίθενται εδώ. 

• Μεγάλος στόλος συσκευών: ξεκινήστε βασιζόμενοι στις ασίστ που περιγράφονται παραπάνω για τις πιο κοινές συσκευές που διαχειρίζεστε. Παράλληλα, εστιάστε στις λιγότερο συνηθισμένες συσκευές τις οποίες διαχειρίζεται ο οργανισμός σας. Ελέγξτε συσκευές μικρών δειγμάτων και, εάν η δοκιμή είναι επιτυχής, αναπτύξτε τις υπόλοιπες συσκευές του ίδιου τύπου. Εάν η δοκιμή δημιουργεί προβλήματα, διερευνήστε την αιτία του προβλήματος και προσδιορίστε τα βήματα αποκατάστασης. Μπορεί επίσης να θέλετε να εξετάσετε κατηγορίες συσκευών που έχουν υψηλότερη αξία στον στόλο σας και να ξεκινήσετε τις δοκιμές και την ανάπτυξη, για να βεβαιωθείτε ότι αυτές οι συσκευές έχουν ενημερωμένη προστασία αρχικά.

• Μικρός στόλος, μεγάλη ποικιλία: Εάν ο στόλος που διαχειρίζεστε περιλαμβάνει μια μεγάλη ποικιλία μηχανημάτων όπου η δοκιμή μεμονωμένων συσκευών θα ήταν απαγορευτική, εξετάστε το ενδεχόμενο να βασιστείτε σε μεγάλο βαθμό στις δύο ασίστ που περιγράφονται παραπάνω, ειδικά για συσκευές που είναι πιθανό να είναι κοινές συσκευές στην αγορά. Αρχικά, εστιάστε σε συσκευές που είναι κρίσιμες για την καθημερινή λειτουργία, δοκιμάστε και, στη συνέχεια, αναπτύξτε τις. Συνεχίστε τη μετακίνηση προς τα κάτω στη λίστα των συσκευών υψηλής προτεραιότητας, των δοκιμών και της ανάπτυξης, ενώ παρακολουθείτε τον στόλο, για να επιβεβαιώσετε ότι οι ασίστ βοηθούν με τις υπόλοιπες συσκευές.

Σημειώσεις 

• Δώστε προσοχή σε παλαιότερες συσκευές, ειδικά στις συσκευές που δεν υποστηρίζονται πλέον από τον κατασκευαστή. Ενώ το υλικολογισμικό θα πρέπει να εκτελεί σωστά τις λειτουργίες ενημέρωσης, ορισμένες όχι. Σε περιπτώσεις όπου το υλικολογισμικό δεν λειτουργεί σωστά και η συσκευή δεν υποστηρίζεται πλέον, εξετάστε το ενδεχόμενο να αντικαταστήσετε τη συσκευή για να διασφαλίσετε την προστασία Ασφαλούς εκκίνησης σε ολόκληρο τον στόλο σας.

• Οι νέες συσκευές που έχουν κατασκευαστεί τα τελευταία 1-2 χρόνια ενδέχεται να έχουν ήδη τα ενημερωμένα πιστοποιητικά στη θέση τους, αλλά μπορεί να μην έχει εφαρμοστεί στο σύστημα η διαχείριση υπογεγραμμένων εκκινήσεων του Windows UEFI CA 2023. Η εφαρμογή αυτής της διαχείρισης εκκίνησης είναι ένα κρίσιμο τελευταίο βήμα στην ανάπτυξη για κάθε συσκευή.

• Αφού επιλεγεί μια συσκευή για ενημερώσεις, μπορεί να χρειαστεί κάποιος χρόνος μέχρι να ολοκληρωθούν οι ενημερώσεις. Υπολογίστε 48 ώρες και μία ή περισσότερες επανεκκινήσεις για να εφαρμοστούν τα πιστοποιητικά.

Συνήθη ζητήματα και συστάσεις

Αυτός ο οδηγός περιγράφει λεπτομερώς τον τρόπο λειτουργίας της διαδικασίας ενημέρωσης πιστοποιητικού Ασφαλούς εκκίνησης και παρουσιάζει ορισμένα βήματα για την αντιμετώπιση προβλημάτων που παρουσιάζονται κατά την ανάπτυξη σε συσκευές. Ενημερώσεις σε αυτή την ενότητα θα προστεθεί ανάλογα με τις ανάγκες.

Υποστήριξη ανάπτυξης πιστοποιητικών ασφαλούς εκκίνησης 

Για υποστήριξη των ενημερώσεων του πιστοποιητικού Ασφαλούς εκκίνησης, τα Windows διατηρούν μια προγραμματισμένη εργασία που εκτελείται μία φορά κάθε 12 ώρες. Η εργασία αναζητά bit στο κλειδί μητρώου AvailableUpdates που χρειάζεται επεξεργασία. Τα bit ενδιαφέροντος που χρησιμοποιούνται για την ανάπτυξη των πιστοποιητικών βρίσκονται στον παρακάτω πίνακα. Η στήλη Σειρά υποδεικνύει τη σειρά επεξεργασίας των bit.

Κάθε ένα από τα bit υποβάλλεται σε επεξεργασία από το προγραμματισμένο συμβάν με τη σειρά που δίνεται στον παραπάνω πίνακα.

Η πρόοδος στα bit θα πρέπει να έχει την εξής μορφή: 

1. Έναρξη: 0x5944

2. 0x0040 → 0x5904 (Εφαρμόστηκε με επιτυχία το Windows UEFI CA 2023)

3. 0x0800 → 0x5104 (Εφαρμόστηκε το Microsoft UEFI CA 2023, αν χρειάζεται)

4. 0x1000 → 0x4104 (Εφαρμόστηκε το Microsoft Option ROM UEFI CA 2023, αν χρειάζεται)

5. 0x0004 → 0x4100 (Εφαρμόστηκε η Microsoft Corporation KEK 2K CA 2023)

6. 0x0100 → 0x4000 (Εφαρμόστηκε η διαχείριση εκκίνησης με υπογραφή Windows UEFI CA 2023)

Σημειώσεις

• Μόλις ολοκληρωθεί με επιτυχία η λειτουργία που σχετίζεται με ένα bit, αυτό το bit διαγράφεται από το κλειδί AvailableUpdates .

• Εάν μία από αυτές τις λειτουργίες αποτύχει, καταγράφεται ένα συμβάν και η λειτουργία εκτελείται εκ νέου την επόμενη φορά που θα εκτελεστεί η προγραμματισμένη εργασία.

• Εάν έχει οριστεί bit 0x4000, δεν θα εκκαθαριστεί. Μετά την επεξεργασία όλων των άλλων bit, το κλειδί μητρώου AvailableUpdates θα οριστεί σε 0x4000.

Πρόβλημα 1: Αποτυχία ενημέρωσης KEK: Η συσκευή ενημερώνει τα πιστοποιητικά στο DB ασφαλούς εκκίνησης, αλλά δεν εξελίσσεται μετά την ανάπτυξη του νέου πιστοποιητικού κλειδιού Exchange στο KEK ασφαλούς εκκίνησης. 

Σημείωση Αυτήν τη στιγμή, όταν παρουσιάζεται αυτό το πρόβλημα, θα καταγράφεται ένα αναγνωριστικό συμβάντος: 1796 (ανατρέξτε στο θέμα Συμβάντα μεταβλητής ενημέρωσης Ασφαλούς εκκίνησης DB και DBX). Ένα νέο συμβάν θα παρασχεθεί σε μεταγενέστερη έκδοση για να υποδείξει αυτό το συγκεκριμένο πρόβλημα. 

Το κλειδί μητρώου AvailableUpdates σε μια συσκευή έχει οριστεί σε 0x4104 και δεν εκκαθαρίζει το bit 0x0004, ακόμα και μετά από πολλαπλές επανεκκινήσεις και σημαντικό χρονικό διάστημα. 

Το πρόβλημα μπορεί να είναι ότι δεν υπάρχει ένα KEK υπογεγραμμένο από το PK του OEM για τη συσκευή. Ο OEM ελέγχει το PK για τη συσκευή και είναι υπεύθυνος για την υπογραφή του νέου πιστοποιητικού KEK της Microsoft και την επιστροφή του στη Microsoft, ώστε να μπορεί να συμπεριληφθεί στις μηνιαίες αθροιστικές ενημερώσεις. 

Αν αντιμετωπίσετε αυτό το σφάλμα, επικοινωνήστε με τον OEM για να επιβεβαιώσετε ότι έχουν ακολουθήσει τα βήματα που περιγράφονται στις Οδηγίες δημιουργίας και διαχείρισης κλειδιού ασφαλούς εκκίνησης των Windows.  

Πρόβλημα 2: Σφάλματα υλικολογισμικού: Κατά την εφαρμογή των ενημερώσεων πιστοποιητικών, τα πιστοποιητικά παραδίδονται στο υλικολογισμικό για εφαρμογή στις μεταβλητές Ασφαλούς εκκίνησης DB ή KEK. Σε ορισμένες περιπτώσεις, το υλικολογισμικό θα επιστρέψει σφάλμα. 

Όταν παρουσιαστεί αυτό το πρόβλημα, η Ασφαλής εκκίνηση θα καταγράψει ένα αναγνωριστικό συμβάντος: 1795. Για πληροφορίες σχετικά με αυτό το συμβάν, ανατρέξτε στο θέμα Συμβάντα μεταβλητής ενημέρωσης Ασφαλούς εκκίνησης DB και DBX. 

Σας συνιστούμε να συμβουλευτείτε τον OEM, για να ελέγξετε αν υπάρχει διαθέσιμη ενημέρωση υλικολογισμικού για τη συσκευή για την επίλυση αυτού του προβλήματος.