Λήξη πιστοποιητικού ασφαλούς εκκίνησης των Windows και ενημερώσεις CA

Τι είναι η Ασφαλής εκκίνηση;

Η Ασφαλής εκκίνηση είναι μια δυνατότητα ασφαλείας στο υλικολογισμικό που βασίζεται στο υλικολογισμικό της Ενοποιημένης επεκτάσιμης διασύνδεσης υλικολογισμικού (UEFI), το οποίο εξασφαλίζει ότι εκτελείται μόνο αξιόπιστο λογισμικό κατά τη διάρκεια της ακολουθίας εκκίνησης (έναρξη) μιας συσκευής. Λειτουργεί επαληθεύοντας την ψηφιακή υπογραφή του λογισμικού προ-εκκίνησης σε ένα σύνολο αξιόπιστων ψηφιακών πιστοποιητικών (γνωστών και ως αρχή έκδοσης πιστοποιητικών ή CA) που είναι αποθηκευμένα στο υλικολογισμικό της συσκευής. Ως βιομηχανικό πρότυπο, η Ασφαλής εκκίνηση UEFI καθορίζει τον τρόπο με τον οποίο το υλικολογισμικό της πλατφόρμας διαχειρίζεται τα πιστοποιητικά, πραγματοποιεί έλεγχο ταυτότητας υλικολογισμικού και τον τρόπο με τον οποίο οι διασυνδέσεις του λειτουργικού συστήματος (OS) με αυτήν τη διαδικασία. Για περισσότερες λεπτομέρειες σχετικά με το UEFI και την Ασφαλή εκκίνηση, ανατρέξτε στο θέμα Ασφαλής εκκίνηση.

Η Ασφαλής εκκίνηση παρουσιάστηκε για πρώτη φορά στο Windows 8 για προστασία από το αναδυόμενο λογισμικό κακόβουλης λειτουργίας πριν από την εκκίνηση (γνωστό και ως bootkit) εκείνη τη στιγμή. Ως μέρος της προετοιμασίας της πλατφόρμας, η Ασφαλής εκκίνηση πραγματοποιεί έλεγχο ταυτότητας των λειτουργικών μονάδων υλικολογισμικού πριν από την εκτέλεση. Αυτές οι λειτουργικές μονάδες περιλαμβάνουν προγράμματα οδήγησης υλικολογισμικού UEFI (όπως Option ROM), φορτωτές εκκίνησης και εφαρμογές. Ως τελικό βήμα της διαδικασίας Ασφαλούς εκκίνησης, το υλικολογισμικό επαληθεύει αν η Ασφαλής εκκίνηση εμπιστεύεται τον φορτωτή εκκίνησης. Στη συνέχεια, το υλικολογισμικό μεταβιβάζει τον έλεγχο στον φορτωτή εκκίνησης, ο οποίος με τη σειρά του επαληθεύει, φορτώνει στη μνήμη και εκκινεί το λειτουργικό σύστημα των Windows.

Η Ασφαλής εκκίνηση ορίζει τον αξιόπιστο κώδικα μέσω μιας πολιτικής υλικολογισμικού που έχει οριστεί κατά την κατασκευή. Οι αλλαγές σε αυτήν την πολιτική, όπως η προσθήκη ή ανάκληση πιστοποιητικών, ελέγχονται από μια ιεραρχία κλειδιών. Αυτή η ιεραρχία ξεκινά με το κλειδί πλατφόρμας (PK), το οποίο συνήθως ανήκει στον κατασκευαστή του υλικού, ακολουθούμενο από το κλειδί εγγραφής κλειδιού (KEK) (γνωστό και ως κλειδί exchange κλειδιού), το οποίο μπορεί να περιλαμβάνει ένα Microsoft KEK και άλλα KEK OEM. Η βάση δεδομένων επιτρεπόμενων υπογραφών (DB) και η βάση δεδομένων μη επιτρεπόμενων υπογραφών (DBX) καθορίζουν ποιος κώδικας μπορεί να εκτελεστεί στο περιβάλλον UEFI πριν από την εκκίνηση του λειτουργικού συστήματος. Η DB περιλαμβάνει πιστοποιητικά τα οποία διαχειρίζεται η Microsoft και ο OEM, ενώ το DBX ενημερώνεται από τη Microsoft με τις πιο πρόσφατες ανακλήσεις. Κάθε οντότητα με KEK μπορεί να ενημερώσει το DB και το DBX.

Τα πιστοποιητικά ασφαλούς εκκίνησης των Windows λήγουν το 2026

Από τότε που τα Windows εισήγαγαν την υποστήριξη ασφαλούς εκκίνησης, όλες οι συσκευές που βασίζονται στα Windows έχουν μεταφέρει το ίδιο σύνολο πιστοποιητικών της Microsoft στο KEK και το DB. Αυτά τα πρωτότυπα πιστοποιητικά πλησιάζουν την ημερομηνία λήξης τους και η συσκευή σας επηρεάζεται εάν διαθέτει οποιαδήποτε από τις εκδόσεις πιστοποιητικών που αναφέρονται. Για να συνεχίσετε να εκτελείτε τα Windows και να λαμβάνετε τακτικές ενημερώσεις για τη ρύθμιση παραμέτρων ασφαλούς εκκίνησης, θα πρέπει να ενημερώσετε αυτά τα πιστοποιητικά.

Ορολογία

• ΚΕΚ: Κλειδί εγγραφής κλειδιού

• CA: Αρχή έκδοσης πιστοποιητικών

• DB: Βάση δεδομένων υπογραφής ασφαλούς εκκίνησης

• DBX: Ασφαλής εκκίνηση ανακλημένη βάση δεδομένων υπογραφής

Η Microsoft έχει εκδώσει ενημερωμένα πιστοποιητικά, ώστε να διασφαλίζεται η συνέχιση της προστασίας ασφαλούς εκκίνησης σε συσκευές Windows. Η Microsoft θα διαχειρίζεται τη διαδικασία ενημέρωσης για αυτά τα νέα πιστοποιητικά σε ένα σημαντικό τμήμα των συσκευών Windows. Επιπλέον, θα προσφέρουμε αναλυτικές οδηγίες για τους οργανισμούς που διαχειρίζονται τις δικές τους ενημερώσεις συσκευών.

Σημαντικό Όταν λήξουν οι CAs του 2011, οι συσκευές Windows που δεν διαθέτουν νέα πιστοποιητικά του 2023 δεν μπορούν πλέον να λάβουν επιδιορθώσεις ασφαλείας για στοιχεία πριν από την εκκίνηση που θέτουν σε κίνδυνο την ασφάλεια εκκίνησης των Windows.

Κάλεσμα για δράση

Ίσως χρειαστεί να λάβετε μέτρα, ώστε να διασφαλίσετε ότι η συσκευή Windows θα παραμείνει ασφαλής όταν λήξουν τα πιστοποιητικά το 2026. Τόσο το UEFI Secure Boot DB όσο και το KEK πρέπει να ενημερωθούν με τις αντίστοιχες νέες εκδόσεις πιστοποιητικών του 2023. Για περισσότερες πληροφορίες σχετικά με τα νέα πιστοποιητικά, ανατρέξτε στο θέμα Οδηγίες δημιουργίας και διαχείρισης κλειδιού ασφαλούς εκκίνησης των Windows. 

Σημαντικό Χωρίς ενημερώσεις, οι συσκευές Windows με δυνατότητα Ασφαλούς εκκίνησης κινδυνεύουν να μην λαμβάνουν ενημερώσεις ασφαλείας ή να εμπιστεύονται νέα προγράμματα φόρτωσης εκκίνησης που θα θέσουν σε κίνδυνο τόσο τη δυνατότητα επισκευής όσο και την ασφάλεια.

Οι ενέργειές σας θα διαφέρουν ανάλογα με τον τύπο της συσκευής Windows που διαθέτετε. Επιλέξτε από το μενού στα αριστερά για τον τύπο της συσκευής και τη συγκεκριμένη ενέργεια που πρέπει να κάνετε.