Actualizaciones de certificados de arranque seguro: instrucciones para profesionales de TI y organizaciones

Expiración del certificado de arranque seguro

La configuración de entidades emisoras de certificados (CA), también denominadas certificados, proporcionada por Microsoft como parte de la infraestructura de arranque seguro, ha permanecido igual desde Windows 8 y Windows Server 2012. Estos certificados se almacenan en las variables Base de datos de firmas (DB) y Clave de intercambio de claves (KEK) del firmware. Microsoft ha proporcionado los mismos tres certificados en todo el ecosistema del fabricante de equipos originales (OEM) para incluir en el firmware del dispositivo. Estos certificados admiten el arranque seguro en Windows y también los usan sistemas operativos (SO) de terceros. Microsoft proporciona los siguientes certificados:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

¿Qué está cambiando?

Los certificados de arranque seguro de Microsoft actuales (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) empezarán a expirar a partir de junio de 2026 y expirarán en octubre de 2026. 

Se están implementando nuevos certificados de 2023 para mantener la continuidad y la seguridad del arranque seguro. Los dispositivos deben actualizarse a los certificados de 2023 antes de que expiren los certificados de 2011 o estarán fuera de cumplimiento de seguridad y en riesgo.  

Los dispositivos Windows fabricados desde 2012 pueden tener versiones expiradas de certificados, que deben actualizarse. 

Terminología

Certificados

Comprobar el estado de arranque seguro en toda la flota: ¿Está habilitado el arranque seguro? 

La mayoría de los dispositivos fabricados desde 2012 son compatibles con el arranque seguro y se envían con arranque seguro habilitado. Para comprobar que un dispositivo tiene el arranque seguro habilitado, realiza una de las siguientes acciones: 

• Método GUI: Ve a Inicio> Configuración > la > de seguridad & privacidadSeguridad de Windows > Seguridad del dispositivo. En Seguridad del dispositivo, la sección Arranque seguro debe indicar que el arranque seguro está activado.

• Método de la línea de comandos: En un símbolo del sistema con privilegios elevados en PowerShell, escribe Confirm-SecureBootUEFI y, a continuación, presiona Entrar. El comando debe devolver True indicando que el arranque seguro está activado.

En implementaciones a gran escala para una flota de dispositivos, el software de administración que usan los profesionales de TI deberá proporcionar una comprobación de la habilitación del arranque seguro. 

Por ejemplo, el método para comprobar el estado de arranque seguro en dispositivos administrados por Microsoft Intune es crear e implementar un script de cumplimiento personalizado de Intune. La configuración de cumplimiento de Intune se describe en Usar la configuración de cumplimiento personalizada para dispositivos Linux y Windows con Microsoft Intune.  

Cómo se implementan las actualizaciones

Hay varias maneras de dirigir los dispositivos para las actualizaciones de certificados de arranque seguro. Los detalles de la implementación, incluida la configuración y los eventos, se tratarán más adelante en este documento. Al destinar un dispositivo a actualizaciones, se establece una configuración en el dispositivo para indicar que el dispositivo debe iniciar el proceso de aplicar los nuevos certificados. Una tarea programada se ejecuta en el dispositivo cada 12 horas y detecta que el dispositivo se ha dirigido a las actualizaciones. Un esquema de lo que hace la tarea es el siguiente:

1. Windows UEFI CA 2023 se aplica a la DB.

2. Si el dispositivo tiene la Microsoft Corporation UEFI CA 2011 en la DB, la tarea se aplica a la DB la ROM de opción de Microsoft UEFI CA 2023 y la MICROSOFT UEFI CA 2023.

3. A continuación, la tarea agrega la KEK 2K CA 2023 de Microsoft Corporation.

4. Por último, la tarea programada actualiza el administrador de arranque de Windows al firmado por la CA de UEFI de Windows 2023. Windows detectará que es necesario reiniciar para poder aplicar el administrador de arranque. La actualización del administrador de arranque se retrasará hasta que el reinicio se produzca de forma natural (por ejemplo, cuando se apliquen actualizaciones mensuales) y, a continuación, Windows intentará de nuevo aplicar la actualización del Administrador de arranque.

Cada uno de los pasos anteriores debe completarse correctamente antes de que la tarea programada se desplace al siguiente paso. Durante este proceso, los registros de eventos y otros estados estarán disponibles para ayudar en la supervisión de la implementación. A continuación se proporcionan más detalles sobre la supervisión y los registros de eventos.  

La actualización de los certificados de arranque seguro permite una actualización futura al Administrador de arranque de 2023, que es más seguro. Las actualizaciones específicas del Administrador de arranque se publicarán en futuras versiones.

Pasos de implementación 

• Preparación: inventario y dispositivos de prueba.

• Consideraciones de firmware

• Supervisión: verifique los trabajos de supervisión y base de la flota.

• Implementación: dispositivos de destino para actualizaciones, comenzando con pequeños subconjuntos y expandiéndose según las pruebas correctas.

• Corrección: investigue y resuelva cualquier problema con los registros y el soporte técnico del proveedor.

Preparación 

Inventario de hardware y firmware. Crea una muestra representativa de dispositivos basados en el fabricante del sistema, el modelo del sistema, la versión/fecha del BIOS, la versión del producto base, etc., y prueba las actualizaciones de esos ejemplos antes de una implementación amplia.  Estos parámetros suelen estar disponibles en la información del sistema (MSINFO32). 

Los comandos de PowerShell de ejemplo para recopilar la información son:

Consideraciones de firmware

La implementación de los nuevos certificados de arranque seguro en la flota de dispositivos requiere que el firmware del dispositivo desempeña un papel en la finalización de la actualización. Aunque Microsoft espera que la mayoría del firmware del dispositivo funcione según lo esperado, se necesitan pruebas cuidadosas antes de implementar los nuevos certificados.

Examina el inventario de hardware y crea una muestra pequeña y representativa de dispositivos en función de los siguientes criterios únicos, como: 

• Manufacturer

• Número de modelo

• Versión de firmware

• Versión de placa base OEM, etc.

Antes de implementar ampliamente en los dispositivos de la flota, le recomendamos que pruebe las actualizaciones de certificados en dispositivos de muestra representativos (según se definen en factores como el fabricante, el modelo o la versión de firmware) para asegurarse de que las actualizaciones se procesan correctamente. La guía recomendada sobre el número de dispositivos de muestra para probar para cada categoría única es de 4 o más.

Esto ayudará a generar confianza en su proceso de despliegue y a evitar impactos imprevistos en su flota más amplia. 

En algunos casos, podría ser necesaria una actualización de firmware para actualizar correctamente los certificados de arranque seguro. En estos casos, te recomendamos que consultes con el OEM del dispositivo para ver si está disponible el firmware actualizado.

Windows en entornos virtualizados

Para Windows que se ejecuta en un entorno virtual, hay dos métodos para agregar los nuevos certificados a las variables de firmware de arranque seguro:  

• El creador del entorno virtual (AWS, Azure, Hyper-V, VMware, etc.) puede proporcionar una actualización para el entorno e incluir los nuevos certificados en el firmware virtualizado. Esto funcionaría para nuevos dispositivos virtualizados.

• Para Windows que se ejecuta a largo plazo en una VM, las actualizaciones se pueden aplicar a través de Windows como cualquier otro dispositivo, si el firmware virtualizado admite actualizaciones de arranque seguro.

Supervisión e implementación 

Le recomendamos que inicie la supervisión del dispositivo antes de la implementación para asegurarse de que la supervisión funciona correctamente y tiene una buena idea del estado de la flota con antelación. A continuación se describen las opciones de supervisión. 

Microsoft proporciona varios métodos para implementar y supervisar las actualizaciones de certificados de arranque seguro.

Asistencias de implementación automatizadas 

Microsoft proporciona dos asistencias de implementación. Estas asistencias pueden resultar útiles para facilitar la implementación de los nuevos certificados en su flota. Ambas asistencias requieren datos de diagnóstico.

• Opción para actualizaciones acumulativas con depósitos de confianza: Microsoft puede incluir automáticamente grupos de dispositivos de alta confianza en actualizaciones mensuales en función de los datos de diagnóstico compartidos hasta la fecha, para beneficiar a sistemas y organizaciones que no pueden compartir datos de diagnóstico. Este paso no requiere que se habiliten los datos de diagnóstico.

  • Para las organizaciones y sistemas que pueden compartir datos de diagnóstico, proporciona a Microsoft la visibilidad y la confianza de que los dispositivos pueden implementar correctamente los certificados. Para obtener más información sobre cómo habilitar los datos de diagnóstico, consulta: Configurar los datos de diagnóstico de Windows en la organización. Estamos creando "cubos" para cada dispositivo único (según lo definido por atributos que incluyen fabricante, versión de placa base, fabricante de firmware, versión de firmware y puntos de datos adicionales). Para cada cubo, supervisamos las pruebas de éxito en varios dispositivos. Una vez que hayamos visto suficientes actualizaciones correctas y ningún error, consideraremos el bucket "de alta confianza" e incluiremos esos datos en las actualizaciones acumulativas mensuales. Cuando se aplican actualizaciones mensuales a un dispositivo en un depósito de alta confianza, Windows aplicará automáticamente los certificados a las variables de arranque seguro UEFI en firmware.

  • Los cubos de alta confianza incluyen dispositivos que están procesando las actualizaciones correctamente. Naturalmente, no todos los dispositivos proporcionarán datos de diagnóstico y esto puede limitar la confianza de Microsoft en la capacidad de un dispositivo para procesar las actualizaciones correctamente.

  • Este asistente está habilitado de manera predeterminada para dispositivos de alta confianza y se puede deshabilitar con una configuración específica del dispositivo. Se compartirá más información en futuras versiones de Windows.

• Implementación controlada de características (CFR):  Opte por dispositivos para la implementación administrada por Microsoft si los datos de diagnóstico están habilitados.

  • La implementación controlada de características (CFR) se puede usar con dispositivos cliente de las flotas de la organización. Esto requiere que los dispositivos estén enviando los datos de diagnóstico requeridos a Microsoft y que hayan indicado que el dispositivo está aceptando permitir CFR en el dispositivo. A continuación se describen detalles sobre cómo participar.

  • Microsoft administrará el proceso de actualización de estos nuevos certificados en dispositivos Windows en los que haya datos de diagnóstico disponibles y los dispositivos participen en la implementación controlada de características (CFR). Aunque cfr puede ayudar en la implementación de los nuevos certificados, las organizaciones no podrán confiar en CFR para corregir sus flotas: requerirá seguir los pasos descritos en este documento en la sección sobre métodos de implementación no cubiertos por asistencia automatizada.

  • Limitaciones: Hay algunas razones por las que CFR puede no funcionar en su entorno. Por ejemplo:

    • No hay datos de diagnóstico disponibles o los datos de diagnóstico no se pueden usar como parte de la implementación del CFR.

    • Los dispositivos no están en versiones de cliente compatibles de Windows 11 y Windows 10 con actualizaciones de seguridad extendida (ESU).

Métodos de implementación no cubiertos por asistencia automatizada

Elija el método que mejor se adapte a su entorno. Evite mezclar métodos en el mismo dispositivo: 

• Claves del Registro: controle la implementación y supervise los resultados.
  Hay varias claves del Registro disponibles para controlar el comportamiento de la implementación de los certificados y para supervisar los resultados. Además, hay dos claves para optar por participar y no en las ayudas de implementación descritas anteriormente. Para obtener más información sobre las claves del Registro, consulta Clave del Registro Novedades para arranque seguro: dispositivos Windows con actualizaciones administradas por TI.

• directiva de grupo objetos (GPO): administrar la configuración; supervisar a través de registros de eventos y del registro.
  Microsoft proporcionará soporte técnico para administrar las actualizaciones de arranque seguro con directiva de grupo en una actualización futura. Tenga en cuenta que, dado que directiva de grupo es para la configuración, la supervisión del estado del dispositivo deberá realizarse mediante métodos alternativos, como supervisar las claves del Registro y las entradas del registro de eventos.

• CLI de WinCS (Sistema de configuración de Windows): use herramientas de línea de comandos para clientes unidos a dominios.
  Los administradores de dominios pueden usar alternativamente el sistema de configuración de Windows (WinCS) incluido en las actualizaciones del sistema operativo Windows para implementar las actualizaciones de arranque seguro en los clientes y servidores de Windows unidos a un dominio. Se compone de una serie de utilidades de línea de comandos (tanto un ejecutable tradicional como un módulo de PowerShell) para consultar y aplicar configuraciones de arranque seguro localmente a un equipo. Para obtener más información, consulta API del sistema de configuración de Windows (WinCS) para arranque seguro.

• Microsoft Intune/Configuration Manager: Implemente scripts de PowerShell. En una actualización futura se proporcionará un proveedor de servicios de configuración (CSP) para permitir la implementación con Intune.

Supervisar registros de eventos

Se proporcionan dos eventos nuevos para ayudar a implementar las actualizaciones de certificados de arranque seguro. Estos eventos se describen detalladamente en eventos de actualización de variables DB y DBX de arranque seguro: 

• Id. de evento: 1801
  Este evento es un evento de error que indica que los certificados actualizados no se han aplicado al dispositivo. Este evento proporciona algunos detalles específicos del dispositivo, incluidos los atributos del dispositivo, que ayudarán a correlacionar los dispositivos que aún necesitan actualizarse.

• Id. de evento: 1808
  Este evento es un evento informativo que indica que el dispositivo tiene los nuevos certificados de arranque seguro requeridos aplicados al firmware del dispositivo.

Estrategias de implementación 

Para minimizar el riesgo, implementa las actualizaciones de arranque seguro por fases, en lugar de todas a la vez. Comienza con un pequeño subconjunto de dispositivos, valida los resultados y, a continuación, expande a otros grupos. Te sugerimos que empieces con subconjuntos de dispositivos y, a medida que ganes confianza en esas implementaciones, agregues subconjuntos adicionales de dispositivos. Se pueden usar varios factores para determinar lo que va a un subconjunto, incluidos los resultados de prueba en dispositivos de muestra y la estructura de la organización, etc. 

La decisión sobre los dispositivos que implementa depende de usted. Aquí se muestran algunas estrategias posibles. 

• Flota de dispositivos de gran tamaño: comience por confiar en las asistencias descritas anteriormente para los dispositivos más comunes que administra. En paralelo, céntrese en los dispositivos menos comunes administrados por su organización. Prueba pequeños dispositivos de muestra y, si la prueba se realiza correctamente, impleméntela en el resto de los dispositivos del mismo tipo. Si la prueba produce problemas, investigue la causa del problema y determine los pasos de corrección. Es posible que también desee considerar clases de dispositivos que tienen un mayor valor en su flota y comenzar a probar e implementar para asegurarse de que esos dispositivos tengan protección actualizada en su lugar temprano.

• Flota pequeña, gran variedad: Si la flota que administra contiene una gran variedad de máquinas en las que probar dispositivos individuales sería prohibitivo, considere la posibilidad de depender en gran medida de las dos asistencias descritas anteriormente, especialmente para los dispositivos que probablemente sean dispositivos comunes en el mercado. Inicialmente, céntrese en los dispositivos que son críticos para el funcionamiento diario, pruebe y, a continuación, implemente. Sigue pasando por la lista de dispositivos de alta prioridad, probando e implementando mientras supervisas la flota para confirmar que las asistencias ayudan con el resto de los dispositivos.

Notas 

• Presta atención a los dispositivos más antiguos, especialmente los dispositivos que ya no son compatibles con el fabricante. Aunque el firmware debería realizar las operaciones de actualización correctamente, es posible que algunas no. En los casos en los que el firmware no funciona correctamente y el dispositivo ya no es compatible, considera la posibilidad de reemplazar el dispositivo para garantizar la protección de arranque seguro en toda la flota.

• Los nuevos dispositivos fabricados en los últimos 1-2 años pueden tener ya los certificados actualizados en su lugar, pero es posible que no tengan aplicado al sistema el administrador de arranque firmado de Windows UEFI CA 2023. Aplicar este administrador de arranque es un último paso crítico de la implementación para cada dispositivo.

• Una vez que se ha seleccionado un dispositivo para recibir actualizaciones, es posible que las actualizaciones tarden algún tiempo en completarse. Estimación de 48 horas y uno o más reinicios para que se apliquen los certificados.

Problemas comunes y recomendaciones

Esta guía explica detalladamente cómo funciona el proceso de actualización de certificados de arranque seguro y presenta algunos pasos para solucionar problemas si se producen problemas durante la implementación en dispositivos. Novedades a esta sección se agregará según sea necesario.

Compatibilidad con la implementación de certificados de arranque seguro 

En apoyo de las actualizaciones de certificados de arranque seguro, Windows mantiene una tarea programada que se ejecuta una vez cada 12 horas. La tarea busca bits en la clave del Registro AvailableUpdates que necesita procesarse. Los bits de interés usados en la implementación de los certificados se encuentran en la tabla siguiente. La columna Orden indica el orden en que se procesan los bits.

Cada una de las partes es procesada por el evento programado en el orden especificado en la tabla anterior.

La progresión a través de los bits debe tener el siguiente aspecto: 

1. Inicio: 0x5944

2. 0x0040 → 0x5904 (se ha aplicado correctamente windows UEFI CA 2023)

3. 0x0800 → 0x5104 (se aplicó Microsoft UEFI CA 2023 si es necesario)

4. 0x1000 → 0x4104 (aplicada la ROM de opción de Microsoft UEFI CA 2023 si es necesario)

5. 0x0004 → 0x4100 (aplicada la KEK 2K CA 2023 de Microsoft Corporation)

6. 0x0100 → 0x4000 (Se ha aplicado el administrador de arranque firmado con Windows UEFI CA 2023)

Notas

• Una vez que la operación asociada a un bit se completa correctamente, ese bit se borra de la clave AvailableUpdates .

• Si se produce un error en una de estas operaciones, se registra un evento y la operación se vuelve a ejecutar la próxima vez que se ejecute la tarea programada.

• Si se establece bit 0x4000, no se borrará. Después de procesar el resto de bits, la clave del Registro AvailableUpdates se establecerá en 0x4000.

Problema 1: Error de actualización de KEK: el dispositivo actualiza los certificados a la base de datos de arranque seguro, pero no avanza antes de implementar el nuevo certificado de clave de Intercambio de claves en la KEK de arranque seguro. 

Nota Actualmente, cuando se produce este problema, se registra un id. de evento: 1796 (consulta Eventos de actualización de variables DB y DBX de arranque seguro). Se proporcionará un nuevo evento en una versión posterior para indicar este problema específico. 

La clave del Registro AvailableUpdates de un dispositivo se establece en 0x4104 y no borra el bit 0x0004, incluso después de varios reinicios y de que haya pasado mucho tiempo. 

El problema podría deberse a que no hay una KEK firmada por la PK del OEM para el dispositivo. El OEM controla la PK del dispositivo y es responsable de firmar el nuevo certificado KEK de Microsoft y devolverlo a Microsoft para que se pueda incluir en las actualizaciones acumulativas mensuales. 

Si se produce este error, consulta al OEM para confirmar que ha seguido los pasos descritos en la Guía de creación y administración de claves de arranque seguro de Windows.  

Problema 2: Errores de firmware: Al aplicar las actualizaciones de certificados, los certificados se entregan al firmware para aplicarlos a las variables DE KEK o DB de arranque seguro. En algunos casos, el firmware devolverá un error. 

Cuando se produzca este problema, arranque seguro registrará un id. de evento: 1795. Para obtener información sobre este evento, consulta Eventos de actualización de variables DB y DBX de arranque seguro. 

Te recomendamos que consultes al OEM para ver si hay una actualización de firmware disponible para el dispositivo para resolver este problema.