Windowsi turvalise algkäivituse serdi aegumine ja CA värskendused
Rakenduskoht
Avaldamise algne kuupäev: 26. juuni 2025
KB ID: 5062710
|
Muuda kuupäeva |
Muuda kirjeldust |
|---|---|
|
3. veebruar 2026 |
|
|
10. november 2025 |
Parandati kaks trükiviga jaotises "Uus sert":
|
Mis on Secure Boot?
Turvaline käivitamine on ühtse laiendatava püsivaraliidese (UEFI) põhise püsivara turbefunktsioon, mis aitab tagada, et seadme käivitamisjärjestuses töötab ainult usaldusväärne tarkvara. Selle tööks kontrollitakse eelkäivituse tarkvara digitaalallkirja seadme püsivarale salvestatud usaldusväärsete digitaalsertide (ehk sertimiskeskuse või CA) komplekti suhtes. Valdkonna standardina määratleb UEFI secure Boot selle, kuidas platvormi püsivara haldab serte, autendib püsivara ja kuidas operatsioonisüsteem (OS) selle protsessiga liidestub. UEFI ja turvalise algkäivituse kohta leiate lisateavet teemast Turvaline algkäivitus.
Secure Boot võeti esmakordselt kasutusele Windows 8, et kaitsta sel ajal esilekerkiva algkäivituseelse ründevara (nimetatakse ka bootkitiks) ohu eest. Platvormi lähtestamise osana autendib Secure Boot püsivaramooduleid enne käivitamist. Need moodulid hõlmavad UEFI püsivara draivereid (nt Option ROM-id), algkäivituse laadijaid ja rakendusi. Secure Booti protsessi viimase etapina kontrollib püsivara, kas Secure Boot usaldab alglaadijat. Seejärel edastab püsivara juhtimise alglaadijale, mis omakorda kinnitab, laadib mällu ja käivitab Windowsi operatsioonisüsteemi.
Secure Boot määratleb usaldusväärse koodi läbi püsivarapoliitika komplekti tootmise ajal. Selle poliitika muudatusi (nt sertide lisamist või tühistamist) reguleerib võtmehierarhia. See hierarhia algab platvormivõtmega (PK), mille omanik on tavaliselt riistvaratootja, millele järgneb võtme registreerimisvõti (KEK) (ehk Võtmevahetusvõti), mis võib sisaldada Microsoft KEK-i ja muid OEM-i KEK-e. Lubatud allkirjaandmebaas (DB) ja keelatud allkirjaandmebaas (DBX) määratlevad, millist koodi saab UEFI-keskkonnas enne operatsioonisüsteemi käivitamist käitada. DB sisaldab Microsofti ja OEM-i hallatavaid serte, samas kui Microsoft värskendab DBX-i uusimate tühistamiste abil. Kõik KEK-iga olemid saavad värskendada andmebaasi ja DBX-i.
Secure Booti serdi aegumise mõju
Microsoft värskendab algselt 2011. aastal välja antud secure Booti serte tagamaks, et Windowsi seadmed jätkavad usaldusväärse algkäivituse tarkvara kontrollimist. Need vanemad serdid aeguvad 2026. aasta juunis. Seadmed, mis pole saanud uuemaid 2023 serte, käivituvad ja töötavad tavapäraselt ning Standardsed Windowsi värskendused jätkavad installimist. Need seadmed ei saa siiski enam varajase algkäivituse protsessi jaoks uusi turbekaitseid, sh Windowsi käivitushalduri värskendusi, turbekäivituse andmebaase, tühistamisloendeid ega vast avastatud algkäivitustaseme nõrkuste leevendusi.
Aja jooksul piirab see seadme kaitset tekkivate ohtude eest ja võib mõjutada stsenaariume, mis tuginevad turvalise algkäivituse usaldusele (nt BitLockeri tugevnemine või muude tootjate alglaadijad). Enamik Windowsi seadmeid saavad värskendatud serdid automaatselt ja paljud OEM-id pakuvad vajadusel püsivaravärskendusi. Seadme ajakohasena hoidmine nende värskendustega aitab tagada, et see saab ka edaspidi täieliku turbekaitse, mida Secure Boot on loodud pakkuma.
Windowsi turvalise algkäivituse serdid aeguvad 2026. aastal
Kuna Windows võttis kasutusele turvalise algkäivituse toe, on kõik Windowsi-põhised seadmed kandnud sama komplekti Microsofti serte KEK-is ja DB-s. Nende algsete sertide aegumiskuupäev on lähenemas ja teie seadet mõjutab see, kui sellel on mõni loetletud serdiversioonidest. Windowsi käitamise jätkamiseks ja turvalise algkäivituse konfiguratsiooni regulaarsete värskenduste saamiseks peate neid serte värskendama.
Terminoloogia
-
KEK: Key Enrollment Key
-
CA: Sertimiskeskus
-
DB: Secure Boot Signature Database
-
DBX: Secure Boot Revoked Signature Database
|
Aeguv sert |
Aegumiskuupäev |
Uus sert |
Asukoha salvestamine |
Eesmärk |
|
Microsoft Corporation KEK CA 2011 |
Juuni 2026 |
Microsoft Corporation KEK 2K CA 2023 |
Talletatud KEK-is |
Allkirjastab DB ja DBX-i värskendused. |
|
Microsoft Windows Production PCA 2011 |
Okt 2026 |
Windows UEFI CA 2023 |
Talletatud andmebaasis |
Seda kasutatakse Windowsi buutimislaaduri allkirjastamiseks. |
|
Microsoft UEFI CA 2011* |
Juuni 2026 |
Microsoft UEFI CA 2023 |
Talletatud andmebaasis |
Allkirjastab muude tootjate algkäivituslaadurid ja EFI-rakendused. |
|
Microsoft UEFI CA 2011* |
Juuni 2026 |
Microsoft Option ROM UEFI CA 2023 |
Talletatud andmebaasis |
Allkirjastab kolmanda osapoole suvandi ROM-id |
*Microsoft Corporationi UEFI CA 2011 serdi uuendamisel on kaks serti eraldi käivituslaaduri allkirjastamise suvandiST ROM-i allkirjastamine. See võimaldab süsteemi usaldust täpsemalt kontrollida. Näiteks süsteemid, mis peavad usaldama option ROM-id saab lisada Microsoft Option ROM UEFI CA 2023 ilma usaldust kolmandate osapoolte algkäivituslaadurite jaoks.
Microsoft on välja andnud värskendatud serdid, et tagada Windowsi seadmetes turvalise algkäivituse kaitse järjepidevus. Microsoft haldab nende uute sertide värskendusprotsessi märkimisväärses osas Windowsi seadmetes. Lisaks pakume üksikasjalikke juhiseid organisatsioonidele, kes haldavad oma seadmevärskendusi.
Üleskutse
On võimalik, et peate võtma meetmeid tagamaks, et teie Windows-seade jääb turvaliseks, kui serdid aeguvad 2026. aastal. Nii UEFI secure Boot DB kui ka KEK tuleb värskendada vastavate uute 2023 serdiversioonidega. Uute sertide kohta leiate lisateavet Windowsi turvalise algkäivitusvõtme loomise ja haldamise juhistest.
Teie toimingud varieeruvad olenevalt sellest, millist tüüpi Windows-seade teil on. Valige vasakul asuvast menüüst seadme tüüp ja konkreetsed toimingud, mida peate tegema.
Kas vajate veel abi?
Kas soovite rohkem valikuvariante?
Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.
Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.
