Turvalise algkäivituse serdi värskendused: juhised IT-spetsialistidele ja organisatsioonidele

Secure Booti serdi aegumine

Sertimisasutuste (CAd) konfiguratsiooni, mida nimetatakse ka sertideks, mida Microsoft pakub Secure Booti taristu osana, on jäänud samaks alates Windows 8 ja Windows Server 2012. Need serdid talletatakse püsivara signatuuriandmebaasi (DB) ja Key Exchange'i võtme (KEK) muutujates. Microsoft on esitanud sama kolm sertifikaati kogu originaalseadmete tootja (OEM) ökosüsteemis, et lisada see seadme püsivarasse. Need serdid toetavad Windowsi turvalist käivitamist ja neid kasutavad ka muude tootjate operatsioonisüsteemid (OS). Microsoft pakub järgmisi serte:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

Mis muutub?

Praegused Microsofti turvalise algkäivituse serdid (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) aeguvad alates juunist 2026 ja aeguvad oktoobriks 2026. 

Secure Booti turvalisuse ja järjepidevuse säilitamiseks antakse välja uued 2023. aasta serdid. Seadmed peavad enne 2011. aasta sertide aegumist üle minema 2023. aasta sertile või nende turvalisus on ohus.  

Alates 2012. aastast toodetud Windowsi seadmetel võib olla aeguvad sertide versioonid, mida tuleb värskendada. 

Terminoloogia

Sertifikaadid

Turvalise algkäivituse oleku kontrollimine kogu teie seadmepargis: kas turvaline käivitamine on lubatud? 

Enamikul seadmetest, mis on toodetud alates 2012. aastast, on Secure Booti tugi ja need tarnitakse lubatud Secure Bootiga. Veendumaks, et seadmes on lubatud turvaline käivitamine, tehke ühte järgmistest. 

• GUI-meetod: Avage menüü Start > Sätted > Privaatsus & Turve > Windowsi turve > seadme turve. Jaotises Seadme turve peaks jaotis Turvaline algkäivitus näitama, et Secure Boot on sisse lülitatud.

• Käsurea meetod: Tippige PowerShelli ülemaõigustega käsuviibas Confirm-SecureBootUEFI ja vajutage sisestusklahvi (Enter). Käsk peaks tagastama väärtuse True, mis näitab, et Secure Boot on sisse lülitatud.

Suuremahulistes juurutustes seadmete pargi jaoks peab IT-spetsialistide kasutatav haldustarkvara kontrollima Secure Booti lubamist. 

Näiteks Microsoft Intune'i hallatavate seadmete turvalise algkäivituse oleku kontrollimise meetod on Intune'i kohandatud vastavuse skripti loomine ja juurutamine. Intune'i nõuetele vastavuse sätted leiate artiklist Kohandatud vastavussätete kasutamine Linuxis ja Windowsi seadmetes Microsoft Intune'iga.  

Värskenduste juurutamine

Secure Booti serdi värskenduste sihtseadmete jaoks on mitu võimalust. Juurutuse üksikasju (sh sätteid ja sündmusi) käsitletakse selles dokumendis hiljem. Kui suunate seadme värskenduste jaoks, tehakse seadmes säte, mis näitab, et seade peaks alustama uute sertide rakendamist. Ajastatud toiming töötab seadmes iga 12 tunni järel ja tuvastab, et seade on värskendustele suunatud. Ülesande kirjeldus on järgmine.

1. Windows UEFI CA 2023 rakendatakse andmebaasile.

2. Kui seadme DB-s on Microsoft Corporation UEFI CA 2011, siis rakendatakse ülesanne Microsoft Option ROM UEFI CA 2023 ja Microsoft UEFI CA 2023 DB-le.

3. Seejärel lisatakse microsoft Corporation KEK 2K CA 2023.

4. Lõpuks värskendab ajastatud toiming Windowsi käivitushalduri windows UEFI CA 2023 allkirjastatud haldurile. Windows tuvastab, et enne käivitushalduri rakendamist on vaja taaskäivitada. Käivitushalduri värskendus hilineb, kuni taaskäivitamine toimub loomulikult (nt igakuiste värskenduste rakendamisel) ja windows proovib uuesti rakendada käivitushalduri värskendust.

Enne ajastatud toimingu järgmisele etapile liikumist tuleb kõik eespool kirjeldatud etapid lõpule viia. Selle protsessi käigus on juurutamise jälgimiseks saadaval sündmuselogid ja muu olek. Lisateavet jälgimis- ja sündmuselogide kohta leiate altpoolt.  

Secure Booti sertide värskendamine võimaldab tulevast 2023 käivitushalduri värskendust, mis on turvalisem. Käivitushalduri konkreetsed värskendused tehakse tulevastes väljaannetes.

Juurutamistoimingud 

• Ettevalmistus: inventari- ja testimisseadmed.

• Püsivarakaalutlused

• Jälgimine: kontrollige, kas jälgimine toimib ja et laevastik oleks lähteplaanil.

• Juurutamine: sihtseadmed värskenduste jaoks, alustades väikestest alamhulkadest ja laienedes edukate testide põhjal.

• Lahendus: probleemide uurimine ja lahendamine logide ja hankijatoe abil.

Ettevalmistus 

Laoriistvara ja püsivara. Enne laia juurutamist koostage seadmete representatiivne valim, mis põhineb süsteemi tootjal, süsteemimudelil, BIOS-i versioonil/kuupäeval, baaslaua tooteversioonil jne, ja testige nende valimite värskendusi.  Need parameetrid on tavaliselt saadaval süsteemiteabes (MSINFO32). 

PowerShelli näidiskäsud teabe kogumiseks on järgmised.

Püsivarakaalutlused

Uute Secure Booti sertide juurutamiseks seadmepargis on vaja, et seadme püsivaral oleks värskenduse lõpuleviimisel roll. Kuigi Microsoft eeldab, et enamik seadme püsivara töötab ootuspäraselt, on enne uute sertide juurutamist vaja teha hoolikat testimist.

Uurige oma riistvara inventuuri ja koostage väike tüüpiline seadmete valim järgmiste kordumatute kriteeriumide alusel, näiteks: 

• Tootja

• Mudeli number

• Püsivara versioon

• OEM-i aluslaua versioon jne.

Enne seadmestikus laialt juurutamist soovitame testida serdivärskendusi representatiivsetes näidisseadmetes (nagu määratletud näiteks tootja, mudel, püsivara versioon), et tagada värskenduste edukas töötlemine. Soovitatavad juhised iga kordumatu kategooria jaoks testitavate näidisseadmete arvu kohta on 4 või enam.

See aitab suurendada usaldust juurutamisprotsessi suhtes ja vältida ettenägematut mõju teie laiemale laevastikule. 

Mõnel juhul on võimalik, et secure Booti sertide värskendamiseks on vaja püsivaravärskendust. Sellisel juhul soovitame teil oma seadme OEM-ilt järele vaadata, kas värskendatud püsivara on saadaval.

Windows virtualiseeritud keskkondades

Virtuaalkeskkonnas töötava Windowsi jaoks on secure Booti püsivaramuutujatele uute sertide lisamiseks kaks meetodit.  

• Virtuaalkeskkonna looja (AWS, Azure, Hyper-V, VMware jne) võib pakkuda keskkonna värskendust ja kaasata uued serdid virtualiseeritud püsivara. See toimiks uute virtualiseeritud seadmete puhul.

• Windowsi jaoks, kus virtuaalarvutis töötab pikaajaline versioon, saab värskendusi rakendada Windowsi kaudu nagu mis tahes muid seadmeid, kui virtualiseeritud püsivara toetab turvalist algkäivituse värskendust.

Jälgimine ja juurutamine 

Soovitame enne juurutamist alustada seadme jälgimist, et kontrollida, kas seire töötab õigesti ja et teil on eelnevalt hea mõte laevastiku seisundi kohta. Allpool käsitletakse seirevõimalusi. 

Microsoft pakub turbekäivituse serdi värskenduste juurutamiseks ja jälgimiseks mitut meetodit.

Automaatse juurutamise abi 

Microsoft pakub kahte juurutusabilist. Need abivahendid võivad osutuda kasulikuks uute sertifikaatide juurutamisel teie laevastikule. Mõlemad tugiteenused nõuavad diagnostikaandmeid.

• Võimalus koondvärskenduste jaoks usaldussalvedega: Microsoft võib automaatselt kaasata väga usaldusväärsed seadmerühmad igakuistesse värskendustesse, mis põhinevad praeguseks jagatud diagnostikaandmetel, et saada kasu süsteemidest ja organisatsioonidest, kes ei saa diagnostikaandmeid jagada. See toiming ei nõua diagnostikaandmete lubamist.

  • Asutuste ja süsteemide puhul, kes saavad jagada diagnostikaandmeid, tagab see Microsoftile nähtavuse ja usaldusväärsuse, et seadmed saavad serdid edukalt juurutada. Lisateavet diagnostikaandmete lubamise kohta leiate artiklist Windowsi diagnostikaandmete konfigureerimine teie ettevõttes. Loome salved iga kordumatu seadme jaoks (nagu määratletud atribuutidega, mis hõlmavad tootjat, emaplaadi versiooni, püsivara tootjat, püsivara versiooni ja täiendavaid andmepunkte). Iga salve puhul jälgime edu tõendusmaterjali mitme seadme kaudu. Kui oleme näinud piisavalt edukaid värskendusi ja tõrkeid pole, kaalume salve "suure usaldusväärsusega" ja kaasame need andmed igakuistesse kumulatiivsetesse värskendustesse. Kui seadmele rakendatakse väga usaldusväärses salves igakuiseid värskendusi, rakendab Windows serdid automaatselt püsivara UEFI turvalise algkäivituse muutujatele.

  • Väga usaldusväärsed salved sisaldavad seadmeid, mis töötlevad värskendusi õigesti. Loomulikult ei paku kõik seadmed diagnostikaandmeid ja see võib piirata Microsofti usaldust seadme võime suhtes värskendusi õigesti töödelda.

  • See abi on suure kindlustundega seadmetes vaikimisi lubatud ja selle saab seadmekohase sättega keelata. Lisateavet jagatakse tulevastes Windowsi väljaannetes.

• Piiratud funktsioonide avaldamine (CFR):  Kui diagnostikaandmed on lubatud, liituge Microsofti hallatava juurutusega seadmetega.

  • Juhitud funktsioonivärskenduskomplekti (CFR) saab kasutada ettevõttepargi klientseadmetega. See nõuab, et seadmed saadaksid Microsoftile nõutavaid diagnostikaandmeid ja oleksid andnud märku, et seade lubab seadmes CFR-i. Üksikasjalikku teavet selle kohta, kuidas nõustuda, on kirjeldatud allpool.

  • Microsoft haldab nende uute sertide värskendusprotsessi Windowsi seadmetes, kus diagnostikaandmed on saadaval ja seadmed osalevad piiratud funktsioonide väljalaskes (CFR). Kuigi CFR võib aidata uusi serte juurutada, ei saa organisatsioonid oma laevastike taastamiseks CFR-i kasutada – selleks on vaja järgida selles dokumendis kirjeldatud juhiseid jaotises Juurutamismeetodid, mida automaatsed abid ei hõlma.

  • Piirangud: CfR ei pruugi teie keskkonnas töötada mõnel põhjusel. Näide.

    • Diagnostikaandmeid pole saadaval või diagnostikaandmeid ei saa CFR-juurutuse osana kasutada.

    • Seadmed pole Windows 11 toetatud klientversioonides ja Windows 10 laiendatud turbevärskendustega (ESU).

Juurutamismeetodid, mida automaatsed abivahendid ei hõlma

Valige meetod, mis sobib teie keskkonnaga. Vältige samas seadmes segamismeetodeid. 

• Registrivõtmed: saate juhtida juurutamise ja kuvamise tulemusi.
  Sertide juurutamise käitumise kontrollimiseks ja tulemuste jälgimiseks on saadaval mitu registrivõtit. Lisaks on eespool kirjeldatud juurutusabivahendite kasutamiseks ja neist loobumiseks kaks võtit. Registrivõtmete kohta leiate lisateavet teemast Registrivõtme Teabevärskendused turvalise käivitamise jaoks – Windowsi seadmed IT-hallatavate värskendustega.

• Rühmapoliitika Objektid (GPO): sätete haldamine; jälgimine registri ja sündmuselogide kaudu.
  Microsoft pakub tuge secure Booti värskenduste haldamiseks Rühmapoliitika abil tulevases värskenduses. Pange tähele, et kuna Rühmapoliitika on sätete jaoks, tuleb seadme oleku jälgimiseks kasutada alternatiivseid meetodeid, sealhulgas registrivõtmete ja sündmuselogi kirjete jälgimist.

• WinCS (Windows Configuration System) CLI: käsureatööriistade kasutamine domeeniga liidetud klientide jaoks.
  Domeeniadministraatorid saavad turvalise algkäivituse värskenduste juurutamiseks kõigis domeeniga liitunud Windowsi klientrakendustes ja serverites kasutada ka Windowsi konfiguratsioonisüsteemi (WinCS). See koosneb käsureautiliitide (nii traditsiooniline täitmis- kui ka PowerShelli moodul) sarjast, et esitada päring ja rakendada secure Booti konfiguratsioonid kohalikult seadmele. Lisateavet leiate teemast Windowsi konfiguratsioonisüsteemi (WinCS) API-d turvalise käivitamise jaoks.

• Microsoft Intune/Configuration Manager: PowerShelli skriptide juurutamine. Intune'i abil juurutamise lubamiseks pakutakse konfiguratsiooniteenuse pakkujat (CSP) tulevases värskenduses.

Sündmustelogide jälgimine

Secure Booti serdi värskenduste juurutamisel abistamiseks pakutakse kahte uut sündmust. Neid sündmusi kirjeldatakse üksikasjalikult jaotises Secure Boot DB ja DBX muutuja värskendussündmused. 

• Sündmuse ID: 1801
  See sündmus on tõrkesündmus, mis näitab, et värskendatud serte pole seadmele rakendatud. See sündmus annab seadme kohta mõned üksikasjad (sh seadme atribuudid), mis aitavad korreleerimisel, millised seadmed vajavad värskendamist.

• Sündmuse ID: 1808
  See sündmus on teabesündmus, mis näitab, et seadme püsivarale on rakendatud nõutavad uued secure Booti serdid.

Juurutusstrateegiad 

Riski minimeerimiseks juurutage turvalise algkäivituse värskendused etappidena, mitte korraga. Alustage väikesest seadmete alamhulgast, valideerige tulemid ja laiendage seejärel täiendavatesse rühmadesse. Soovitame alustada seadmete alamhulkadega ja kui te nende juurutuste suhtes kindlustunde saate, lisame täiendavaid seadmete alamhulki. Alamhulga määratlemiseks võib kasutada mitut tegurit, sh testitulemusi näidisseadmetes ja organisatsiooni struktuuris jne. 

Otsus selle kohta, millised seadmed juurutate, on teie otsustada. Siin on loetletud mõned võimalikud strateegiad. 

• Suur seadmepark: alustage ülalkirjeldatud abivahenditest, mis on seotud kõige levinumate seadmetega, mida haldate. Samal ajal keskenduge vähem levinud seadmetele, mida haldab teie asutus. Testige väikseid näidisseadmeid ja kui testimine õnnestub, juurutage ülejäänud sama tüüpi seadmetes. Kui testimisel tekib probleeme, uurige probleemi põhjust ja tehke kindlaks parandusetapid. Võite kaaluda ka seadmestike klasse, millel on suurem väärtus, ning alustada testimist ja juurutamist, et tagada nende seadmete värskendatud kaitse varakult.

• Väikelaevastik, suur sort: Kui teie hallatav masinapark sisaldab suurt hulka masinaid, kus üksikute seadmete testimine oleks keelatud, kaaluge suurt tuginemist kahele ülalkirjeldatud abivahendile, eriti seadmetele, mis tõenäoliselt on turul levinud seadmed. Esmalt keskenduge seadmetele, mis on igapäevase töö jaoks kriitilise tähtsusega, testige ja juurutage seejärel. Jätkake kõrge prioriteediga seadmete loendi allapoole nihutamist, testimist ja juurutamist ning samal ajal laevastiku jälgimist, et kontrollida, kas abivahendid aitavad ülejäänud seadmetega.

Märkused. 

• Pöörake tähelepanu vanematele seadmetele, eriti seadmetele, mida tootja enam ei toeta. Kuigi püsivara peaks värskendustoiminguid õigesti tegema, ei pruugi mõni neist toimida. Kui püsivara ei tööta õigesti ja seadet enam ei toetata, võiksite seadme välja vahetada, et tagada turvaline algkäivituse kaitse kogu seadmepargis.

• Viimase 1-2 aasta jooksul toodetud uutel seadmetel võivad juba olla värskendatud serdid, kuid süsteemile ei pruugi olla rakendatud Windows UEFI CA 2023 allkirjastatud käivitushaldurit. Selle käivitushalduri rakendamine on iga seadme juurutamise viimane oluline etapp.

• Kui seade on värskenduste jaoks valitud, võib värskenduste lõpuleviimine veidi aega võtta. Prognoosite, et sertide rakendamiseks on aega 48 tundi ja üks või mitu taaskäivitamist.

Levinud probleemid ja soovitused

Selles juhendis kirjeldatakse üksikasjalikult secure Booti serdi värskendamise protsessi tööd ja esitatakse mõned juhised, et teha tõrkeotsingut, kui seadmete juurutamisel ilmnevad probleemid. Teabevärskendused lisatakse sellesse jaotisse vastavalt vajadusele.

Secure Booti serdi juurutamise tugi 

Secure Booti serdi värskenduste toetamiseks haldab Windows ajastatud toimingut, mida käitatakse kord 12 tunni jooksul. Tööülesanne otsib bitte töötlust vajavast registrivõtmest AvailableUpdates . Sertide juurutamisel kasutatavad huvipakkuvad bitid on järgmises tabelis. Veerg Tellimus näitab bittide töötlemise järjestust.

Iga bitti töötleb ajastatud sündmus ülaltoodud tabelis esitatud järjekorras.

Bittide edenemine peaks välja nägema selline: 

1. Algus: 0x5944

2. 0x0040 → 0x5904 (Rakendas Windows UEFI CA 2023 edukalt)

3. 0x0800 → 0x5104 (vajaduse korral rakendas Microsoft UEFI CA 2023)

4. 0x1000 → 0x4104 (rakendas vajaduse korral Microsoft Option ROM UEFI CA 2023)

5. 0x0004 → 0x4100 (Rakendas Microsoft Corporation KEK 2K CA 2023)

6. 0x0100 → 0x4000 (rakendas Windows UEFI CA 2023 allkirjastatud käivitushalduri)

Märkused.

• Kui bitiga seotud toiming on edukalt lõpule viidud, eemaldatakse see bitt võtmest AvailableUpdates .

• Kui üks neist toimingutest nurjub, logitakse sündmus ja toimingut proovitakse järgmisel ajastatud toimingu käitamisel uuesti sooritada.

• Kui bitt 0x4000 on määratud, siis seda ei tühjendata. Kui kõik muud bitid on töödeldud, määratakse AvailableUpdates registrivõtme väärtuseks 0x4000.

1. probleem: KEK värskendustõrge: seade värskendab secure Boot DB serdid, kuid ei edene pärast uue Võtme Exchange'i võtme serdi juurutamist Secure Boot KEK-i. 

Märkus Praegu selle probleemi ilmnemisel logitakse sündmuse ID: 1796 (vt Secure Boot DB ja DBX muutuja värskendussündmused). Selle konkreetse probleemi tähistamiseks antakse hiljem välja uus sündmus. 

Seadme registrivõtme AvailableUpdates väärtuseks on määratud 0x4104 ja see ei kustuta 0x0004 bitti isegi pärast mitme taaskäivitamise ja märkimisväärse aja möödumist. 

Probleem võib olla selles, et seadme jaoks pole OEM-i PK allkirjastatud KEK-i. OEM reguleerib seadme PK-t ja vastutab uue Microsoft KEK-serdi allkirjastamise ja Microsoftile tagastamise eest, et see kaasataks igakuistesse koondvärskendustesse. 

Kui ilmneb see tõrge, küsige oma OEM-ilt, kas nad on järginud Windowsi turvalise algkäivitusvõtme loomise ja haldamise juhistes kirjeldatud juhiseid.  

Probleem 2: püsivara tõrked: sertide värskenduste rakendamisel antakse serdid üle püsivarale, et rakendada Secure Boot DB või KEK muutujad. Mõnel juhul tagastab püsivara tõrke. 

Selle probleemi ilmnemisel logib Secure Boot sündmuse ID: 1795. Selle sündmuse kohta leiate teavet teemast Secure Boot DB ja DBX muutuja värskendussündmused. 

Soovitame kontrollida OEM-ilt, kas seadme jaoks on selle probleemi lahendamiseks saadaval püsivaravärskendus.