Windowsi turvalise algkäivituse serdi aegumine ja CA värskendused

Mis on Secure Boot?

Turvaline käivitamine on ühtse laiendatava püsivaraliidese (UEFI) põhise püsivara turbefunktsioon, mis aitab tagada, et seadme käivitamisjärjestuses töötab ainult usaldusväärne tarkvara. Selle tööks kontrollitakse eelkäivituse tarkvara digitaalallkirja seadme püsivarale salvestatud usaldusväärsete digitaalsertide (ehk sertimiskeskuse või CA) komplekti suhtes. Valdkonna standardina määratleb UEFI secure Boot selle, kuidas platvormi püsivara haldab serte, autendib püsivara ja kuidas operatsioonisüsteem (OS) selle protsessiga liidestub. UEFI ja turvalise algkäivituse kohta leiate lisateavet teemast Turvaline algkäivitus.

Secure Boot võeti esmakordselt kasutusele Windows 8, et kaitsta sel ajal esilekerkiva algkäivituseelse ründevara (nimetatakse ka bootkitiks) ohu eest. Platvormi lähtestamise osana autendib Secure Boot püsivaramooduleid enne käivitamist. Need moodulid hõlmavad UEFI püsivara draivereid (nt Option ROM-id), algkäivituse laadijaid ja rakendusi. Secure Booti protsessi viimase etapina kontrollib püsivara, kas Secure Boot usaldab alglaadijat. Seejärel edastab püsivara juhtimise alglaadijale, mis omakorda kinnitab, laadib mällu ja käivitab Windowsi operatsioonisüsteemi.

Secure Boot määratleb usaldusväärse koodi läbi püsivarapoliitika komplekti tootmise ajal. Selle poliitika muudatusi (nt sertide lisamist või tühistamist) reguleerib võtmehierarhia. See hierarhia algab platvormivõtmega (PK), mille omanik on tavaliselt riistvaratootja, millele järgneb võtme registreerimisvõti (KEK) (ehk Võtmevahetusvõti), mis võib sisaldada Microsoft KEK-i ja muid OEM-i KEK-e. Lubatud allkirjaandmebaas (DB) ja keelatud allkirjaandmebaas (DBX) määratlevad, millist koodi saab UEFI-keskkonnas enne operatsioonisüsteemi käivitamist käitada. DB sisaldab Microsofti ja OEM-i hallatavaid serte, samas kui Microsoft värskendab DBX-i uusimate tühistamiste abil. Kõik KEK-iga olemid saavad värskendada andmebaasi ja DBX-i.

Windowsi turvalise algkäivituse serdid aeguvad 2026. aastal

Kuna Windows võttis kasutusele turvalise algkäivituse toe, on kõik Windowsi-põhised seadmed kandnud sama komplekti Microsofti serte KEK-is ja DB-s. Nende algsete sertide aegumiskuupäev on lähenemas ja teie seadet mõjutab see, kui sellel on mõni loetletud serdiversioonidest. Windowsi käitamise jätkamiseks ja turvalise algkäivituse konfiguratsiooni regulaarsete värskenduste saamiseks peate neid serte värskendama.

Terminoloogia

• KEK: Key Enrollment Key

• CA: Sertimiskeskus

• DB: Secure Boot Signature Database

• DBX: Secure Boot Revoked Signature Database

Microsoft on välja andnud värskendatud serdid, et tagada Windowsi seadmetes turvalise algkäivituse kaitse järjepidevus. Microsoft haldab nende uute sertide värskendusprotsessi märkimisväärses osas Windowsi seadmetes. Lisaks pakume üksikasjalikke juhiseid organisatsioonidele, kes haldavad oma seadmevärskendusi.

Tähtis Kui 2011. aasta CAd aeguvad, ei saa Windowsi seadmed, millel pole uusi 2023 serte, enam turbeparandusi Windowsi algkäivituse turvet ohustavate algkäivituse komponentide jaoks.

Üleskutse

On võimalik, et peate võtma meetmeid tagamaks, et teie Windows-seade jääb turvaliseks, kui serdid aeguvad 2026. aastal. Nii UEFI secure Boot DB kui ka KEK tuleb värskendada vastavate uute 2023 serdiversioonidega. Uute sertide kohta leiate lisateavet Windowsi turvalise algkäivitusvõtme loomise ja haldamise juhistest. 

Tähtis Ilma värskendusteta riskivad turvalise käivitamise toega Windowsi seadmed turbevärskenduste saamisest või uute algkäivituslaadurite usaldamisest, mis ohustab nii teenindust kui ka turvet.

Teie toimingud varieeruvad olenevalt sellest, millist tüüpi Windows-seade teil on. Valige vasakul asuvast menüüst seadme tüüp ja konkreetsed toimingud, mida peate tegema.