תפוגת אישור אתחול מאובטח של Windows ועדכונים של רשות אישורים

מהו אתחול מאובטח?

אתחול מאובטח הוא תכונת אבטחה בקושחה מבוססת ממשק קושחה מורחב מאוחד (UEFI) שמסייעת להבטיח שרק תוכנה מהימנה פועלת במהלך רצף אתחול (התחלה) של מכשיר. היא פועלת על-ידי אימות החתימה הדיגיטלית של תוכנת קדם-אתחול מול קבוצה של אישורים דיגיטליים מהימנים (המכונה גם רשות אישורים או רשות אישורים) המאוחסנת בקושחה של המכשיר. כתקן בתעשייה, אתחול מאובטח של UEFI מגדיר כיצד קושחת הפלטפורמה מנהלת את האישורים, מאמתת קושחה ואת האופן שבו ממשקי מערכת ההפעלה (OS) משתמשים בתהליך זה. לקבלת פרטים נוספים על UEFI ואתחול מאובטח, ראה אתחול מאובטח.

אתחול מאובטח הוצג לראשונה ב- Windows 8 כדי להגן מפני תוכנות זדוניות מתפתחות של אתחול מראש (שנקראות גם bootkit) בשלב זה. כחלק מאתחול הפלטפורמה, אתחול מאובטח מאמת מודולי קושחה לפני הביצוע. מודולים אלה כוללים מנהלי התקנים של קושחה של UEFI (כגון Option ROMs), טוען אתחול ויישומים. כצעד הסופי של תהליך האתחול המאובטח, הקושחה מאמתת אם אתחול מאובטח נותן אמון בטען האתחול. לאחר מכן, הקושחה מעבירה את השליטה לטעינה של האתחול, אשר מאמת, נטען בזיכרון ומתחילה את מערכת ההפעלה Windows.

אתחול מאובטח מגדיר קוד מהימן באמצעות מדיניות קושחה שהוגדרה במהלך הייצור. שינויים במדיניות זו, כגון הוספה או ביטול של אישורים, נשלטים על-ידי הירארכיה של מפתחות. הירארכיה זו מתחילה במפתח הפלטפורמה (PK), בדרך כלל בבעלות יצרן החומרה ואחריו מפתח הרשמת המפתח (KEK) (המכונה גם מפתח חילופי מפתח), שעשוי לכלול KEK של Microsoft ו- OEM KEK אחרים. מסד הנתונים של החתימות המותרות (DB) ומסד הנתונים של חתימות אסורות (DBX) קובעים איזה קוד יכול לפעול בסביבת UEFI לפני הפעלת מערכת ההפעלה. מסד הנתונים כולל אישורים המנוהלות על-ידי Microsoft וה- OEM, בעוד ש- DBX מתעדכן על-ידי Microsoft עם הביטוליים האחרונים. כל ישות עם KEK יכולה לעדכן את מסד הנתונים ואת DBX.

ההשפעה של תפוגת אישור אתחול מאובטח

Microsoft מעדכנת את אישורי האתחול המאובטח שהונפקו במקור ב- 2011 כדי להבטיח שמכשירי Windows ימשיכו לאמת את תוכנת האתחול המהימנה. תוקפם של אישורים ישנים אלה מתחיל לפוג ביוני 2026. מכשירים שלא קיבלו את האישורים החדשים יותר של 2023 ימשיכו להתחיל לפעול כרגיל, ועדכונים רגילים של Windows ימשיכו להיות מותקנים. עם זאת, מכשירים אלה לא יוכלו עוד לקבל הגנות אבטחה חדשות עבור תהליך האתחול המוקדם, כולל עדכונים ל- Windows Boot Manager, מסדי נתונים של אתחול מאובטח, רשימות ביטולים או צמצום סיכונים עבור פגיעויות ברמת האתחול שהתגלו לאחרונה. 

עם הזמן, פעולה זו מגבילה את ההגנה של המכשיר מפני איומים מתפתחים ועל עשויים להשפיע על תרחישים שמסתמנים על אמון באתחול מאובטח, כגון הקשת BitLocker או עומסי אתחול של ספקים חיצוניים. רוב מכשירי Windows יקבלו את האישורים המעודכנים באופן אוטומטי, וספקי ציוד מקורי רבים מספקים עדכוני קושחה בעת הצורך. שמירה על עדכניות המכשיר שלך בעדכונים אלה מבטיחה שהוא יוכל להמשיך לקבל את ערכת הגנות האבטחה המלאה שתוכננה לספק אתחול מאובטח.

תוקפם של אישורי אתחול מאובטח של Windows פג ב- 2026

מאז ש- Windows הציג תמיכה באתחול מאובטח, כל המכשירים המבוססים על Windows נשאו את אותה ערכה של אישורי Microsoft ב- KEK וב- DB. אישורים מקוריים אלה קרובים לתאריך התפוגה שלהם, והמכשיר שלך מושפע אם יש לו אחת מגרסאות האישור הרשומות. כדי להמשיך להפעיל את Windows ולקבל עדכונים רגילים עבור תצורת האתחול המאובטח שלך, יהיה עליך לעדכן אישורים אלה.

מינוח

• אני לא יכול לעשות את זה. מפתח הרשמה

• Ca: רשות אישורים

• Db: מסד נתונים של חתימת אתחול מאובטח

• Dbx: מסד נתונים של חתימה בוטל של אתחול מאובטח

Microsoft פרסמה אישורים מעודכנים כדי להבטיח המשכיות של הגנת אתחול מאובטח במכשירי Windows. Microsoft תנהל את תהליך העדכון עבור אישורים חדשים אלה בחלק משמעותי של מכשירי Windows. בנוסף, נציע הדרכה מפורטת עבור ארגונים שמנהלים את עדכוני המכשיר שלהם.

קריאה לפעולה

ייתכן שתצטרך לבצע פעולה כדי להבטיח שמכשיר Windows יישאר מאובטח כאשר תוקפם של האישורים יפוג ב- 2026. יש לעדכן גם את UEFI Secure Boot DB וגם את KEK בגירסאות האישור החדשות המתאימות של 2023. לקבלת מידע נוסף אודות האישורים החדשים, ראה הדרכה ליצירה וניהול של מפתח אתחול מאובטח של Windows. 

הפעולות שלך ישתנו בהתאם לסוג מכשיר Windows שברשותך. בחר מהתפריט בצד ימין עבור סוג המכשיר ופעולה ספציפית שעליך לבצע.