Izvorni datum objave: 26. lipnja 2025.
ID baze znanja: 5062710
Što je sigurno pokretanje?
Sigurno pokretanje sigurnosna je značajka u firmveru jedinstvenog sučelja za proširivu opremu (UEFI) koja osigurava da se tijekom pokretanja (pokretanja) uređaja pokreće samo pouzdani softver. Funkcionira potvrđivanjem digitalnog potpisa predizdanja softvera u odnosu na skup pouzdanih digitalnih certifikata (poznatih i kao ustanova za izdavanje certifikata ili CA) pohranjenih u programske opreme uređaja. Kao industrijski standard, UEFI Secure Boot definira način na koji oprema platforme upravlja certifikatima, provjerava autentičnost programske opreme i kako se operacijski sustav (OS) sučelja s tim postupkom. Dodatne informacije o UEFI-ju i sigurnom pokretanju potražite u članku Sigurno pokretanje.
Sigurno pokretanje prvi je put uvedeno Windows 8 zaštitu od nove prijetnje predizdanja zlonamjernog softvera (poznate i kao bootkit) u to vrijeme. Kao dio inicijalizacije platforme, Sigurno pokretanje provjerava autentičnost modula programske opreme prije izvršavanja. Ti moduli obuhvaćaju upravljačke programe opreme za UEFI (kao što su ROM-ovi mogućnosti), učitavači pokretanja i aplikacije. Kao posljednji korak procesa sigurnog pokretanja, firmver provjerava smatra li sigurno pokretanje pouzdanim učitavatelj pokretanja. Zatim oprema prosljeđuje kontrolu učitavatelju pokretanja, koji za redom provjerava, učitava u memoriju i pokreće operacijski sustav Windows.
Sigurno pokretanje definira pouzdani kod putem pravilnika programske opreme postavljenog tijekom proizvodnje. Promjenama ovog pravilnika, kao što je dodavanje ili opoziv certifikata, upravlja hijerarhija ključeva. Ta hijerarhija započinje ključem platforme (PK), koji je obično u vlasništvu proizvođača hardvera, a zatim ključem za pristupni ključ (KEK) (koji se naziva i ključem sustava Exchange), koji može obuhvaćati Microsoft KEK i druge OEM KEK-ove. Baza podataka dopuštenih potpisa (DB) i baza podataka za nedopuštene potpise (DBX) određuju koji se kod može pokrenuti u UEFI okruženju prije pokretanja OS-a. Baza podataka obuhvaća certifikate kojima upravlja Microsoft i OEM, dok Microsoft ažurira DBX najnovijim opomenom. Svaki entitet s KEK-om može ažurirati DB i DBX.
Certifikati za sigurno pokretanje sustava Windows istječe 2026.
Budući da je Windows uveo podršku za sigurno pokretanje, svi uređaji sa sustavom Windows imaju isti skup Microsoftovih certifikata u KEK i DB. Ti se izvorni certifikati približavaju datumu isteka i to utječe na vaš uređaj ako ima neku od navedenih verzija certifikata. Da biste nastavili koristiti Windows i primali redovita ažuriranja za konfiguraciju sigurnog pokretanja, morat ćete ažurirati te certifikate.
Nazivlje
-
Ne, ne, ne. Ključ pristupnice
-
CA: Ustanova za izdavanje potvrda
-
DB: Baza podataka potpisa sigurnog pokretanja
-
DbX: Baza podataka s opozvanim potpisom sigurnog pokretanja
|
Potvrda o istječe |
Rok trajanja |
Novi certifikat |
Mjesto za pohranu |
Svrha |
|
Microsoft Corporation KEK CA 2011 |
Lipnja 2026. |
Microsoft Corporation KEK CA 2023 |
Pohranjeno u KEK-u |
Potpisuje ažuriranja za DB i DBX. |
|
Microsoft Windows Production PCA 2011 |
Listopad 2026. |
Windows UEFI CA 2023 |
Pohranjeno u DB-u |
Koristi se za potpisivanje učitavača pokretanja sustava Windows. |
|
Microsoft UEFI CA 2011* |
Lipnja 2026. |
Microsoft UEFI CA 2023 |
Pohranjeno u DB-u |
Potpisuje učitavače za pokretanje drugih proizvođača i EFI aplikacije. |
|
Microsoft UEFI CA 2011* |
Lipnja 2026. |
Microsoft Option ROM CA 2023 |
Pohranjeno u DB-u |
Potpisuje MOGUĆNOST DRUGIH PROIZVOĐAČA ROM-ova |
*Tijekom obnove certifikata microsoft Corporation UEFI CA 2011 dva certifikata razdvajaju potpisivanje učitavača pokretanja od potpisivanja MOGUĆNOSTI ROM-a. To omogućuje bolju kontrolu nad pouzdanim sustavom. Na primjer, sustavi kojima je potrebna mogućnost pouzdanosti ROM-ovi mogu dodati Microsoft Option ROM UEFI CA 2023 bez dodavanja pouzdanosti za učitavanja pokretanja drugih proizvođača.
Microsoft je izdao ažurirane certifikate radi osiguravanja kontinuiteta zaštite od sigurnog pokretanja na uređajima sa sustavom Windows. Microsoft će upravljati postupkom ažuriranja za te nove certifikate na značajnom dijelu uređaja sa sustavom Windows. Osim toga, nudit ćemo detaljne smjernice tvrtkama ili ustanovama koje upravljaju vlastitim ažuriranjima uređaja.
Važno Kada Istekne 2011 CA, uređaji sa sustavom Windows koji nemaju nove certifikate verzije 2023 više ne mogu primati sigurnosne popravke za komponente predizdanja koje ugrožavaju sigurnost pokretanja sustava Windows.
Poziv na akciju
Možda ćete morati poduzeti radnje da biste bili sigurni da će uređaj sa sustavom Windows ostati siguran kada certifikati istječu u 2026. I UEFI Secure Boot DB i KEK moraju se ažurirati odgovarajućim novim verzijama certifikata 2023. Dodatne informacije o novim certifikatima potražite u članku Smjernice za stvaranje i upravljanje ključem za sigurno pokretanje sustava Windows.
Važno Bez ažuriranja uređaji sa sustavom Windows s omogućenim sigurnim pokretanjem riskiraju ne primanje sigurnosnih ažuriranja ili pouzdane nove učitavače pokretanja koji će ugroziti i servisnost i sigurnost.
Akcije će se razlikovati ovisno o vrsti uređaja sa sustavom Windows. Odaberite na izborniku s lijeve strane za vrstu uređaja i određenu akciju koju morate poduzeti.
