Megjegyzés
- Eredeti közzétételi dátum: 2025. június 26.
- Tudásbáziscikk azonosítója: 5062710
Módosítási napló
| Dátum módosítása | Módosítás leírása |
|---|---|
| 2026. május 18. |
|
| 2026. május 5. |
|
| Február 3, 2026 |
|
| 2025. november 10. | Az "Új tanúsítvány" alatt két elírás javítva:
|
Mi az a biztonságos rendszerindítás?
A biztonságos rendszerindítás az Unified Extensible Firmware Interface (UEFI) alapú belső vezérlőprogram biztonsági szolgáltatása, amely segít biztosítani, hogy csak megbízható szoftverek fussanak az eszköz rendszerindítási (indítási) folyamata során. A funkció ellenőrzi a rendszerindítás előtti szoftverek digitális aláírását az eszköz belső vezérlőprogramjában tárolt, megbízható digitális tanúsítványok (más néven hitelesítésszolgáltató vagy CA) összevetésével. Iparági szabványként az UEFI biztonságos rendszerindítás meghatározza, hogy a platform belső vezérlőprogramja hogyan kezeli a tanúsítványokat, hitelesíti a belső vezérlőprogramot, és hogy az operációs rendszer (OS) hogyan kapcsolódik ehhez a folyamathoz. Az UEFI-vel és a biztonságos rendszerindítással kapcsolatos további információkért lásd: Biztonságos rendszerindítás.
A biztonságos rendszerindítást először a Windows 8 rendszerben vezették be, hogy védelmet nyújtson a rendszerindítás előtti kártevő (más néven bootkit) elleni védelem érdekében. A platform inicializálásának részeként a biztonságos rendszerindítás a végrehajtás előtt hitelesíti a belső vezérlőprogram-modulokat. Ezek a modulok magukban foglalják az UEFI belső vezérlőprogram-illesztőprogramokat (például az Option ROM-okat), a rendszertöltőket és az alkalmazásokat. A biztonságos rendszerindítási folyamat utolsó lépéseként a belső vezérlőprogram ellenőrzi, hogy a biztonságos rendszerindítás megbízik-e a rendszertöltőben. Ezután a belső vezérlőprogram átadja az irányítást a rendszertöltőnek, amely viszont ellenőrzi, betölti a memóriába és elindítja a Windows operációs rendszert.
A biztonságos rendszerindítás a gyártás során beállított belső vezérlőprogram-házirenden keresztül határozza meg a megbízható kódot. A házirend módosításait, például a tanúsítványok hozzáadását vagy visszavonását kulcshierarchia szabályozza. Ez a hierarchia a jellemzően a hardver gyártójának tulajdonában lévő platformkulccsal (PK) kezdődik, amelyet a kulcsigénylési kulccsal (KEK) (más néven kulcscserekulccsal is ismert) követ, amely tartalmazhat egy Microsoft KEK és más OEM KEK kulcsokat. Az engedélyezett aláírási adatbázis (DB) és a nem engedélyezett aláírási adatbázis (DBX) határozza meg, hogy melyik kód futhat az UEFI-környezetben az operációs rendszer indítása előtt. Az adatbázis a Microsoft és az OEM által kezelt tanúsítványokat tartalmazza, míg a DBX-et a Microsoft frissíti a legújabb visszavonásokkal. Bármely KEK-kel rendelkező entitás frissítheti az adatbázist és a DBX-et.
A biztonságos rendszerindítási tanúsítvány lejáratának hatása
A Microsoft frissíti az eredetileg 2011-ben kibocsátott biztonságos rendszerindítási tanúsítványokat, hogy a windowsos eszközök továbbra is ellenőrizzék a megbízható rendszerindító szoftvereket. Ezek a régebbi tanúsítványok 2026 júniusában kezdenek lejárni. Azok az eszközök, amelyek nem kapták meg az újabb, 2023-as tanúsítványokat, továbbra is a szokásos módon indulnak el és működnek, és a szokásos Windows-frissítések továbbra is települnek. Ezek az eszközök azonban a továbbiakban nem kapnak új biztonsági védelmet a korai rendszerindítási folyamathoz, beleértve a Windows rendszerindítás-kezelő frissítéseit, a biztonságos rendszerindítási adatbázisokat, a visszavonási listákat vagy az újonnan felfedezett rendszerindítási szintű biztonsági rések megoldásait.
Idővel ez korlátozza az eszköz védelmét a felmerülő fenyegetésekkel szemben, és hatással lehet a biztonságos rendszerindítási megbízhatóságra támaszkodó forgatókönyvekre, például a BitLocker-korlátozásra vagy harmadik féltől származó rendszerbetöltőkre. A legtöbb windowsos eszköz automatikusan megkapja a frissített tanúsítványokat, és számos OEM szükség esetén biztosít frissítéseket a belső vezérlőprogramjához. Ha naprakészen tartja eszközét ezekkel a frissítésekkel, azzal biztosítja, hogy továbbra is megkapja a biztonságos rendszerindítás által biztosított összes biztonsági védelmet.
A 2026-ban lejáró Windows biztonságos rendszerindítási tanúsítványok
Amióta a Windows bevezette a biztonságos rendszerindítás támogatását, az összes Windows-alapú eszköz ugyanazokat a Microsoft-tanúsítványokat hordozza a KEK és az DB eszközökben. Ezek az eredeti tanúsítványok hamarosan lejárati dátumhoz közelednek, és az eszköz a felsorolt tanúsítványverziók bármelyikének használata esetén érintett a probléma. Ha továbbra is futtatni szeretné a Windowst, és rendszeres frissítéseket szeretne kapni a biztonságos rendszerindítási konfigurációhoz, frissítenie kell ezeket a tanúsítványokat.
Terminológia
- KEK: Kulcsbeléptetési kulcs
- CA: Hitelesítésszolgáltató
- DB: Biztonságos rendszerindítási aláírási adatbázis
- DBX: Biztonságos rendszerindítás visszavont aláírás-adatbázis
| Lejáró tanúsítvány | Lejárat dátuma | Új tanúsítvány | Tárolási hely | Rendeltetés |
|---|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | 2026. június 24. | Microsoft Corporation KEK 2K CA 2023 | KK-ben tárolva | Aláírja a DB és a DBX frissítéseit. |
| Microsoft Windows Production PCA 2011 | 2026. október 19. | Windows UEFI CA 2023 | Adatbázisban tárolva | A rendszer a Windows rendszertöltő aláírásához használja. |
| Microsoft UEFI CA 2011*** | 2026. június 27. | Microsoft UEFI CA 2023 | Adatbázisban tárolva | Aláírja a harmadik féltől származó rendszertöltőket és az EFI-alkalmazásokat. |
| Microsoft UEFI CA 2011*** | 2026. június 27. | Microsoft Option ROM UEFI CA 2023 | Adatbázisban tárolva | Aláírja a harmadik féltől származó opciós ROM-okat |
Megjegyzés
*A Microsoft Corporation UEFI CA 2011 tanúsítványának megújítása során két tanúsítvány választja el a rendszertöltő aláírását az option ROM aláírásától. Ez pontosabban szabályozza a rendszer megbízhatóságát. Például azok a rendszerek, amelyeknek meg kell bízniuk az opciós ROM-okban, hozzáadhatják a Microsoft Option ROM UEFI CA 2023-at anélkül, hogy megbízhatóságot adnának a külső rendszertöltőkhöz.
A Microsoft frissített tanúsítványokat bocsátott ki, hogy biztosítsa a biztonságos rendszerindítás elleni védelem folytonosságát a windowsos eszközökön. Az új tanúsítványok frissítési folyamatát a Microsoft fogja kezelni a windowsos eszközök jelentős részén. Emellett részletes útmutatást nyújtunk azoknak a szervezeteknek, amelyek saját maguk kezelik eszközfrissítéseiket.
Cselekvésre való felhívás
Előfordulhat, hogy lépéseket kell tennie annak érdekében, hogy a windowsos eszköze biztonságban maradjon, amikor a tanúsítványok 2026-ban lejárnak. Mind az UEFI Secure Boot DB-t, mind a KEK-et frissíteni kell a megfelelő új 2023-as tanúsítványverziókkal. Az új tanúsítványokkal kapcsolatos további információkért lásd: Útmutató a Windows biztonságos rendszerindítási kulcs létrehozásához és kezeléséhez.
A műveletek a windowsos eszköz típusától függően változnak. A bal oldali menüben válassza ki az eszköz típusát és az elvégzendő műveletet.
Microsoft ügyféltámogatási források
A Microsoft ügyfélszolgálata felkereséséhez lásd:
Microsoft ügyfélszolgálata, majd kattintson a Windows elemre.
Támogatás vállalati verzióhoz , majd a Létrehozás gombra kattintva hozzon létre egy új támogatási kérést.
Az új támogatási kérelem létrehozása után így kell kinéznie: