Biztonságos rendszerindítási tanúsítvány frissítései: Útmutatás informatikai szakembereknek és szervezeteknek

Biztonságos rendszerindítási tanúsítvány lejárata

A hitelesítésszolgáltatók (CA-k) konfigurációja, más néven a Microsoft által a biztonságos rendszerindítási infrastruktúra részeként biztosított tanúsítványok változatlanok maradtak Windows 8 és Windows Server 2012 óta. Ezeket a tanúsítványokat a belső vezérlőprogram Signature Database (DB) és Key Exchange Key (KEK) változói tárolják. A Microsoft ugyanazt a három tanúsítványt adta meg az eredeti berendezésgyártó (OEM) ökoszisztémájában, hogy belefoglalja az eszköz belső vezérlőprogramját. Ezek a tanúsítványok támogatják a Biztonságos rendszerindítást a Windowsban, és külső operációs rendszerek (OS) is használják őket. A Microsoft a következő tanúsítványokat biztosítja:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

Mi változik?

Az aktuális Microsoft Secure Boot-tanúsítványok (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) 2026 júniusától lejárnak, és 2026 októberéig lejárnak. 

Új 2023-tanúsítványokat vezetünk be a biztonságos rendszerindítás biztonságának és folytonosságának fenntartása érdekében. Az eszközöknek frissíteniük kell a 2023-ra a 2011-ben kiadott tanúsítványok lejárta előtt, vagy nem lesznek megfelelőek és veszélyben vannak.  

A 2012 óta gyártott Windows-eszközök rendelkezhetnek a tanúsítványok lejáró verzióival, amelyeket frissíteni kell. 

Terminológia

Tanúsítványok

A biztonságos rendszerindítás állapotának ellenőrzése a teljes flottában: Engedélyezve van a biztonságos rendszerindítás? 

A 2012 óta gyártott eszközök többsége támogatja a Biztonságos rendszerindítást, és a Biztonságos rendszerindítás engedélyezve van. Annak ellenőrzéséhez, hogy az eszköz biztonságos rendszerindítása engedélyezve van-e, tegye az alábbiak egyikét: 

• Grafikus felhasználói felület metódusa: Lépjen a Start > Settings > Privacy & Security >Windows biztonság > Device Security területre. Az Eszközbiztonság területen a Biztonságos rendszerindítás szakasznak azt kell jeleznie, hogy a Biztonságos rendszerindítás be van kapcsolva.

• Parancssori metódus: A PowerShellben egy emelt szintű parancssorba írja be a Confirm-SecureBootUEFI parancsot, majd nyomja le az Enter billentyűt. A parancsnak True értéket kell visszaadnia, jelezve, hogy a biztonságos rendszerindítás be van kapcsolva.

Egy eszközflotta nagy léptékű üzemelő példányaiban az informatikai szakemberek által használt felügyeleti szoftvernek ellenőriznie kell a biztonságos rendszerindítás engedélyezését. 

A Biztonságos rendszerindítás állapot ellenőrzésének módszere például a Microsoft Intune által felügyelt eszközökön egy egyéni Intune-megfelelőségi szkript létrehozása és üzembe helyezése. Az Intune megfelelőségi beállításairól az Egyéni megfelelőségi beállítások használata Linux és Windows rendszerű eszközökhöz a Microsoft Intune-nal című témakörben található.  

A frissítések üzembe helyezése

A biztonságos rendszerindítási tanúsítvány frissítéseinek többféleképpen is megcélozhatók az eszközök. A telepítés részleteit, beleértve a beállításokat és az eseményeket, a dokumentum későbbi részében tárgyaljuk. Ha egy eszközt frissítésekre céloz meg, az eszközön létrejön egy beállítás, amely jelzi, hogy az eszköznek meg kell kezdenie az új tanúsítványok alkalmazásának folyamatát. Egy ütemezett feladat 12 óránként fut az eszközön, és észleli, hogy az eszköz a frissítéseket célozza. A tevékenység tevékenységének vázlata a következő:

1. A Rendszer a Windows UEFI CA 2023-at alkalmazza az adatbázisra.

2. Ha az eszköz adatbázisában szerepel a Microsoft Corporation UEFI CA 2011, akkor a feladat a Microsoft Option ROM UEFI CA 2023 és a Microsoft UEFI CA 2023 hitelesítésszolgáltatót alkalmazza az adatbázisra.

3. A feladat ezután hozzáadja a Microsoft Corporation KEK 2K CA 2023-at.

4. Végül az ütemezett feladat frissíti a Windows rendszerindítás-kezelőjét a Windows UEFI CA 2023 által aláírtra. A Windows észleli, hogy újraindításra van szükség a rendszerindítás-kezelő alkalmazása előtt. A rendszerindítás-kezelő frissítése késleltetve lesz, amíg az újraindítás természetes módon meg nem történik (például ha havi frissítéseket alkalmaz), majd a Windows ismét megpróbálja alkalmazni a rendszerindítás-kezelő frissítését.

A fenti lépések mindegyikét sikeresen végre kell hajtani, mielőtt az ütemezett tevékenység a következő lépésre lép. A folyamat során eseménynaplók és egyéb állapotok lesznek elérhetők az üzembe helyezés monitorozásához. A monitorozásról és az eseménynaplókról alább talál további információt.  

A biztonságos rendszerindítási tanúsítványok frissítése lehetővé teszi a 2023-ra vonatkozó rendszerindítás-kezelő jövőbeli frissítését, amely biztonságosabb. A Boot Manager bizonyos frissítései a jövőbeli kiadásokban lesznek.

Üzembe helyezési lépések 

• Előkészítés: Leltározási és tesztelési eszközök.

• Belső vezérlőprogrammal kapcsolatos szempontok

• Monitorozás: Ellenőrizze a monitorozás működését és a flotta alapkonfigurációját.

• Üzembe helyezés: A frissítések céleszközei, kezdve a kis részhalmazokkal, és a sikeres tesztek alapján bővülnek.

• Szervizelés: A naplókkal és a szállítói támogatással kapcsolatos problémák kivizsgálása és megoldása.

Előkészítés 

Leltárhardver és belső vezérlőprogram. Készítsen reprezentatív eszközmintát a rendszer gyártója, a rendszermodell, a BIOS verzió/dátum, az alaplapi termék verziója stb. alapján, és tesztelje a frissítéseket ezen mintákon a széles körű üzembe helyezés előtt.  Ezek a paraméterek gyakran elérhetők a rendszerinformációkban (MSINFO32). 

Az információk gyűjtésére szolgáló PowerShell-parancsok például a következők:

Belső vezérlőprogrammal kapcsolatos szempontok

Az új Biztonságos rendszerindítási tanúsítványok eszközflottán való üzembe helyezéséhez az eszköz belső vezérlőprogramjának szerepet kell játszania a frissítés befejezésében. Bár a Microsoft arra számít, hogy a legtöbb eszköz belső vezérlőprogramja a várt módon fog teljesíteni, az új tanúsítványok üzembe helyezése előtt gondos tesztelésre van szükség.

Vizsgálja meg a hardverleltárt, és hozzon létre egy kisméretű, reprezentatív eszközmintát az alábbi egyedi feltételek alapján, például: 

• Gyártó

• Modell száma

• Belső vezérlőprogram verziója

• OEM alaplapi verzió stb.

Mielőtt széles körben üzembe helyeznénk a flottában lévő eszközökre, javasoljuk, hogy tesztelje a tanúsítványfrissítéseket reprezentatív mintaeszközökön (például gyártó, modell, belső vezérlőprogram verziója által meghatározott módon), hogy a frissítések feldolgozása sikeres legyen. Ajánlott útmutatás az egyes egyedi kategóriákhoz tesztelendő mintaeszközök számához legalább 4.

Ez segít az üzembe helyezési folyamatba vetett bizalom kiépítésében, és segít elkerülni a szélesebb flottára gyakorolt váratlan hatásokat. 

Bizonyos esetekben belső vezérlőprogram-frissítésre lehet szükség a biztonságos rendszerindítási tanúsítványok sikeres frissítéséhez. Ezekben az esetekben javasoljuk, hogy ellenőrizze az eszköz oem-jével, hogy elérhető-e frissített belső vezérlőprogram.

Windows virtualizált környezetekben

A virtuális környezetben futó Windows esetében két módszer létezik az új tanúsítványok hozzáadására a biztonságos rendszerindítási belső vezérlőprogram változóihoz:  

• A virtuális környezet létrehozója (AWS, Azure, Hyper-V, VMware stb.) frissítheti a környezetet, és belefoglalhatja az új tanúsítványokat a virtualizált belső vezérlőprogramba. Ez az új virtualizált eszközök esetében működik.

• A virtuális gépen hosszú távon futó Windows esetén a frissítések a Windowson keresztül, más eszközökhöz hasonlóan alkalmazhatók, ha a virtualizált belső vezérlőprogram támogatja a biztonságos rendszerindítási frissítéseket.

Monitorozás és üzembe helyezés 

Javasoljuk, hogy az üzembe helyezés előtt kezdje el az eszközfigyelést, hogy a monitorozás megfelelően működjön, és előre tudja, hogy a flotta állapota megfelelő-e. A monitorozási lehetőségeket az alábbiakban tárgyaljuk. 

A Microsoft több módszert is kínál a Biztonságos rendszerindítási tanúsítvány frissítéseinek üzembe helyezéséhez és monitorozásához.

Automatizált üzembe helyezési segítség 

A Microsoft két telepítési segítséget nyújt. Ezek a segítségek hasznosak lehetnek az új tanúsítványok flotta számára történő üzembe helyezésében. Mindkét segítséghez diagnosztikai adatokra van szükség.

• Konfidenciagyűjtőkkel rendelkező kumulatív frissítések lehetősége: A Microsoft automatikusan belefoglalhatja a megbízható eszközcsoportokat a havi frissítésekbe az eddig megosztott diagnosztikai adatok alapján, olyan rendszerek és szervezetek számára, amelyek nem oszthatják meg a diagnosztikai adatokat. Ehhez a lépéshez nem szükséges engedélyezni a diagnosztikai adatokat.

  • Azon szervezetek és rendszerek számára, amelyek megoszthatják a diagnosztikai adatokat, biztosítják a Microsoft számára annak láthatóságát és megbízhatóságát, hogy az eszközök sikeresen üzembe helyezhetik a tanúsítványokat. További információ a diagnosztikai adatok engedélyezéséről: A Windows diagnosztikai adatainak konfigurálása a szervezetben. Minden egyedi eszközhöz "gyűjtőket" hozunk létre (a gyártót, az alaplap verzióját, a belső vezérlőprogram gyártóját, a belső vezérlőprogram verzióját és a további adatpontokat tartalmazó attribútumok alapján). Minden gyűjtő esetében több eszközön figyeljük a sikerességi bizonyítékokat. Miután elegendő sikeres frissítést láttunk, és nem történt hiba, a gyűjtőt "nagy megbízhatóságúnak" tekintjük, és belefoglaljuk az adatokat a havi összegző frissítésekbe. Ha egy nagy megbízhatóságú gyűjtőben havi frissítéseket alkalmaz egy eszközre, a Windows automatikusan alkalmazza a tanúsítványokat a belső vezérlőprogram UEFI biztonságos rendszerindítási változóira.

  • A megbízható gyűjtők közé tartoznak azok az eszközök, amelyek megfelelően dolgozták fel a frissítéseket. Természetesen nem minden eszköz szolgáltat diagnosztikai adatokat, és ez korlátozhatja a Microsoft bizalmát abban, hogy az eszköz megfelelően tudja feldolgozni a frissítéseket.

  • Ez a segítség alapértelmezés szerint engedélyezve van a megbízható eszközökön, és eszközspecifikus beállítással letiltható. További információkat a jövőbeli Windows-kiadásokban osztunk meg.

• Szabályozott funkciók bevezetése (CFR):  Ha engedélyezve van a diagnosztikai adatok használata, engedélyezze az eszközöket a Microsoft által felügyelt üzembe helyezéshez.

  • A szabályozott funkciók bevezetése (CFR) a szervezeti flották ügyféleszközeivel is használható. Ehhez az eszközöknek el kell küldeniük a szükséges diagnosztikai adatokat a Microsoftnak, és jelezniük kell, hogy az eszköz engedélyezi a CFR-t az eszközön. Az alábbiakban részletesen ismertetjük, hogyan lehet bejelentkezni.

  • A Microsoft felügyeli az új tanúsítványok frissítési folyamatát azokon a Windows-eszközökön, ahol diagnosztikai adatok érhetők el, és az eszközök részt vesznek a szabályozott funkciók bevezetésében (CFR). Bár a CFR segíthet az új tanúsítványok üzembe helyezésében, a szervezetek nem hagyatkozhatnak a CFR-re a flottáik szervizeléséhez – ehhez az ebben a dokumentumban ismertetett lépéseket kell követnie az automatizált segítségekkel nem rendelkező üzembehelyezési módszerekről szóló szakaszban.

  • Korlátozások: Több oka is lehet annak, hogy a CFR nem működik az Ön környezetében. Például:

    • Nem érhetők el diagnosztikai adatok, vagy a diagnosztikai adatok nem használhatók a CFR-telepítés részeként.

    • Az eszközök nem érhetők el a Windows 11 támogatott ügyfélverzióiban, és kiterjesztett biztonsági frissítésekkel (ESU) Windows 10.

Az automatizált segítség által nem lefedett üzembehelyezési módszerek

Válassza ki a környezetének megfelelő metódust. Kerülje a keverési módszereket ugyanazon az eszközön: 

• Beállításkulcsok: Az üzembe helyezés szabályozása és az eredmények monitorozása.
  Több beállításkulcs is rendelkezésre áll a tanúsítványok üzembe helyezésének viselkedésének szabályozásához és az eredmények monitorozásához. Emellett két kulcs van a fent leírt üzembehelyezési segédletek kiválasztásához és kikapcsolásához. További információ a beállításkulcsokról: Beállításkulcs Frissítések biztonságos rendszerindításhoz – Windows-eszközök it által felügyelt frissítésekkel.

• Csoportházirend objektumok (GPO): Beállítások kezelése; figyelő beállításjegyzéken és eseménynaplókon keresztül.
  A Microsoft egy későbbi frissítésben támogatást nyújt a biztonságos rendszerindítási frissítések kezeléséhez a Csoportházirend használatával. Vegye figyelembe, hogy mivel a Csoportházirend a beállításokat tartalmazza, az eszköz állapotának figyelését alternatív módszerekkel kell elvégezni, beleértve a beállításkulcsok és az eseménynapló bejegyzéseinek figyelését.

• WinCS (Windows konfigurációs rendszer) parancssori felület: Parancssori eszközök használata tartományhoz csatlakoztatott ügyfelekhez.
  A tartományi rendszergazdák a Windows operációs rendszer frissítéseiben található Windows konfigurációs rendszert (WinCS) is használhatják a biztonságos rendszerindítási frissítések tartományhoz csatlakoztatott Windows-ügyfeleken és -kiszolgálókon történő központi telepítéséhez. Parancssori segédprogramokból áll (egy hagyományos végrehajtható és egy PowerShell-modulból is), amelyek lekérdezik és helyileg alkalmazzák a biztonságos rendszerindítási konfigurációkat egy gépen. További információ: Windows Configuration System (WinCS) API-k a biztonságos rendszerindításhoz.

• Microsoft Intune/Configuration Manager: PowerShell-szkriptek üzembe helyezése. A konfigurációs szolgáltató (CSP) egy későbbi frissítésben lesz elérhető, amely lehetővé teszi az Intune-beli üzembe helyezést.

Eseménynaplók monitorozása

Két új eseményt biztosítunk a biztonságos rendszerindítási tanúsítvány frissítéseinek üzembe helyezéséhez. Ezeket az eseményeket részletesen a Biztonságos rendszerindítási adatbázis és a DBX változófrissítési eseményei ismertetik: 

• Eseményazonosító: 1801
  Ez az esemény egy hibaesemény, amely azt jelzi, hogy a frissített tanúsítványok nincsenek alkalmazva az eszközre. Ez az esemény az eszközre vonatkozó néhány részletet ad meg, beleértve az eszközattribútumokat is, amelyek segítenek korrelálni, hogy mely eszközök frissítésére van szükség.

• Eseményazonosító: 1808
  Ez az esemény egy tájékoztató esemény, amely azt jelzi, hogy az eszközön a szükséges új biztonságos rendszerindítási tanúsítványok vannak alkalmazva az eszköz belső vezérlőprogramjára.

Üzembehelyezési stratégiák 

A kockázat minimalizálása érdekében ne egyszerre, hanem szakaszokban helyezzen üzembe biztonságos rendszerindítási frissítéseket. Kezdje az eszközök egy kis részhalmazával, ellenőrizze az eredményeket, majd bontsa ki a elemet további csoportokra. Azt javasoljuk, hogy kezdje az eszközök részhalmazaival, és ahogy magabiztosan üzembe helyezi őket, vegye fel az eszközök további részhalmazait. Több tényező is használható annak meghatározására, hogy mi kerül egy részhalmazba, beleértve a mintaeszközökön és a szervezeti struktúrán végzett teszteredményeket stb. 

Ön dönti el, hogy mely eszközöket helyezi üzembe. Néhány lehetséges stratégia itt található. 

• Nagy eszközflotta: először használja a fent leírt segítségeket a leggyakrabban felügyelt eszközökhöz. Ezzel párhuzamosan a szervezet által felügyelt ritkábban használt eszközökre összpontosítson. Tesztelje a kis méretű mintaeszközöket, és ha a tesztelés sikeres, helyezze üzembe az azonos típusú többi eszközön. Ha a tesztelés problémákat okoz, vizsgálja meg a probléma okát, és határozza meg a javítási lépéseket. Érdemes lehet megfontolni az olyan eszközosztályokat is, amelyek nagyobb értékűek a flottában, és megkezdeni a tesztelést és az üzembe helyezést annak biztosítása érdekében, hogy ezek az eszközök már korábban frissítették a védelmet.

• Kis flotta, nagy fajta: Ha az Ön által kezelt flotta számos olyan gépet tartalmaz, amelyeken az egyes eszközök tesztelése tiltó jellegű lenne, fontolja meg erősen a fent leírt két segítség használatát, különösen az olyan eszközök esetében, amelyek valószínűleg gyakori eszközök a piacon. Először azokra az eszközökre összpontosítson, amelyek kritikus fontosságúak a mindennapi működéshez, tesztelje és telepítse azokat. Folytassa a magas prioritású eszközök listájának áthelyezését, a tesztelést és az üzembe helyezést, miközben figyeli a flottát, hogy meggyőződjön arról, hogy a segítők a többi eszköz esetében is segítenek.

Jegyzetek 

• Ügyeljen a régebbi eszközökre, különösen az olyan eszközökre, amelyeket a gyártó már nem támogat. Bár a belső vezérlőprogramnak megfelelően kell végrehajtania a frissítési műveleteket, előfordulhat, hogy néhány nem. Azokban az esetekben, amikor a belső vezérlőprogram nem működik megfelelően, és az eszköz már nem támogatott, fontolja meg az eszköz cseréjét a biztonságos rendszerindítási védelem biztosítása érdekében a teljes flottában.

• Előfordulhat, hogy az elmúlt 1–2 évben gyártott új eszközök már rendelkeznek a frissített tanúsítványokkal, de előfordulhat, hogy a Windows UEFI CA 2023 aláírt rendszerindítás-kezelője nincs alkalmazva a rendszerre. A rendszerindítás-kezelő alkalmazása kritikus utolsó lépés az egyes eszközök üzembe helyezésében.

• Miután kiválasztott egy eszközt a frissítésekhez, eltarthat egy ideig, amíg a frissítések befejeződnek. Becsülje meg, hogy a tanúsítványok alkalmazása 48 órát és egy vagy több újraindítást igényel.

Gyakori problémák és javaslatok

Ez az útmutató részletesen ismerteti a biztonságos rendszerindítási tanúsítvány frissítési folyamatát, és bemutatja a hibaelhárítás néhány lépését, ha problémák merülnek fel az eszközök üzembe helyezése során. Frissítések ehhez a szakaszhoz szükség szerint hozzá lesz adva.

Biztonságos rendszerindítási tanúsítvány üzembe helyezésének támogatása 

A Biztonságos rendszerindítási tanúsítvány frissítéseinek támogatása érdekében a Windows egy ütemezett feladatot tart fenn, amely 12 óránként egyszer fut. A feladat biteket keres az AvailableUpdates beállításkulcsban, amelyeket feldolgozásra szorul. A tanúsítványok üzembe helyezéséhez használt bitek az alábbi táblázatban találhatók. Az Order oszlop a bitek feldolgozásának sorrendjét jelzi.

Az egyes biteket az ütemezett esemény dolgozza fel a fenti táblázatban megadott sorrendben.

A biteken keresztüli előrehaladásnak a következőképpen kell kinéznie: 

1. Kezdés: 0x5944

2. 0x0040 → 0x5904 (a Windows UEFI CA 2023 sikeresen alkalmazva)

3. 0x0800 → 0x5104 (szükség esetén a Microsoft UEFI CA 2023-at alkalmazta)

4. 0x1000 → 0x4104 (Szükség esetén a Microsoft Option ROM UEFI CA 2023-at alkalmazta)

5. 0x0004 → 0x4100 (A Microsoft Corporation KEK 2K CA 2023 alkalmazása)

6. 0x0100 → 0x4000 (A Windows UEFI CA 2023 által aláírt rendszerindítás-kezelőt alkalmazta)

Jegyzetek

• Miután a bithez társított művelet sikeresen befejeződött, a bit törlődik az AvailableUpdates kulcsból.

• Ha ezen műveletek egyike sikertelen, a rendszer naplóz egy eseményt, és az ütemezett feladat következő futtatásakor újrapróbálkozott a művelettel.

• Ha a bit 0x4000 be van állítva, az nem törlődik. Az összes többi bit feldolgozása után az AvailableUpdates beállításkulcs értéke 0x4000 lesz.

1. probléma: KEK-frissítési hiba: Az eszköz frissíti a tanúsítványokat a biztonságos rendszerindítási adatbázisra, de nem halad előre az új kulcscsere-kulcstanúsítvány biztonságos rendszerindítási KEK-ben való üzembe helyezésén. 

Megjegyzés Jelenleg, amikor ez a probléma jelentkezik, a rendszer naplózza az 1796-os eseményazonosítót (lásd: Biztonságos rendszerindítási adatbázis és DBX változófrissítési események). A későbbi kiadásban egy új esemény jelenik meg, amely jelzi ezt a problémát. 

Az eszköz AvailableUpdates beállításkulcsa 0x4104 van beállítva, és nem törli a 0x0004 bitet, még akkor sem, ha több újraindítás és jelentős idő telt el. 

A probléma az lehet, hogy nincs az oem PK által aláírt KEK az eszközhöz. Az oem vezérli az eszköz PK-ját, és felelős az új Microsoft KEK-tanúsítvány aláírásáért és a Microsoftnak való visszaküldéséért, hogy bele lehessen foglalni a havi összegző frissítésekbe. 

Ha ezt a hibát tapasztalja, kérdezze meg az oem-et, hogy követte-e a Windows biztonságos rendszerindítási kulcs létrehozásával és kezelésével kapcsolatos útmutatóban ismertetett lépéseket.  

2. probléma: Belső vezérlőprogrammal kapcsolatos hibák: A tanúsítványfrissítések alkalmazásakor a rendszer átadja a tanúsítványokat a belső vezérlőprogramnak, hogy azok a Secure Boot DB- vagy KEK-változókra vonatkozzanak. Bizonyos esetekben a belső vezérlőprogram hibát ad vissza. 

Ha ez a probléma jelentkezik, a Biztonságos rendszerindítás naplózza az 1795-ös eseményazonosítót. Az eseményről további információt a Biztonságos rendszerindítási adatbázis és a DBX változófrissítési események című témakörben talál. 

Javasoljuk, hogy ellenőrizze az OEM-rel, hogy elérhető-e belsővezérlőprogram-frissítés az eszközhöz a probléma megoldásához.