Pembaruan Sertifikat Boot Aman: Panduan untuk profesional dan organisasi TI

Memverifikasi status Boot Aman di seluruh armada Anda: Apakah Boot Aman diaktifkan? 

Sebagian besar perangkat yang diproduksi sejak 2012 memiliki dukungan untuk Secure Boot dan dikirim dengan Secure Boot diaktifkan. Untuk memverifikasi bahwa perangkat telah mengaktifkan Boot Aman, lakukan salah satu hal berikut: 

• Metode GUI: Buka MulaiPengaturan > > Keamanan & Privasi > keamanan Keamanan Windows > Keamanan Perangkat. Di bawah Keamanan perangkat, bagian Boot aman harus menunjukkan bahwa Boot Aman aktif.

• Metode Baris Perintah: Di prompt perintah yang ditinggikan di PowerShell, ketik Konfirmasi-SecureBootUEFI lalu tekan Enter. Perintah harus mengembalikan True yang menunjukkan bahwa Boot Aman aktif.

Dalam penyebaran skala besar untuk armada perangkat, perangkat lunak manajemen yang sedang digunakan oleh profesional TI perlu menyediakan pemeriksaan untuk mengaktifkan Boot Aman. 

Misalnya, metode untuk memeriksa status Boot Aman di perangkat yang dikelola Intune Microsoft adalah dengan membuat dan menyebarkan skrip kepatuhan kustom Intune. pengaturan kepatuhan Intune dibahas dalam Menggunakan pengaturan kepatuhan kustom untuk Linux dan perangkat Windows dengan Microsoft Intune.  

Jika Boot Aman tidak diaktifkan, Anda dapat melewati langkah-langkah pembaruan di bawah ini karena tidak berlaku.

Bagaimana pembaruan disebarkan

Ada beberapa cara untuk menargetkan perangkat untuk pembaruan sertifikat Boot Aman. Detail penyebaran, termasuk pengaturan dan acara, akan dibahas nanti dalam dokumen ini. Saat Anda menargetkan perangkat untuk pembaruan, pengaturan dibuat pada perangkat untuk menunjukkan bahwa perangkat harus memulai proses penerapan sertifikat baru. Tugas terjadwal berjalan di perangkat setiap 12 jam dan mendeteksi bahwa perangkat telah ditargetkan untuk pembaruan. Kerangka fungsi tugas adalah sebagai berikut:

1. Windows UEFI CA 2023 diterapkan ke DB.

2. Jika perangkat memiliki Microsoft Corporation UEFI CA 2011 dalam DB, maka tugas tersebut menerapkan Microsoft Option ROM UEFI CA 2023 dan Microsoft UEFI CA 2023 ke DB.

3. Tugas kemudian menambahkan Microsoft Corporation KEK 2K CA 2023.

4. Akhirnya, tugas terjadwal memperbarui manajer boot Windows ke yang ditandatangani oleh Windows UEFI CA 2023. Windows akan mendeteksi bahwa perlu dimulai ulang sebelum pengelola boot dapat diterapkan. Pembaruan manajer boot akan tertunda hingga mulai ulang terjadi secara alami (seperti ketika pembaruan bulanan diterapkan), lalu Windows akan mencoba lagi untuk menerapkan pembaruan manajer boot.

Setiap langkah di atas harus berhasil diselesaikan sebelum tugas terjadwal berpindah ke langkah berikutnya. Selama proses ini, log kejadian dan status lainnya akan tersedia untuk membantu memantau penyebaran. Detail selengkapnya tentang pemantauan dan log kejadian disediakan di bawah ini.  

Memperbarui Sertifikat Boot Aman memungkinkan pembaruan di masa mendatang ke Boot Manager 2023, yang lebih Aman. Pembaruan spesifik di Boot Manager akan dirilis di masa mendatang.

Langkah-langkah penyebaran 

• Persiapan: Inventori dan perangkat uji.

• Pertimbangan firmware

• Pemantauan: Verifikasi cara kerja pemantauan dan garis dasar armada Anda.

• Penyebaran: Perangkat target untuk pembaruan, dimulai dengan subset kecil dan diperluas berdasarkan pengujian yang berhasil.

• Perbaikan: Selidiki dan atasi masalah apa pun menggunakan log dan dukungan vendor.

Persiapan 

Perangkat keras dan firmware inventarisasi. Buat sampel perangkat yang representatif berdasarkan Produsen Sistem, Model Sistem, Versi/Tanggal BIOS, versi Produk BaseBoard, dll., dan uji pembaruan pada perangkat tersebut sebelum penyebaran luas.  Parameter ini umumnya tersedia dalam informasi sistem (MSINFO32). Gunakan contoh perintah PowerShell yang disertakan untuk memeriksa status pembaruan Boot Aman dan perangkat inventarisasi di seluruh organisasi Anda.

Sampel skrip Pengumpulan Data Inventori Boot Aman

Salin dan tempelkan contoh skrip ini dan ubah sesuai kebutuhan untuk lingkungan Anda: Sampel skrip Pengumpulan Data Boot Aman.

Tingkat Kepercayaan Boot Aman

Langkah pertama jika Boot Aman diaktifkan adalah memeriksa apakah ada kejadian tertunda yang baru saja diperbarui atau dalam proses memperbarui sertifikat Boot Aman. Minat tertentu adalah peristiwa terbaru di tahun 1801 dan 1808. Kejadian ini dijelaskan secara mendetail dalam kejadian pembaruan variabel DB Boot Aman dan DBX. Periksa juga bagian Pemantauan dan penyebaran tentang bagaimana acara dapat memperlihatkan status pembaruan yang tertunda.  

Langkah berikutnya adalah dengan menginventarisasi perangkat di seluruh organisasi Anda. Kumpulkan detail berikut dengan perintah PowerShell untuk menyusun sampel representatif: 

Pertimbangan firmware

Menyebarkan sertifikat Boot Aman baru ke armada perangkat Anda mengharuskan firmware perangkat memainkan peran dalam menyelesaikan pembaruan. Meskipun Microsoft mengharapkan bahwa sebagian besar firmware perangkat akan berfungsi seperti yang diharapkan, pengujian yang cermat diperlukan sebelum menyebarkan sertifikat baru.

Periksa inventarisasi perangkat keras Anda dan susun sampel perangkat yang kecil dan representatif berdasarkan kriteria unik berikut ini seperti: 

• Produsen

• Nomor Model

• Versi Firmware

• OEM versi Baseboard, dll.

Sebelum menyebarkan secara luas ke perangkat di armada Anda, kami menyarankan agar Anda menguji pembaruan sertifikat pada perangkat sampel yang representatif (seperti yang ditentukan oleh faktor-faktor seperti produsen, model, versi firmware) untuk memastikan bahwa pembaruan berhasil diproses. Panduan yang direkomendasikan tentang jumlah perangkat sampel yang akan diuji untuk setiap kategori unik adalah 4 atau lebih.

Ini akan membantu membangun kepercayaan diri dalam proses penyebaran Anda dan membantu menghindari dampak yang tidak terjawab pada armada Anda yang lebih luas. 

Dalam beberapa kasus, pembaruan firmware mungkin diperlukan untuk berhasil memperbarui sertifikat Boot Aman. Dalam kasus ini, sebaiknya periksa dengan OEM perangkat Anda untuk melihat apakah firmware yang diperbarui tersedia.

Windows di lingkungan virtual

Untuk Windows yang berjalan dalam lingkungan virtual, ada dua metode untuk menambahkan sertifikat baru ke variabel firmware Boot Aman:  

• Pembuat lingkungan virtual (AWS, Azure, Hyper-V, VMware, dll.) dapat menyediakan pembaruan untuk lingkungan dan menyertakan sertifikat baru dalam firmware virtual. Ini akan berfungsi untuk perangkat virtual baru.

• Untuk Windows yang menjalankan jangka panjang dalam VM, pembaruan dapat diterapkan melalui Windows seperti perangkat lainnya, jika firmware virtual mendukung pembaruan Boot Aman.

Pemantauan dan penyebaran 

Kami menyarankan Agar Anda memulai pemantauan perangkat sebelum penyebaran untuk memastikan bahwa pemantauan berfungsi dengan benar dan Anda memiliki pengertian yang baik untuk keadaan armada terlebih dahulu. Opsi pemantauan dibahas di bawah ini. 

Microsoft menyediakan beberapa metode untuk menyebarkan dan memantau pembaruan sertifikat Boot Aman.

Bantuan penyebaran otomatis 

Microsoft menyediakan dua bantuan penyebaran. Bantuan ini mungkin berguna dalam membantu penyebaran sertifikat baru untuk armada Anda. Hanya bantuan Peluncuran Fitur Terkontrol yang memerlukan data diagnostik.

• Opsi untuk pembaruan kumulatif dengan wadah kepercayaan diri: Microsoft dapat secara otomatis menyertakan grup perangkat kepercayaan tinggi dalam pembaruan bulanan berdasarkan data diagnostik yang dibagikan hingga saat ini, untuk menguntungkan sistem dan organisasi yang tidak dapat berbagi data diagnostik. Langkah ini tidak memerlukan data diagnostik untuk diaktifkan.

  • Untuk organisasi dan sistem yang dapat berbagi data diagnostik, ini memberi Microsoft visibilitas dan kepercayaan diri bahwa perangkat dapat berhasil menyebarkan sertifikat. Informasi selengkapnya tentang mengaktifkan data diagnostik tersedia di: Mengonfigurasi data diagnostik Windows di organisasi Anda. Kami membuat "bucket" untuk setiap perangkat unik (seperti yang didefinisikan oleh atribut yang mencakup produsen, versi motherboard, produsen firmware, versi firmware, dan titik data tambahan). Untuk setiap wadah, kami memantau bukti keberhasilan melalui beberapa perangkat. Setelah melihat pembaruan yang cukup berhasil dan tidak ada kegagalan, kami akan mempertimbangkan bucket "kepercayaan diri tinggi" dan menyertakan data tersebut dalam pembaruan kumulatif bulanan. Ketika pembaruan bulanan diterapkan pada perangkat dalam wadah kepercayaan tinggi, Windows akan menerapkan sertifikat secara otomatis ke variabel Boot Aman UEFI dalam firmware.

  • Bucket kepercayaan tinggi mencakup perangkat yang memproses pembaruan dengan benar. Secara alami, tidak semua perangkat akan menyediakan data diagnostik, dan hal ini dapat membatasi kepercayaan Microsoft pada kemampuan perangkat untuk memproses pembaruan dengan benar.

  • Bantuan ini diaktifkan secara default untuk perangkat dengan kepercayaan tinggi dan dapat dinonaktifkan dengan pengaturan khusus perangkat. Informasi selengkapnya akan dibagikan dalam rilis Windows mendatang.

• Peluncuran Fitur Terkontrol (CFR):  Pilih perangkat untuk penyebaran yang dikelola Microsoft jika data diagnostik diaktifkan.

  • Peluncuran Fitur Terkontrol (CFR, Controlled Feature Rollout) dapat digunakan dengan perangkat klien di armada organisasi. Hal ini mengharuskan perangkat mengirimkan data diagnostik yang diperlukan ke Microsoft dan telah mengisyaratkan bahwa perangkat tersebut memilih untuk mengizinkan CFR di perangkat. Detail tentang cara ikut serta dijelaskan di bawah ini.

  • Microsoft akan mengelola proses pembaruan untuk sertifikat baru ini di perangkat Windows di mana data diagnostik tersedia dan perangkat berpartisipasi dalam Peluncuran Fitur Terkontrol (CFR). Sementara CFR dapat membantu dalam penyebaran sertifikat baru, organisasi tidak akan dapat mengandalkan CFR untuk memulihkan armada mereka - itu akan memerlukan mengikuti langkah-langkah yang diuraikan dalam dokumen ini dalam bagian tentang metode Penyebaran yang tidak dicakup oleh bantuan otomatis.

  • Keterbatasan: Ada beberapa alasan bahwa CFR mungkin tidak berfungsi di lingkungan Anda. Contohnya:

    • Tidak ada data diagnostik yang tersedia atau data diagnostik tidak dapat digunakan sebagai bagian dari penyebaran CFR.

    • Perangkat tidak berada pada versi klien Windows 11 dan Windows 10 yang didukung dengan pembaruan keamanan yang diperpanjang (ESU).

Metode penyebaran yang tidak tercakup oleh bantuan otomatis

Pilih metode yang sesuai dengan lingkungan Anda. Hindari metode pencampuran pada perangkat yang sama: 

• Kunci registri: Mengontrol penyebaran dan hasil monitor.
  Ada beberapa kunci registri yang tersedia untuk mengontrol perilaku penyebaran sertifikat dan untuk memantau hasilnya. Selain itu, ada dua kunci untuk memilih masuk dan keluar dari bantuan penyebaran yang dijelaskan di atas. Untuk informasi selengkapnya tentang kunci registri, lihat Kunci Registri Updates untuk Boot Aman - perangkat Windows dengan pembaruan yang dikelola TI.

• Kebijakan Grup Objects (GPO): Kelola pengaturan; monitor melalui registri dan log kejadian.
  Microsoft akan menyediakan dukungan untuk mengelola pembaruan Boot Aman menggunakan Kebijakan Grup dalam pembaruan mendatang. Perhatikan bahwa karena Kebijakan Grup untuk pengaturan, memantau status perangkat harus dilakukan menggunakan metode alternatif termasuk pemantauan kunci registri dan entri log kejadian.

• WinCS (Windows Configuration System) CLI: Gunakan alat baris perintah untuk klien gabungan domain.
  Administrator domain dapat menggunakan Sistem Konfigurasi Windows (WinCS) yang disertakan dalam pembaruan WINDOWS OS untuk menyebarkan pembaruan Boot Aman di seluruh klien dan server Windows yang tergabung dalam domain. Ini terdiri dari serangkaian utilitas baris perintah (baik modul eksekusi tradisional dan PowerShell) ke kueri dan terapkan konfigurasi Boot Aman secara lokal ke mesin. Untuk informasi selengkapnya, lihat artikel berikut ini:

  • API Windows Configuration System (WinCS) untuk Boot Aman

  • Contoh Panduan Otomatisasi E2E Boot Aman

• Microsoft Intune/Configuration Manager: Menyebarkan skrip PowerShell. Penyedia Layanan Konfigurasi (CSP) akan disediakan dalam pembaruan mendatang untuk memungkinkan penyebaran menggunakan Intune.

Memantau Log Kejadian

Dua acara baru sedang disediakan untuk membantu menyebarkan pembaruan sertifikat Boot Aman. Kejadian ini dijelaskan secara mendetail dalam kejadian pembaruan variabel DB Boot Aman dan DBX: 

• ID Kejadian: 1801
  Kejadian ini adalah kejadian kesalahan yang menunjukkan bahwa sertifikat yang diperbarui belum diterapkan ke perangkat. Acara ini memberikan beberapa detail khusus untuk perangkat, termasuk atribut perangkat, yang akan membantu dalam mengkorelasi perangkat mana yang masih perlu diperbarui.

• ID Kejadian: 1808
  Kejadian ini adalah kejadian informasi yang menunjukkan bahwa perangkat memiliki sertifikat Boot Aman yang diperlukan yang diterapkan ke firmware perangkat.

Strategi penyebaran 

Untuk meminimalkan risiko, sebarkan pembaruan Boot Aman secara bertahap, bukan sekaligus. Mulai dengan subkumpulan kecil perangkat, validasi hasil, lalu perluas ke grup tambahan. Kami menyarankan agar Anda memulai dengan subset perangkat dan, saat Anda mendapatkan kepercayaan pada penyebaran tersebut, tambahkan subset perangkat tambahan. Beberapa faktor dapat digunakan untuk menentukan apa yang masuk ke dalam subset, termasuk hasil pengujian pada perangkat sampel dan struktur organisasi, dll. 

Keputusan tentang perangkat mana yang Anda sebarkan terserah Anda. Beberapa kemungkinan strategi tercantum di sini. 

• Armada perangkat besar: mulai dengan mengandalkan bantuan yang dijelaskan di atas untuk perangkat paling umum yang Anda kelola. Secara paralel, fokus pada perangkat yang kurang umum yang dikelola oleh organisasi Anda. Uji perangkat sampel kecil dan, jika pengujian berhasil, sebarkan ke perangkat lain dengan tipe yang sama. Jika pengujian menghasilkan masalah, selidiki penyebab masalah dan tentukan langkah-langkah perbaikan. Anda mungkin juga ingin mempertimbangkan kelas perangkat yang memiliki nilai lebih tinggi dalam armada Anda dan mulai menguji dan menyebarkan untuk memastikan bahwa perangkat tersebut telah memperbarui perlindungan sejak dini.

• Armada kecil, beragam: Jika armada yang Anda kelola berisi berbagai macam mesin di mana pengujian perangkat individual akan dilarang, pertimbangkan untuk sangat mengandalkan dua bantuan yang dijelaskan di atas, terutama untuk perangkat yang kemungkinan merupakan perangkat umum di pasar. Awalnya fokus pada perangkat yang penting untuk operasi sehari-hari, uji lalu sebarkan. Lanjutkan memindahkan daftar perangkat berprioritas tinggi, menguji dan menyebarkan sambil memantau armada untuk mengonfirmasi bahwa bantuan membantu dengan sisa perangkat.

Catatan 

• Perhatikan perangkat lama, terutama perangkat yang tidak lagi didukung oleh produsen. Meskipun firmware harus melakukan operasi pembaruan dengan benar, beberapa mungkin tidak. Dalam kasus di mana firmware tidak berfungsi dengan benar dan perangkat tidak lagi mendukung, pertimbangkan untuk mengganti perangkat untuk memastikan perlindungan Boot Aman di seluruh armada Anda.

• Perangkat baru yang diproduksi dalam 1-2 tahun terakhir mungkin sudah memiliki sertifikat yang diperbarui tetapi mungkin tidak memiliki manajer boot bertanda tangan Windows UEFI CA 2023 yang diterapkan pada sistem. Menerapkan manajer boot ini adalah langkah terakhir penting dalam penyebaran untuk setiap perangkat.

• Setelah perangkat dipilih untuk pembaruan, mungkin perlu beberapa waktu sebelum pembaruan selesai. Perkirakan 48 jam dan satu atau beberapa mulai ulang agar sertifikat dapat diterapkan.