Pembaruan Sertifikat Boot Aman: Panduan untuk profesional dan organisasi TI

Sertifikat Boot Aman kedaluwarsa

Konfigurasi otoritas sertifikat (CA), juga disebut sebagai sertifikat, yang disediakan oleh Microsoft sebagai bagian dari infrastruktur Boot Aman, tetap sama sejak Windows 8 dan Windows Server 2012. Sertifikat ini disimpan dalam variabel Signature Database (DB) dan Key Exchange Key (KEK) dalam firmware. Microsoft telah menyediakan tiga sertifikat yang sama di seluruh ekosistem produsen peralatan asli (OEM) untuk disertakan dalam firmware perangkat. Sertifikat ini mendukung Boot Aman di Windows dan juga digunakan oleh sistem operasi (OS) pihak ketiga. Sertifikat berikut ini disediakan oleh Microsoft:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

Apa yang berubah?

Sertifikat Boot Aman Microsoft saat ini (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) akan mulai kedaluwarsa mulai Juni 2026 dan akan kedaluwarsa pada Oktober 2026. 

Sertifikat 2023 baru sedang diluncurkan untuk menjaga keamanan dan kelangsungan Boot Aman. Perangkat harus memperbarui ke sertifikat 2023 sebelum sertifikat 2011 kedaluwarsa atau sertifikat tersebut akan kehabisan kepatuhan keamanan dan berisiko.  

Perangkat Windows yang diproduksi sejak 2012 mungkin memiliki versi sertifikat yang kedaluwarsa, yang harus diperbarui. 

Terminologi

Sertifikat

Memverifikasi status Boot Aman di seluruh armada Anda: Apakah Boot Aman diaktifkan? 

Sebagian besar perangkat yang diproduksi sejak 2012 memiliki dukungan untuk Secure Boot dan dikirim dengan Secure Boot diaktifkan. Untuk memverifikasi bahwa perangkat telah mengaktifkan Boot Aman, lakukan salah satu hal berikut: 

• Metode GUI: Buka MulaiPengaturan > > Keamanan & Privasi > keamanan Keamanan Windows > Keamanan Perangkat. Di bawah Keamanan perangkat, bagian Boot aman harus menunjukkan bahwa Boot Aman aktif.

• Metode Baris Perintah: Di prompt perintah yang ditinggikan di PowerShell, ketik Konfirmasi-SecureBootUEFI lalu tekan Enter. Perintah harus mengembalikan True yang menunjukkan bahwa Boot Aman aktif.

Dalam penyebaran skala besar untuk armada perangkat, perangkat lunak manajemen yang sedang digunakan oleh profesional TI perlu menyediakan pemeriksaan untuk mengaktifkan Boot Aman. 

Misalnya, metode untuk memeriksa status Boot Aman di perangkat yang dikelola Microsoft Intune adalah dengan membuat dan menyebarkan skrip kepatuhan kustom Intune. Pengaturan kepatuhan Intune dicakup dalam Menggunakan pengaturan kepatuhan kustom untuk perangkat Linux dan Windows dengan Microsoft Intune.  

Bagaimana pembaruan disebarkan

Ada beberapa cara untuk menargetkan perangkat untuk pembaruan sertifikat Boot Aman. Detail penyebaran, termasuk pengaturan dan acara, akan dibahas nanti dalam dokumen ini. Saat Anda menargetkan perangkat untuk pembaruan, pengaturan dibuat pada perangkat untuk menunjukkan bahwa perangkat harus memulai proses penerapan sertifikat baru. Tugas terjadwal berjalan di perangkat setiap 12 jam dan mendeteksi bahwa perangkat telah ditargetkan untuk pembaruan. Kerangka fungsi tugas adalah sebagai berikut:

1. Windows UEFI CA 2023 diterapkan ke DB.

2. Jika perangkat memiliki Microsoft Corporation UEFI CA 2011 dalam DB, maka tugas tersebut menerapkan Microsoft Option ROM UEFI CA 2023 dan Microsoft UEFI CA 2023 ke DB.

3. Tugas kemudian menambahkan Microsoft Corporation KEK 2K CA 2023.

4. Akhirnya, tugas terjadwal memperbarui manajer boot Windows ke yang ditandatangani oleh Windows UEFI CA 2023. Windows akan mendeteksi bahwa perlu dimulai ulang sebelum pengelola boot dapat diterapkan. Pembaruan manajer boot akan tertunda hingga mulai ulang terjadi secara alami (seperti ketika pembaruan bulanan diterapkan), lalu Windows akan mencoba lagi untuk menerapkan pembaruan manajer boot.

Setiap langkah di atas harus berhasil diselesaikan sebelum tugas terjadwal berpindah ke langkah berikutnya. Selama proses ini, log kejadian dan status lainnya akan tersedia untuk membantu memantau penyebaran. Detail selengkapnya tentang pemantauan dan log kejadian disediakan di bawah ini.  

Memperbarui Sertifikat Boot Aman memungkinkan pembaruan di masa mendatang ke Boot Manager 2023, yang lebih Aman. Pembaruan spesifik di Boot Manager akan dirilis di masa mendatang.

Langkah-langkah penyebaran 

• Persiapan: Inventori dan perangkat uji.

• Pertimbangan firmware

• Pemantauan: Verifikasi cara kerja pemantauan dan garis dasar armada Anda.

• Penyebaran: Perangkat target untuk pembaruan, dimulai dengan subset kecil dan diperluas berdasarkan pengujian yang berhasil.

• Perbaikan: Selidiki dan atasi masalah apa pun menggunakan log dan dukungan vendor.

Persiapan 

Perangkat keras dan firmware inventarisasi. Buat sampel perangkat yang representatif berdasarkan Produsen Sistem, Model Sistem, BIOS Versi/Tanggal, versi Produk BaseBoard, dll., dan uji pembaruan pada sampel tersebut sebelum penyebaran luas.  Parameter ini umumnya tersedia dalam informasi sistem (MSINFO32). 

Contoh perintah PowerShell untuk mengumpulkan informasi adalah:

Pertimbangan firmware

Menyebarkan sertifikat Boot Aman baru ke armada perangkat Anda mengharuskan firmware perangkat memainkan peran dalam menyelesaikan pembaruan. Meskipun Microsoft mengharapkan bahwa sebagian besar firmware perangkat akan berfungsi seperti yang diharapkan, pengujian yang cermat diperlukan sebelum menyebarkan sertifikat baru.

Periksa inventarisasi perangkat keras Anda dan susun sampel perangkat yang kecil dan representatif berdasarkan kriteria unik berikut ini seperti: 

• Produsen

• Nomor Model

• Versi Firmware

• OEM versi Baseboard, dll.

Sebelum menyebarkan secara luas ke perangkat di armada Anda, kami menyarankan agar Anda menguji pembaruan sertifikat pada perangkat sampel yang representatif (seperti yang ditentukan oleh faktor-faktor seperti produsen, model, versi firmware) untuk memastikan bahwa pembaruan berhasil diproses. Panduan yang direkomendasikan tentang jumlah perangkat sampel yang akan diuji untuk setiap kategori unik adalah 4 atau lebih.

Ini akan membantu membangun kepercayaan diri dalam proses penyebaran Anda dan membantu menghindari dampak yang tidak terjawab pada armada Anda yang lebih luas. 

Dalam beberapa kasus, pembaruan firmware mungkin diperlukan untuk berhasil memperbarui sertifikat Boot Aman. Dalam kasus ini, sebaiknya periksa dengan OEM perangkat Anda untuk melihat apakah firmware yang diperbarui tersedia.

Windows di lingkungan virtual

Untuk Windows yang berjalan dalam lingkungan virtual, ada dua metode untuk menambahkan sertifikat baru ke variabel firmware Boot Aman:  

• Pembuat lingkungan virtual (AWS, Azure, Hyper-V, VMware, dll.) dapat menyediakan pembaruan untuk lingkungan dan menyertakan sertifikat baru dalam firmware virtual. Ini akan berfungsi untuk perangkat virtual baru.

• Untuk Windows yang menjalankan jangka panjang dalam VM, pembaruan dapat diterapkan melalui Windows seperti perangkat lainnya, jika firmware virtual mendukung pembaruan Boot Aman.

Pemantauan dan penyebaran 

Kami menyarankan Agar Anda memulai pemantauan perangkat sebelum penyebaran untuk memastikan bahwa pemantauan berfungsi dengan benar dan Anda memiliki pengertian yang baik untuk keadaan armada terlebih dahulu. Opsi pemantauan dibahas di bawah ini. 

Microsoft menyediakan beberapa metode untuk menyebarkan dan memantau pembaruan sertifikat Boot Aman.

Bantuan penyebaran otomatis 

Microsoft menyediakan dua bantuan penyebaran. Bantuan ini mungkin berguna dalam membantu penyebaran sertifikat baru untuk armada Anda. Kedua bantuan memerlukan data diagnostik.

• Opsi untuk pembaruan kumulatif dengan wadah kepercayaan diri: Microsoft dapat secara otomatis menyertakan grup perangkat kepercayaan tinggi dalam pembaruan bulanan berdasarkan data diagnostik yang dibagikan hingga saat ini, untuk menguntungkan sistem dan organisasi yang tidak dapat berbagi data diagnostik. Langkah ini tidak memerlukan data diagnostik untuk diaktifkan.

  • Untuk organisasi dan sistem yang dapat berbagi data diagnostik, ini memberi Microsoft visibilitas dan kepercayaan diri bahwa perangkat dapat berhasil menyebarkan sertifikat. Informasi selengkapnya tentang mengaktifkan data diagnostik tersedia di: Mengonfigurasi data diagnostik Windows di organisasi Anda. Kami membuat "bucket" untuk setiap perangkat unik (seperti yang didefinisikan oleh atribut yang mencakup produsen, versi motherboard, produsen firmware, versi firmware, dan titik data tambahan). Untuk setiap wadah, kami memantau bukti keberhasilan melalui beberapa perangkat. Setelah melihat pembaruan yang cukup berhasil dan tidak ada kegagalan, kami akan mempertimbangkan bucket "kepercayaan diri tinggi" dan menyertakan data tersebut dalam pembaruan kumulatif bulanan. Ketika pembaruan bulanan diterapkan pada perangkat dalam wadah kepercayaan tinggi, Windows akan menerapkan sertifikat secara otomatis ke variabel Boot Aman UEFI dalam firmware.

  • Bucket kepercayaan tinggi mencakup perangkat yang memproses pembaruan dengan benar. Secara alami, tidak semua perangkat akan menyediakan data diagnostik, dan hal ini dapat membatasi kepercayaan Microsoft pada kemampuan perangkat untuk memproses pembaruan dengan benar.

  • Bantuan ini diaktifkan secara default untuk perangkat dengan kepercayaan tinggi dan dapat dinonaktifkan dengan pengaturan khusus perangkat. Informasi selengkapnya akan dibagikan dalam rilis Windows mendatang.

• Peluncuran Fitur Terkontrol (CFR):  Pilih perangkat untuk penyebaran yang dikelola Microsoft jika data diagnostik diaktifkan.

  • Peluncuran Fitur Terkontrol (CFR, Controlled Feature Rollout) dapat digunakan dengan perangkat klien di armada organisasi. Hal ini mengharuskan perangkat mengirimkan data diagnostik yang diperlukan ke Microsoft dan telah mengisyaratkan bahwa perangkat tersebut memilih untuk mengizinkan CFR di perangkat. Detail tentang cara ikut serta dijelaskan di bawah ini.

  • Microsoft akan mengelola proses pembaruan untuk sertifikat baru ini di perangkat Windows di mana data diagnostik tersedia dan perangkat berpartisipasi dalam Peluncuran Fitur Terkontrol (CFR). Sementara CFR dapat membantu dalam penyebaran sertifikat baru, organisasi tidak akan dapat mengandalkan CFR untuk memulihkan armada mereka - itu akan memerlukan mengikuti langkah-langkah yang diuraikan dalam dokumen ini dalam bagian tentang metode Penyebaran yang tidak dicakup oleh bantuan otomatis.

  • Keterbatasan: Ada beberapa alasan bahwa CFR mungkin tidak berfungsi di lingkungan Anda. Contohnya:

    • Tidak ada data diagnostik yang tersedia atau data diagnostik tidak dapat digunakan sebagai bagian dari penyebaran CFR.

    • Perangkat tidak berada pada versi klien Windows 11 dan Windows 10 yang didukung dengan pembaruan keamanan yang diperpanjang (ESU).

Metode penyebaran yang tidak tercakup oleh bantuan otomatis

Pilih metode yang sesuai dengan lingkungan Anda. Hindari metode pencampuran pada perangkat yang sama: 

• Kunci registri: Mengontrol penyebaran dan hasil monitor.
  Ada beberapa kunci registri yang tersedia untuk mengontrol perilaku penyebaran sertifikat dan untuk memantau hasilnya. Selain itu, ada dua kunci untuk memilih masuk dan keluar dari bantuan penyebaran yang dijelaskan di atas. Untuk informasi selengkapnya tentang kunci registri, lihat Kunci Registri Updates untuk Boot Aman - perangkat Windows dengan pembaruan yang dikelola TI.

• Kebijakan Grup Objects (GPO): Kelola pengaturan; monitor melalui registri dan log kejadian.
  Microsoft akan menyediakan dukungan untuk mengelola pembaruan Boot Aman menggunakan Kebijakan Grup dalam pembaruan mendatang. Perhatikan bahwa karena Kebijakan Grup untuk pengaturan, memantau status perangkat harus dilakukan menggunakan metode alternatif termasuk pemantauan kunci registri dan entri log kejadian.

• WinCS (Windows Configuration System) CLI: Gunakan alat baris perintah untuk klien gabungan domain.
  Administrator domain dapat menggunakan Sistem Konfigurasi Windows (WinCS) yang disertakan dalam pembaruan WINDOWS OS untuk menyebarkan pembaruan Boot Aman di seluruh klien dan server Windows yang tergabung dalam domain. Ini terdiri dari serangkaian utilitas baris perintah (baik modul eksekusi tradisional dan PowerShell) ke kueri dan terapkan konfigurasi Boot Aman secara lokal ke mesin. Untuk informasi selengkapnya, lihat API Windows Configuration System (WinCS) untuk Boot Aman.

• Microsoft Intune/Configuration Manager: Menyebarkan skrip PowerShell. Penyedia Layanan Konfigurasi (CSP) akan disediakan di pembaruan mendatang untuk memungkinkan penyebaran menggunakan Intune.

Memantau Log Kejadian

Dua acara baru sedang disediakan untuk membantu menyebarkan pembaruan sertifikat Boot Aman. Kejadian ini dijelaskan secara mendetail dalam kejadian pembaruan variabel DB Boot Aman dan DBX: 

• ID Kejadian: 1801
  Kejadian ini adalah kejadian kesalahan yang menunjukkan bahwa sertifikat yang diperbarui belum diterapkan ke perangkat. Acara ini memberikan beberapa detail khusus untuk perangkat, termasuk atribut perangkat, yang akan membantu dalam mengkorelasi perangkat mana yang masih perlu diperbarui.

• ID Kejadian: 1808
  Kejadian ini adalah kejadian informasi yang menunjukkan bahwa perangkat memiliki sertifikat Boot Aman yang diperlukan yang diterapkan ke firmware perangkat.

Strategi penyebaran 

Untuk meminimalkan risiko, sebarkan pembaruan Boot Aman secara bertahap, bukan sekaligus. Mulai dengan subkumpulan kecil perangkat, validasi hasil, lalu perluas ke grup tambahan. Kami menyarankan agar Anda memulai dengan subset perangkat dan, saat Anda mendapatkan kepercayaan pada penyebaran tersebut, tambahkan subset perangkat tambahan. Beberapa faktor dapat digunakan untuk menentukan apa yang masuk ke dalam subset, termasuk hasil pengujian pada perangkat sampel dan struktur organisasi, dll. 

Keputusan tentang perangkat mana yang Anda sebarkan terserah Anda. Beberapa kemungkinan strategi tercantum di sini. 

• Armada perangkat besar: mulai dengan mengandalkan bantuan yang dijelaskan di atas untuk perangkat paling umum yang Anda kelola. Secara paralel, fokus pada perangkat yang kurang umum yang dikelola oleh organisasi Anda. Uji perangkat sampel kecil dan, jika pengujian berhasil, sebarkan ke perangkat lain dengan tipe yang sama. Jika pengujian menghasilkan masalah, selidiki penyebab masalah dan tentukan langkah-langkah perbaikan. Anda mungkin juga ingin mempertimbangkan kelas perangkat yang memiliki nilai lebih tinggi dalam armada Anda dan mulai menguji dan menyebarkan untuk memastikan bahwa perangkat tersebut telah memperbarui perlindungan sejak dini.

• Armada kecil, beragam: Jika armada yang Anda kelola berisi berbagai macam mesin di mana pengujian perangkat individual akan dilarang, pertimbangkan untuk sangat mengandalkan dua bantuan yang dijelaskan di atas, terutama untuk perangkat yang kemungkinan merupakan perangkat umum di pasar. Awalnya fokus pada perangkat yang penting untuk operasi sehari-hari, uji lalu sebarkan. Lanjutkan memindahkan daftar perangkat berprioritas tinggi, menguji dan menyebarkan sambil memantau armada untuk mengonfirmasi bahwa bantuan membantu dengan sisa perangkat.

Catatan 

• Perhatikan perangkat lama, terutama perangkat yang tidak lagi didukung oleh produsen. Meskipun firmware harus melakukan operasi pembaruan dengan benar, beberapa mungkin tidak. Dalam kasus di mana firmware tidak berfungsi dengan benar dan perangkat tidak lagi mendukung, pertimbangkan untuk mengganti perangkat untuk memastikan perlindungan Boot Aman di seluruh armada Anda.

• Perangkat baru yang diproduksi dalam 1-2 tahun terakhir mungkin sudah memiliki sertifikat yang diperbarui tetapi mungkin tidak memiliki manajer boot bertanda tangan Windows UEFI CA 2023 yang diterapkan pada sistem. Menerapkan manajer boot ini adalah langkah terakhir penting dalam penyebaran untuk setiap perangkat.

• Setelah perangkat dipilih untuk pembaruan, mungkin perlu beberapa waktu sebelum pembaruan selesai. Perkirakan 48 jam dan satu atau beberapa mulai ulang agar sertifikat dapat diterapkan.

Masalah dan rekomendasi umum

Panduan ini menjelaskan secara mendetail tentang cara kerja proses pembaruan sertifikat Boot Aman dan menyajikan beberapa langkah untuk memecahkan masalah jika masalah ditemui selama penyebaran ke perangkat. Updates ke bagian ini akan ditambahkan sesuai kebutuhan.

Dukungan penyebaran sertifikat Boot Aman 

Untuk mendukung pembaruan sertifikat Boot Aman, Windows mempertahankan tugas terjadwal yang berjalan sekali setiap 12 jam. Tugas mencari bit dalam kunci registri AvailableUpdates yang perlu diproses. Bit minat yang digunakan dalam menyebarkan sertifikat berada dalam tabel berikut ini. Kolom Pesanan menunjukkan urutan bit yang diproses.

Setiap bit diproses oleh acara terjadwal dalam urutan yang diberikan dalam tabel di atas.

Kemajuan melalui bit akan terlihat seperti ini: 

1. Mulai: 0x5944

2. 0x0040 → 0x5904 (Berhasil menerapkan Windows UEFI CA 2023)

3. 0x0800 → 0x5104 (Menerapkan Microsoft UEFI CA 2023 jika diperlukan)

4. 0x1000 → 0x4104 (Applied the Microsoft Option ROM UEFI CA 2023 if needed)

5. 0x0004 → 0x4100 (Diterapkan Microsoft Corporation KEK 2K CA 2023)

6. 0x0100 → 0x4000 (Applied the Windows UEFI CA 2023 signed boot manager)

Catatan

• Setelah operasi yang terkait dengan sedikit berhasil diselesaikan, bit tersebut dikosongkan dari kunci AvailableUpdates .

• Jika salah satu operasi ini gagal, sebuah kejadian dicatat, dan operasi diulang kali berikutnya tugas terjadwal berjalan.

• Jika bit 0x4000 diatur, bit tidak akan dikosongkan. Setelah semua bit lainnya diproses, kunci registri AvailableUpdates akan diatur ke 0x4000.

Masalah 1: Kegagalan pembaruan KEK: Perangkat memperbarui sertifikat ke Secure Boot DB tetapi tidak mengalami kemajuan setelah menyebarkan sertifikat Key Exchange Key baru ke KEK Boot Aman. 

Catatan Saat ini ketika masalah ini terjadi, ID Kejadian: 1796 akan dicatat (lihat Kejadian pembaruan variabel DB dan DBX Boot Aman). Acara baru akan disediakan dalam rilis selanjutnya untuk menunjukkan masalah tertentu ini. 

Kunci registri AvailableUpdates di perangkat diatur ke 0x4104 dan tidak menghapus 0x0004 bit, bahkan setelah beberapa kali boot ulang dan waktu yang cukup lama telah berlalu. 

Masalahnya mungkin tidak ada KEK yang ditandatangani oleh PK OEM untuk perangkat tersebut. OEM mengontrol PK untuk perangkat dan bertanggung jawab untuk menandatangani sertifikat Microsoft KEK baru dan mengembalikannya ke Microsoft sehingga dapat disertakan dalam pembaruan kumulatif bulanan. 

Jika Anda mengalami kesalahan ini, tanyakan OEM Anda untuk mengonfirmasi bahwa mereka telah mengikuti langkah-langkah yang diuraikan dalam Pembuatan Kunci Boot Aman Windows dan Panduan Manajemen.  

Masalah 2: Kesalahan firmware: Saat menerapkan pembaruan sertifikat, sertifikat diserahkan ke firmware untuk diterapkan ke variabel Secure Boot DB atau KEK. Dalam beberapa kasus, firmware akan mengembalikan kesalahan. 

Ketika masalah ini terjadi, Boot Aman akan mencatat ID Kejadian: 1795. Untuk informasi tentang acara ini, lihat Kejadian pembaruan variabel DB dan DBX Boot Aman. 

Sebaiknya periksa dengan OEM untuk mengetahui apakah ada pembaruan firmware yang tersedia untuk perangkat guna mengatasi masalah ini.