Tanggal penerbitan asli: 26 Juni 2025
ID KB: 5062710
Apa itu Boot Aman?
Secure Boot adalah fitur keamanan dalam firmware berbasis Unified Extensible Firmware Interface (UEFI) yang membantu memastikan bahwa hanya perangkat lunak tepercaya yang berjalan selama urutan boot (mulai) perangkat. Cara kerjanya dengan memverifikasi tanda tangan digital perangkat lunak pra-boot terhadap sekumpulan sertifikat digital tepercaya (juga dikenal sebagai otoritas sertifikat atau CA) yang disimpan di firmware perangkat. Sebagai standar industri, UEFI Secure Boot menentukan bagaimana firmware platform mengelola sertifikat, mengautentikasi firmware, dan bagaimana antarmuka sistem operasi (OS) dengan proses ini. Untuk detail selengkapnya tentang UEFI dan Secure Boot, silakan lihat Boot aman.
Secure Boot pertama kali diperkenalkan di Windows 8 untuk melindungi terhadap ancaman malware pra-boot (juga dikenal sebagai bootkit) yang muncul pada saat itu. Sebagai bagian dari inisialisasi platform, Secure Boot mengautentikasi modul firmware sebelum eksekusi. Modul ini mencakup driver firmware UEFI (seperti Option ROMs), boot loader, dan aplikasi. Sebagai langkah terakhir dari proses Boot Aman, firmware memverifikasi jika Secure Boot mempercayai boot loader. Kemudian, firmware melewati kontrol ke boot loader, yang pada gilirannya memverifikasi, memuat ke memori, dan memulai OS Windows.
Secure Boot mendefinisikan kode tepercaya melalui kebijakan firmware yang ditetapkan selama pembuatan. Perubahan pada kebijakan ini, seperti menambahkan atau mencabut sertifikat, dikontrol oleh hierarki kunci. Hierarki ini dimulai dengan Kunci Platform (PK), biasanya dimiliki oleh produsen perangkat keras, diikuti dengan Kunci Pendaftaran Kunci (KEK) (juga dikenal sebagai Key Exchange Key), yang mungkin menyertakan MICROSOFT KEK dan KEK OEM lainnya. Database Tanda Tangan yang Diizinkan (DB) dan Database Tanda Tangan Tidak Diizinkan (DBX, Disallowed Signature Database) menentukan kode mana yang dapat dijalankan di lingkungan UEFI sebelum OS dimulai. DB mencakup sertifikat yang dikelola oleh Microsoft dan OEM, sementara DBX diperbarui oleh Microsoft dengan pencabutan terbaru. Setiap entitas dengan KEK dapat memperbarui DB dan DBX.
Sertifikat Boot Aman Windows kedaluwarsa pada tahun 2026
Sejak Windows memperkenalkan dukungan Boot Aman, semua perangkat berbasis Windows telah membawa serangkaian sertifikat Microsoft yang sama dalam KEK dan DB. Sertifikat asli ini mendekati tanggal kedaluwarsanya, dan perangkat Anda terpengaruh jika memiliki salah satu versi sertifikat yang tercantum. Untuk terus menjalankan Windows dan menerima pembaruan rutin untuk konfigurasi Boot Aman, Anda harus memperbarui sertifikat ini.
Terminologi
-
Kek: Kunci Pendaftaran Kunci
-
CA: Otoritas Sertifikat
-
DB: Database Tanda Tangan Boot Aman
-
DBX: Database Tanda Tangan Boot Aman yang Dicabut
|
Sertifikat Kedaluwarsa |
Tanggal kedaluwarsa |
Sertifikat Baru |
Lokasi penyimpanan |
Maksud |
|
Microsoft Corporation KEK CA 2011 |
Juni 2026 |
Microsoft Corporation KEK CA 2023 |
Disimpan di KEK |
Menandatangani pembaruan untuk DB dan DBX. |
|
Microsoft Windows Production PCA 2011 |
Okt 2026 |
Windows UEFI CA 2023 |
Disimpan dalam DB |
Digunakan untuk menandatangani pemuat boot Windows. |
|
Microsoft UEFI CA 2011* |
Juni 2026 |
Microsoft UEFI CA 2023 |
Disimpan dalam DB |
Menandatangani loader boot pihak ketiga dan aplikasi EFI. |
|
Microsoft UEFI CA 2011* |
Juni 2026 |
Microsoft Option ROM CA 2023 |
Disimpan dalam DB |
Tanda tangani RIT opsi pihak ketiga |
*Selama perpanjangan sertifikat Microsoft Corporation UEFI CA 2011, dua sertifikat memisahkan penandatanganan boot loader dari penandatanganan ROM opsi. Ini memungkinkan kontrol yang lebih baik atas kepercayaan sistem. Misalnya, sistem yang perlu mempercayai opsi ROM dapat menambahkan Microsoft Option ROM UEFI CA 2023 tanpa menambahkan kepercayaan untuk pemuat boot pihak ketiga.
Microsoft telah mengeluarkan sertifikat yang diperbarui untuk memastikan kelangsungan perlindungan Boot Aman di perangkat Windows. Microsoft akan mengelola proses pembaruan untuk sertifikat baru ini pada sebagian besar perangkat Windows. Selain itu, kami akan menawarkan panduan mendetail untuk organisasi yang mengelola pembaruan perangkat mereka sendiri.
Penting Ketika CA 2011 kedaluwarsa, perangkat Windows yang tidak memiliki sertifikat 2023 baru tidak dapat lagi menerima perbaikan keamanan untuk komponen pra-boot yang mengorbankan keamanan boot Windows.
Ajakan bertindak
Anda mungkin perlu mengambil tindakan untuk memastikan bahwa perangkat Windows Anda tetap aman saat sertifikat kedaluwarsa pada tahun 2026. Baik UEFI Secure Boot DB dan KEK perlu diperbarui dengan versi sertifikat 2023 baru yang sesuai. Untuk informasi selengkapnya tentang sertifikat baru, lihat Pembuatan Kunci Boot Aman Windows dan Panduan Manajemen.
Penting Tanpa pembaruan, perangkat Windows berkemampuan Boot Aman berisiko tidak menerima pembaruan keamanan atau mempercayai pemuat boot baru yang akan membahayakan kemampuan servis dan keamanan.
Tindakan Anda akan bervariasi tergantung pada jenis perangkat Windows yang Anda miliki. Pilih dari menu di sebelah kiri untuk tipe perangkat dan tindakan tertentu yang perlu Anda lakukan.
