"Windows" saugiosios įkrovos sertifikato galiojimo laikas ir CA naujinimai

Kas yra saugioji įkrova?

Saugioji įkrova yra saugos funkcija bendrojoje išplėstinėje programinės-aparatinės įrangos sąsajoje (UEFI), kuri padeda užtikrinti, kad įrenginio įkrovos (paleidimo) sekos metu veiktų tik patikima programinė įranga. Ji veikia patikrindama prieš paleidimą pagamintos programinės įrangos skaitmeninį parašą su patikimų skaitmeninių sertifikatų rinkiniu (dar vadinamu sertifikavimo institucija arba CA), saugomu įrenginio programinėje-aparatinėje įrangoje. Kaip pramonės standartas, UEFI saugi įkrova apibrėžia, kaip platformos programinė įranga valdo sertifikatus, autentifikuoja programinę-aparatinę įrangą ir kaip operacinė sistema (OS) sąveikauja su šiuo procesu. Daugiau informacijos apie UEFI ir saugiąją įkrovą žr. Saugioji įkrova.

Saugi įkrova pirmą kartą buvo pristatyta "„Windows 8“", siekiant apsisaugoti nuo tuo metu kylančios kenkėjiškų programų (dar vadinamų įkrovos rinkiniu) grėsmės. Inicijuojant platformą, saugioji įkrova prieš vykdymą autentifikuoja programinės-aparatinės įrangos modulius. Šie moduliai apima UEFI programinės-aparatinės įrangos tvarkykles (pvz., parinkčių ROM), įkrovos įkeltuves ir programas. Paskutinis saugiosios įkrovos proceso veiksmas yra tas, kad programinė-aparatinė įranga patikrina, ar saugioji įkrova pasitiki įkrovos įkelties programa. Tada programinė įranga perduoda valdymą įkrovos krautuvui, kuris savo ruožtu patikrina, įkelia į atmintį ir paleidžia "Windows" OS.

Saugi įkrova patikimą kodą apibrėžia naudodama programinės aparatinės įrangos strategiją, nustatytą gamybos metu. Šios strategijos pakeitimus, pvz., sertifikatų įtraukimą arba atšaukimą, valdo raktų hierarchija. Ši hierarchija prasideda nuo platformos kodo (PK), kuris paprastai priklauso aparatūros gamintojui, po jo eina rakto registracijos kodas (KEK) (dar vadinamas raktų mainų raktu), kuris gali apimti "Microsoft" KEK ir kitus OĮG KEK. Leidžiamų parašų duomenų bazė (DB) ir neleistinų parašų duomenų bazė (DBX) nustato, kuris kodas gali būti vykdomas UEFI aplinkoje prieš paleidžiant OS. DB apima sertifikatus, kuriuos valdo "Microsoft" ir OĮG, o DBX atnaujina "Microsoft" naujausiais atšaukimais. Bet kuris subjektas, turintis KEK, gali atnaujinti DB ir DBX.

Saugiosios įkrovos sertifikato galiojimo pabaigos poveikis

"Microsoft" atnaujina saugiosios įkrovos sertifikatus, kurie iš pradžių buvo išduoti 2011 m., kad "Windows" įrenginiai ir toliau tikrintų patikimos įkrovos programinę įrangą. Šių senesnių sertifikatų galiojimo laikas baigiasi 2026 m. birželio mėn. Įrenginiai, kurie negavo naujesnių 2023 m. sertifikatų, ir toliau bus paleidžiami ir veiks įprastai, o standartiniai "Windows" naujinimai bus diegiami toliau. Tačiau šie įrenginiai nebegalės gauti naujų apsaugos priemonių ankstyvosios įkrovos metu, įskaitant "Windows" įkrovos tvarkytuvo, saugiosios įkrovos duomenų bazių, atšaukimo sąrašų naujinimus arba naujai atrastų įkrovos lygio pažeidžiamumų mažinimo priemones. 

Laikui bėgant tai apriboja įrenginio apsaugą nuo kylančių grėsmių ir gali turėti įtakos scenarijams, kurie priklauso nuo saugiosios įkrovos patikimumo, pvz., "BitLocker" sustiprinimo arba trečiųjų šalių paleidimo įkelties programų. Daugelis "Windows" įrenginių automatiškai gaus atnaujintus sertifikatus, o daugelis OĮG prireikus pateiks programinės-aparatinės įrangos naujinimus. Naudojant šiuos įrenginio naujinimus užtikrinama, kad jis ir toliau gaus visą saugos apsaugos priemonių rinkinį, kurį užtikrina saugioji įkrova.

"Windows" saugiosios įkrovos sertifikatai, kurių galiojimo laikas baigiasi 2026 m.

Nuo tada, kai "Windows" pradėjo taikyti saugiosios įkrovos palaikymą, visi "Windows" pagrįsti įrenginiai turi tą patį "Microsoft" sertifikatų rinkinį KEK ir DB. Šių originalių sertifikatų galiojimo laikas artėja ir jūsų įrenginys paveiks, jei jame yra kuri nors iš išvardytų sertifikatų versijų. Norėdami toliau naudoti "Windows" ir gauti reguliarius saugiosios įkrovos konfigūracijos naujinimus, turėsite atnaujinti šiuos sertifikatus.

Terminologija

• KEK: Rakto registracijos raktas

• CA: Sertifikavimo institucija

• DB: Saugiosios įkrovos parašo duomenų bazė

• DBX: Saugiosios įkrovos atšaukta parašo duomenų bazė

"Microsoft" išleido atnaujintus sertifikatus, kad užtikrintų saugiosios įkrovos apsaugos tęstinumą "Windows" įrenginiuose. "Microsoft" valdys šių naujų sertifikatų naujinimo procesą didelėje dalyje "Windows" įrenginių. Be to, pasiūlysime išsamių rekomendacijų organizacijoms, kurios pačios tvarko savo įrenginių naujinimus.

Raginimas veikti

Gali tekti imtis veiksmų siekiant užtikrinti, kad jūsų "Windows" įrenginys išliktų saugus, kai sertifikatai baigs galioti 2026 m. Tiek UEFI saugiosios įkrovos DB, tiek KEK reikia atnaujinti atitinkamomis naujomis 2023 m. sertifikato versijomis. Daugiau informacijos apie naujus sertifikatus žr. "Windows" saugiosios įkrovos rakto kūrimo ir valdymo gairėse. 

Jūsų veiksmai skirsis priklausomai nuo turimo "Windows" įrenginio tipo. Iš kairėje esančio meniu pasirinkite įrenginio tipą ir konkrečius veiksmus, kuriuos turite atlikti.  

"Microsoft" klientų aptarnavimo ištekliai

Norėdami susisiekti su "Microsoft" palaikymo tarnyba, žr.: 

• "Microsoft" palaikymas , tada spustelėkite Windows.

• Support for business , then click Create to create a new support request.
  
  Sukūrus naują palaikymo užklausą, ji turėtų atrodyti taip: