Pradinė publikavimo data: 2025 m. birželio 26 d.
KB ID: 5062710
Kas yra saugi įkrova?
Saugioji įkrova yra bendrosios išplėstinės programinės-aparatinės įrangos sąsajos (UEFI) programinės-aparatinės įrangos saugos funkcija, padedanti užtikrinti, kad įrenginio paleidimo (paleidimo) sekos metu veiktų tik patikima programinė įranga. Jis veikia tikrindamas išankstinio paleidimo programinės įrangos skaitmeninį parašą pagal patikimų skaitmeninių sertifikatų (dar vadinamų sertifikavimo institucija arba CA), saugomų įrenginio programinėje-aparatinėje įrangoje, rinkinį. Kaip pramonės standartas UEFI saugioji įkrova apibrėžia, kaip platformos programinė-aparatinė įranga tvarko sertifikatus, autentifikuoja programinę-aparatinę įrangą ir kaip operacinės sistemos (OS) sąsajos su šiuo procesu. Daugiau informacijos apie UEFI ir saugią įkrovą žr. Saugi įkrova.
Saugi įkrova pirmą kartą buvo pristatyta „Windows 8“, kad tuo metu būtų apsaugota nuo atsirandančių prieš įkrovą paleidžiamų kenkėjiškų programų (dar vadinamų paleidimo rinkinių) grėsme. Inicijuojant platformą, saugi įkrova autentifikuoja programinės-aparatinės įrangos modulius prieš vykdymą. Šie moduliai apima UEFI programinės-aparatinės įrangos tvarkykles (pvz., parinkties ROM), paleidimo įkelties priemones ir programas. Kaip galutinis saugiosios įkrovos proceso veiksmas, programinė-aparatinė įranga patikrina, ar saugioji įkrova pasitiki paleidimo įkelties programa. Tada programinė-aparatinė įranga perduoda valdymą paleidimo įkelties programai, kuris savo ruožtu patikrina, įkelia į atmintį ir paleidžia "Windows" OS.
Saugi įkrova nustato patikimą kodą pagal programinės-aparatinės įrangos strategiją, nustatytą gamybos metu. Šios strategijos pakeitimus, pvz., sertifikatų įtraukimą arba atšaukimą, valdo raktų hierarchija. Ši hierarchija pradedama platformos raktu (PK), paprastai priklausančiu aparatūros gamintojui, po to – rakto registracijos raktu (KEK) (dar vadinamu raktų mainų raktu), kuris gali apimti "Microsoft" KEK ir kitus OĮG KEK. Leidžiamų parašų duomenų bazė (DB) ir neleidžiamų parašų duomenų bazė (DBX) nustato, kuris kodas gali būti vykdomas UEFI aplinkoje prieš paleidžiant OS. DB yra sertifikatų, kuriuos valdo "Microsoft" ir OĮG, o DBX "Microsoft" atnaujino naujausiais atšaukimais. Bet kuris KEK subjektas gali atnaujinti DB ir DBX.
"Windows" saugiosios įkrovos sertifikatų galiojimo laikas baigiasi 2026 m.
Kadangi "Windows" pristatė saugiosios įkrovos palaikymą, visi "Windows" pagrindo įrenginiai turi tą patį "Microsoft" sertifikatų rinkinį KEK ir DB. Šie originalūs sertifikatai artėja prie jų galiojimo pabaigos datos ir jūsų įrenginiui bus daromas poveikis, jei jame yra kuri nors iš išvardytų sertifikatų versijų. Norėdami toliau naudoti "Windows" ir gauti reguliarius saugiosios įkrovos konfigūracijos naujinimus, turėsite atnaujinti šiuos sertifikatus.
Terminologija
-
KEK: Rakto registracijos raktas
-
CA: Sertifikavimo tarnyba
-
DB: Saugiosios įkrovos parašo duomenų bazė
-
DUOMENŲ BAZĖ: Saugiosios įkrovos atšaukta parašo duomenų bazė
|
Baigiasi sertifikato galiojimo laikas |
Galiojimo data |
Naujas sertifikatas |
Saugojimo vieta |
Tikslas |
|
Microsoft Corporation KEK CA 2011 |
2026 m. birželis |
Microsoft Corporation KEK CA 2023 |
Saugoma KEK |
Pasirašo DB ir DBX naujinimus. |
|
Microsoft Windows Production PCA 2011 |
2026 m. spalio mėn. |
"Windows UEFI CA 2023" |
Saugoma DB |
Naudojamas pasirašant "Windows" įkrovos įkelties priemonę. |
|
Microsoft UEFI CA 2011* |
2026 m. birželis |
Microsoft UEFI CA 2023 |
Saugoma DB |
Pasirašo trečiųjų šalių įkrovos krautuvus ir EFI programas. |
|
Microsoft UEFI CA 2011* |
2026 m. birželis |
Microsoft Option ROM CA 2023 |
Saugoma DB |
Pasirašo trečiųjų šalių parinkties ROM |
*Atnaujinant "Microsoft Corporation" UEFI CA 2011 sertifikatą, du sertifikatai atskiri paleidimo įkelties programos pasirašyme nuo parinkties ROM pasirašymo. Tai leidžia geriau kontroliuoti sistemos patikimumą. Pvz., sistemos, kurioms reikia pasitikėti parinkties ROM, gali įtraukti "Microsoft Option ROM UEFI CA 2023" nepridėdamos patikimumo trečiųjų šalių paleidimo įkelties įrenginiams.
"Microsoft" išdavė atnaujintus sertifikatus, kad užtikrintų saugiosios įkrovos apsaugos tęstinumą "Windows" įrenginiuose. "Microsoft" valdys šių naujų sertifikatų naujinimo procesą reikšmingą "Windows" įrenginių dalį. Be to, pasiūlysime išsamias rekomendacijas organizacijoms, kurios valdo savo įrenginio naujinimus.
Svarbu Kai baigiasi 2011 M. KA galiojimas, "Windows" įrenginiai, kuriuose nėra naujų 2023 sertifikatų, nebegali gauti saugos pataisų prieš įkrovą komponentams, kurie daro "Windows" įkrovos saugą.
Raginimas veikti
Gali tekti imtis veiksmų siekiant užtikrinti, kad "Windows" įrenginys liktų saugus, kai sertifikatų galiojimas baigsis 2026 m. UEFI saugiosios įkrovos DB ir KEK reikia atnaujinti atitinkamomis naujomis 2023 m. sertifikato versijomis. Daugiau informacijos apie naujus sertifikatus žr. "Windows" saugiosios įkrovos rakto kūrimas ir valdymo patarimai.
Svarbu Be naujinimų "Windows" įrenginiai, kuriuose įgalinta saugi įkrova, gali negauti saugos naujinimų arba pasitikėti naujais paleidimo įkelties įrenginiais, o tai gali pakenkti tiek aptarnavimo, tiek saugos funkcijoms.
Veiksmai skirsis atsižvelgiant į turimo "Windows" įrenginio tipą. Kairėje esančiame meniu pasirinkite įrenginio tipą ir konkretų veiksmą, kurį reikia atlikti.
