Saugiosios įkrovos sertifikato naujinimai: rekomendacijos IT specialistams ir organizacijoms

Saugiosios įkrovos sertifikato galiojimo pabaiga

Nuo 2012 m. „Windows 8“ ir 2012 m. Windows Server sertifikavimo institucijų (CAS) konfigūracija, kurią "Microsoft" pateikė kaip saugiosios įkrovos infrastruktūros dalį, liko tokia pati. Šie sertifikatai saugomi programinės-aparatinės įrangos parašų duomenų bazės (DB) ir rakto "Exchange" rakto (KEK) kintamuose. "Microsoft" pateikė tuos pačius tris sertifikatus visoje originalios įrangos gamintojo (OĮG) ekosistemoje, kad būtų įtraukta į įrenginio programinę-aparatinę įrangą. Šie sertifikatai palaiko saugią įkrovą sistemoje "Windows" ir juos taip pat naudoja trečiųjų šalių operacinės sistemos (OS). Šiuos sertifikatus teikia "Microsoft":

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

Kas keičiasi?

Dabartiniai "Microsoft" saugiosios įkrovos sertifikatai ("Microsoft Corporation" KEK CA 2011, "Microsoft Windows Production PCA 2011", "Microsoft Corporation UEFI CA 2011") pradės galioti nuo 2026 m. birželio mėn. ir nustos galioti iki 2026 m. spalio mėn. 

Nauji 2023 m. sertifikatai pateikiami siekiant išlaikyti saugiosios įkrovos saugą ir tęstinumą. Įrenginiai turi būti atnaujinti į 2023 sertifikatus iki 2011 m. sertifikatų galiojimo pabaigos arba jiems nebeliks saugos reikalavimų ir jiems grės pavojus.  

"Windows" įrenginiuose, pagamintuose nuo 2012 m., gali būti baigiasi sertifikatų versijų galiojimo laikas, kurias reikia atnaujinti. 

Terminologija

Sertifikatai

Saugiosios įkrovos būsenos tikrinimas jūsų laivyne: ar saugi įkrova įgalinta? 

Dauguma įrenginių, pagamintų nuo 2012 m., palaiko saugią įkrovą ir pristatomi su įgalinta saugia įkrova. Norėdami patikrinti, ar įrenginyje įgalinta saugi įkrova, atlikite vieną iš šių veiksmų: 

• GUI metodas: Eikite į Pradžios > parametrai > Privatumas & Sauga > „Windows“ sauga > Įrenginio sauga. Dalyje Įrenginio sauga sekcijoje Saugi įkrova turėtų būti nurodyta, kad įjungta saugi įkrova.

• Komandų eilutės metodas: Didesnių teisių "PowerShell" komandinėje eilutėje įveskite Confirm-SecureBootUEFI ir paspauskite Enter. Komanda turėtų pateikti True (teisinga), nurodančią, kad įjungta saugi įkrova.

Diegiant didelius įrenginių parko diegimus IT profesionalų naudojama valdymo programinė įranga turės patikrinti, ar įgalinta saugi įkrova. 

Pvz., būdas patikrinti saugiosios įkrovos būseną "Microsoft Intune" valdomuose įrenginiuose yra sukurti ir įdiegti "Intune" pasirinktinį atitikties scenarijų. "Intune" atitikties parametrai įtraukti į Pasirinktinių atitikties parametrų naudojimas "Linux" ir "Windows" įrenginiuose su "Microsoft Intune".  

Kaip diegiami naujinimai

Yra keli būdai, kaip taikyti įrenginius saugiosios įkrovos sertifikato naujinimams. Diegimo informacija, įskaitant parametrus ir įvykius, bus aptarta vėliau šiame dokumente. Kai įrenginiui taikote naujinimus, įrenginyje sukuriamas parametras, nurodantis, kad įrenginys turėtų pradėti naujų sertifikatų taikymo procesą. Suplanuota užduotis įrenginyje vykdoma kas 12 valandų ir aptinka, kad įrenginiui buvo skirti naujinimai. Užduoties struktūra yra tokia:

1. "Windows UEFI CA 2023" taikomas DB.

2. Jei įrenginio DB yra "Microsoft Corporation" UEFI CA 2011, tada užduotis pritaiko "Microsoft Option ROM UEFI CA 2023" ir "Microsoft" UEFI CA 2023 DB.

3. Tada užduotyje bus įtraukta "Microsoft Corporation" KEK 2K CA 2023.

4. Galiausiai, suplanuota užduotis atnaujina "Windows" įkrovos tvarkytuvą į tą, kurį pasirašė "Windows UEFI CA 2023". "Windows" aptiks, kad reikia paleisti iš naujo, kad būtų galima pritaikyti įkrovos tvarkytuvą. Įkrovos tvarkytuvo naujinimas bus atidėtas, kol paleidimas iš naujo bus vykdomas natūraliai (pvz., taikant mėnesio naujinimus), tada "Windows" dar kartą bandys taikyti įkrovos tvarkytuvo naujinimą.

Prieš perkeliant suplanuotą užduotį prie kito veiksmo, reikia sėkmingai atlikti visus anksčiau nurodytus veiksmus. Šio proceso metu bus galima gauti įvykių žurnalus ir kitą būseną, kad būtų galima stebėti diegimą. Daugiau informacijos apie stebėjimą ir įvykių žurnalus rasite toliau.  

Atnaujinus saugiosios įkrovos sertifikatus, ateityje bus galima atnaujinti į 2023 m. įkrovos tvarkytuvą, kuris yra saugesnis. Konkretūs "Boot Manager" naujinimai bus būsimuose leidimuose.

Diegimo veiksmai 

• Parengimas: inventoriaus ir testavimo įrenginiai.

• Programinės-aparatinės įrangos aspektai

• Stebėjimas: patikrinkite stebėjimo darbus ir savo laivyno bazinę liniją.

• Diegimas: tiksliniai įrenginiai, skirti naujinimams, pradedant nuo mažų pogrupių ir išplečiant pagal sėkmingus testus.

• Taisymas: ištirkite ir išspręskite visas problemas naudodami žurnalus ir tiekėjų palaikymą.

Paruošimas 

Atsargų aparatūra ir programinė-aparatinė įranga. Sukurkite tipinį įrenginių pavyzdį, atsižvelgdami į sistemos gamintoją, sistemos modelį, BIOS versiją / datą, "BaseBoard" produkto versiją ir t. t., ir išbandykite šių pavyzdžių naujinimus prieš visuotinį diegimą.  Šie parametrai paprastai galimi sistemos informacijoje (MSINFO32). 

Pavyzdinės "PowerShell" komandos, skirtos informacijai rinkti, yra:

Programinės-aparatinės įrangos aspektai

Norint įdiegti naujus saugiosios įkrovos sertifikatus įrenginių parke, būtina, kad įrenginio programinė-aparatinė įranga galėtų atlikti tam tikro vaidmenį naujinant. Nors "Microsoft" tikisi, kad dauguma įrenginio programinės-aparatinės įrangos veiks taip, kaip tikimasi, prieš diegiant naujus sertifikatus reikia atidžiai patikrinti.

Patikrinkite savo aparatūros atsargas ir sukurkite nedidelį tipinį įrenginių pavyzdį, atsižvelgdami į šiuos unikalius kriterijus, pvz.: 

• Gamintojas

• Modelio numeris

• Programinės-aparatinės įrangos versija

• OEM Baseboard versija ir t. t.

Prieš visuotinai diegdami laivyno įrenginiuose, rekomenduojame išbandyti sertifikatų naujinimus pavyzdiniuose įrenginiuose (kaip apibrėžta pagal veiksnius, pvz., gamintoją, modelį, programinės-aparatinės įrangos versiją), kad įsitikintumėte, jog naujinimai apdorojami sėkmingai. Rekomenduojamos rekomendacijos apie kiekvienos unikalios kategorijos įrenginių pavyzdžių, kuriuos reikia išbandyti, skaičių yra 4 ar daugiau.

Tai padės didinti pasitikėjimą diegimo procesu ir padės išvengti netikėto poveikio platesniam jūsų laivynui. 

Kai kuriais atvejais, norint sėkmingai atnaujinti saugiosios įkrovos sertifikatus, gali reikėti programinės-aparatinės įrangos naujinimo. Tokiais atvejais rekomenduojame pasiteiraukite įrenginio OĮG, ar nėra atnaujintos programinės-aparatinės įrangos.

"Windows" virtualiose aplinkose

Jei "Windows" veikia virtualioje aplinkoje, yra du būdai, kaip įtraukti naujus sertifikatus į saugiosios įkrovos programinės-aparatinės įrangos kintamuosius:  

• Virtualiosios aplinkos (AWS, "Azure", "Hyper-V", "VMware" ir kt.) kūrėjas gali pateikti aplinkos naujinimą ir įtraukti naujus sertifikatus į virtualią programinę-aparatinę įrangą. Tai veiktų naujuose virtualiuose įrenginiuose.

• Jei "Windows" veikia ilgalaikėje virtualiojoje mašinoje, naujinimai gali būti taikomi per "Windows" kaip ir bet kuriuose kituose įrenginiuose, jei virtuali programinė-aparatinė įranga palaiko saugiosios įkrovos naujinimus.

Stebėjimas ir diegimas 

Rekomenduojame pradėti įrenginio stebėjimą prieš diegimą, kad užtikrintumėte tinkamą stebėjimo veikimą ir iš anksto gerai paisytumėte laivyno būklės. Toliau aptariamos stebėjimo parinktys. 

"Microsoft" pateikia kelis saugiosios įkrovos sertifikato naujinimų diegimo ir stebėjimo būdus.

Automatizuoto diegimo pagalbinės programos 

"Microsoft" teikia dvi diegimo pagalbines paslaugas. Šios pagalbinės priemonės gali būti naudingos teikiant pagalbą diegiant naujus sertifikatus jūsų laivynui. Abi pagalbinės programos reikalauja diagnostikos duomenų.

• Kaupiamųjų naujinimų su patikimumo talpyklomis parinktis: "Microsoft" gali automatiškai įtraukti didelio patikimumo įrenginių grupes į mėnesinius naujinimus, atsižvelgdama į diagnostikos duomenis, kurie iki šiol bendrinami, kad būtų galima naudotis išmokų sistemomis ir organizacijomis, kurios negali bendrinti diagnostikos duomenų. Šiam veiksmui atlikti nereikia įjungti diagnostikos duomenų.

  • Organizacijoms ir sistemoms, kurios gali bendrinti diagnostikos duomenis, ji suteikia "Microsoft" matomumą ir patikimumą, kad įrenginiai gali sėkmingai įdiegti sertifikatus. Daugiau informacijos apie diagnostikos duomenų įgalinimą rasite: "Windows" diagnostikos duomenų konfigūravimas jūsų organizacijoje. Mes kuriame "talpyklas" kiekvienam unikaliam įrenginiui (kaip apibrėžta atributuose, kurie apima gamintoją, pagrindinės plokštės versiją, programinės-aparatinės įrangos gamintoją, programinės-aparatinės įrangos versiją ir papildomus duomenų taškus). Kiekviename segmente stebime sėkmės įrodymus keliuose įrenginiuose. Pamatę pakankamai sėkmingus naujinimus ir jokių nesėkmių, apsvarstysime segmentą "didelis pasitikėjimas" ir įtrauksime tuos duomenis į mėnesio kaupiamuosius naujinimus. Kai mėnesiniai naujinimai taikomi įrenginiui didelio patikimumo talpykloje, "Windows" automatiškai pritaikys sertifikatus programinės-aparatinės įrangos UEFI saugiosios įkrovos kintamiems.

  • Didelio patikimumo talpyklos apima įrenginius, kurie tinkamai apdoroja naujinimus. Žinoma, ne visi įrenginiai pateiks diagnostikos duomenis, o tai gali apriboti "Microsoft" pasitikėjimą įrenginio galimybe tinkamai apdoroti naujinimus.

  • Ši pagalbinė priemonė yra įjungta pagal numatytuosius parametrus didelio patikimumo įrenginiuose ir gali būti išjungta naudojant konkretaus įrenginio parametrą. Daugiau informacijos bus bendrinama būsimuose "Windows" leidimuose.

• Valdomasis funkcijų diegimas (CFR):  Pasirinkite "Microsoft" valdomo diegimo įrenginius, jei įjungti diagnostikos duomenys.

  • Kontroliuojamas funkcijų diegimas (CFR) gali būti naudojamas su klientų įrenginiais organizacijos laivynuose. Tam reikia, kad įrenginiai siųstų būtinus diagnostikos duomenis "Microsoft" ir turėtų signalą, kad įrenginys pasirenka leisti įrenginyje naudoti CFR. Išsami informacija apie tai, kaip pasirinkti, aprašyta toliau.

  • "Microsoft" valdys šių naujų sertifikatų naujinimo procesą "Windows" įrenginiuose, kuriuose yra diagnostikos duomenys ir įrenginiai dalyvauja valdomų funkcijų naujinimų išleidimą (CFR). Nors BPS gali padėti diegti naujus sertifikatus, organizacijos negalės pasikliauti CFR, kad galėtų sutvarkyti savo laivynus– reikės atlikti veiksmus, aprašytus šiame dokumente, skyriuje apie diegimo metodus, kuriems netaikoma automatinė pagalba.

  • Apribojimai: Yra kelios priežastys, dėl kurių CFR gali neveikti jūsų aplinkoje. Toliau pateikiami keli pavyzdžiai.

    • Nėra jokių diagnostikos duomenų arba diagnostikos duomenys negali būti naudojami kaip CFR diegimo dalis.

    • Įrenginių nėra palaikomose Windows 11 ir Windows 10 kliento versijose su išplėstiniais saugos naujinimais (ESU).

Diegimo metodai, kuriems netaikoma automatizuotos pagalbinės programos

Pasirinkite jūsų aplinkai tinkantį būdą. Venkite maišymo būdų tame pačiame įrenginyje: 

• Registro raktai: valdykite diegimą ir stebėkite rezultatus.
  Yra keli registro raktai, kuriuos galima naudoti norint kontroliuoti sertifikatų diegimo veikimą ir stebėti rezultatus. Be to, yra du anksčiau aprašytų diegimo priemonių pasirinkimo ir atsisakymo klavišai. Daugiau informacijos apie registro raktus žr. Registro rakto Naujinimai saugiosios įkrovos atveju – "Windows" įrenginiai su IT valdomais naujinimais.

• Grupės strategija objektai (GPO): parametrų valdymas; stebėjimas naudojant registro ir įvykių žurnalus.
  "Microsoft" teiks palaikymą, kaip valdyti saugiosios įkrovos naujinimus naudojant Grupės strategija būsimame naujinime. Atkreipkite dėmesį, kad Grupės strategija skirtas parametrams, todėl įrenginio būseną reikės stebėti alternatyviais būdais, įskaitant registro raktų ir įvykių žurnalo įrašų stebėjimą.

• "WinCS" ("Windows" konfigūravimo sistema) CLI: naudokite komandų eilutės įrankius prie domeno prijungtiems klientams.
  Domeno administratoriai taip pat gali naudoti "Windows" konfigūravimo sistemą (WinCS), įtrauktą į "Windows" OS naujinimus, kad įdiegtų saugiosios įkrovos naujinimus visuose prie domeno prijungtuose "Windows" klientuose ir serveriuose. Jį sudaro komandų eilutės paslaugų programos (tiek tradicinės vykdomosios programos, tiek "PowerShell" modulis), kad būtų galima teikti užklausas ir taikyti saugiosios įkrovos konfigūracijas kompiuteryje. Daugiau informacijos žr. "Windows" konfigūracijos sistemos ("WinCS") API, skirtos saugiam paleidimui.

• "Microsoft Intune" / konfigūracijos tvarkyklė: Įdiekite "PowerShell" scenarijus. Konfigūravimo paslaugų teikėjas (CSP) bus pateiktas būsimame naujinime, kad būtų galima diegti naudojant "Intune".

Įvykių žurnalų stebėjimas

Pateikiami du nauji įvykiai, kurie padės įdiegti saugiosios įkrovos sertifikato naujinimus. Šie įvykiai išsamiai aprašyti saugiosios įkrovos DB ir DBX kintamųjų naujinimo įvykiuose: 

• Įvykio ID: 1801
  Šis įvykis yra klaidos įvykis, nurodantis, kad atnaujinti sertifikatai nebuvo pritaikyti įrenginiui. Šis įvykis pateikia tam tikrą informaciją apie įrenginį, įskaitant įrenginio atributus, kurie padės susieti, kuriuos įrenginius vis dar reikia atnaujinti.

• Įvykio ID: 1808
  Šis įvykis yra informacinis įvykis, nurodantis, kad įrenginys turi reikiamus naujus saugiosios įkrovos sertifikatus, pritaikytus įrenginio programinei-aparatinei įrangai.

Diegimo strategijos 

Norėdami sumažinti riziką, įdiekite saugiosios įkrovos naujinimus etapais, o ne visuose iš karto. Pradėkite nuo nedidelio įrenginių rinkinio, patikrinkite rezultatus, tada išplėskite iki papildomų grupių. Rekomenduojame pradėti nuo poaibio įrenginių ir, jei įgysite pasitikėjimo šiais diegimais, įtraukti papildomų įrenginių pogrupių. Norint nustatyti, kas patenka į pogrupį, gali būti naudojami keli veiksniai, įskaitant bandymų rezultatus įrenginių pavyzdžių, organizacijos struktūros ir t. t. 

Sprendimas, kuriuos įrenginius diegiate, priklauso nuo jūsų. Čia išvardytos kai kurios galimos strategijos. 

• Didelis įrenginių parkas: pirmiausia pasikliaukite anksčiau aprašytomis pagalbinėmis funkcijomis, skirtomis dažniausiai naudojamiems įrenginiams, kuriuos valdote. Tuo pačiu metu sutelkite dėmesį į ne tokius įprastus įrenginius, kuriuos valdo jūsų organizacija. Išbandykite nedidelius įrenginių pavyzdžius ir, jei patikrinimas sėkmingas, įdiekite kituose to paties tipo įrenginiuose. Jei tikrinant kyla problemų, ištirkite problemos priežastį ir nustatykite taisymo veiksmus. Taip pat galite apsvarstyti įrenginių, kurių vertė jūsų parke yra didesnė, klases ir pradėti tikrinti bei diegti, kad tie įrenginiai būtų kuo anksčiau atnaujinti.

• Nedidelis, įvairus laivynas: Jei jūsų valdome laivyne yra daug įrenginių, kuriuose atskirų prietaisų bandymas būtų per daug draudžiamas, apsvarstykite galimybę labai remtis pirmiau aprašytomis dviem pagalbinėmis priemonėms, ypač įrenginiams, kurie gali būti įprasti rinkoje. Iš pradžių sutelkite dėmesį į įrenginius, kurie yra svarbūs kasdienei operacijai, išbandykite ir įdiekite. Toliau eikite žemyn aukšto prioriteto įrenginių sąrašu, išbandykite ir diegdami, stebėdami laivyną, kad įsitikintumėte, jog pagalbinės priemonės padeda likusiai įrenginių daliai.

Pastabos 

• Atkreipkite dėmesį į senesnius įrenginius, ypač įrenginius, kurių gamintojas nebepalaiko. Nors programinė-aparatinė įranga turėtų tinkamai atlikti naujinimo operacijas, kai kurios iš jų gali neveikti. Tais atvejais, kai programinė-aparatinė įranga veikia netinkamai ir įrenginys nebepalaikomas, apsvarstykite galimybę pakeisti įrenginį, kad būtų užtikrinta saugiosios įkrovos apsauga visame laivyne.

• Naujuose įrenginiuose, pagamintuose per pastaruosius 1–2 metus, jau gali būti įdiegti atnaujinti sertifikatai, bet sistemoje gali būti nepritaikytas "Windows UEFI CA 2023" pasirašytas įkrovos tvarkytuvas. Šio paleidimo tvarkytuvo taikymas yra svarbus paskutinis kiekvieno įrenginio diegimo veiksmas.

• Kai įrenginys bus pasirinktas atnaujinti, gali šiek tiek užtrukti, kol bus baigti naujinimai. Numatoma 48 valandos ir vienas ar keli paleidimai iš naujo, kad būtų galima taikyti sertifikatus.

Bendri klausimai ir rekomendacijos

Šiame vadove išsamiai aprašoma, kaip veikia saugiosios įkrovos sertifikato naujinimo procesas, ir pateikiami keli veiksmai, kaip šalinti triktis, jei diegiant į įrenginius susiduriama su problemomis. Naujinimai į šią sekciją bus įtraukta pagal poreikį.

Saugiosios įkrovos sertifikato diegimo palaikymas 

Palaikius saugiosios įkrovos sertifikato naujinimus, "Windows" išlaiko suplanuotą užduotį, kuri vykdoma kas 12 valandų. Užduotis ieško bitų "AvailableUpdates" registro rakte, kurį reikia apdoroti. Interesų bitai, naudojami diegiant sertifikatus, yra šioje lentelėje. Stulpelis Užsakymas nurodo tvarką, kuria apdorojami bitai.

Kiekvieną bitą apdoroja suplanuotas įvykis anksčiau pateiktoje lentelėje nurodyta tvarka.

Progresas per bitus turėtų atrodyti taip: 

1. Pradžia: 0x5944

2. 0x0040 → 0x5904 (sėkmingai pritaikyta "Windows UEFI CA 2023")

3. 0x0800 → 0x5104 (taikoma "Microsoft UEFI CA 2023", jei reikia)

4. 0x1000 → 0x4104 (jei reikia, pritaikė "Microsoft Option ROM UEFI CA 2023")

5. 0x0004 → 0x4100 (taikoma "Microsoft Corporation KEK 2K CA 2023")

6. 0x0100 → 0x4000 (pritaikytas "Windows UEFI CA 2023" pasirašytas įkrovos tvarkytuvas)

Pastabos

• Sėkmingai užbaigus operaciją, susietą su bitu, tas bitas išvalomas iš rakto AvailableUpdates .

• Jei viena iš šių operacijų nepavyksta, įvykis užregistruojamas ir operacija kartojama kitą kartą vykdant suplanuotą užduotį.

• Jei nustatytas bitų 0x4000, jis nebus išvalytas. Apdorojus visus kitus bitus, "AvailableUpdates" registro raktas bus nustatytas į 0x4000.

1 problema: KEK naujinimo klaida: įrenginys atnaujina saugiosios įkrovos DB sertifikatus, bet nevyksta anksčiau diegiant naują raktų "Exchange" rakto sertifikatą saugiosios įkrovos KEK. 

Pastaba Šiuo metu iškilus šiai problemai, įvykio ID: 1796 bus užregistruotas (žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai). Naujas įvykis bus pateiktas vėlesniame leidime šiai konkrečiai problemai nurodyti. 

Įrenginyje registro raktas AvailableUpdates nustatytas į 0x4104 ir neišvalo 0x0004 bitų, net po kelių paleidimų iš naujo ir jau praėjo daug laiko. 

Gali būti, kad įrenginio OĮG PK pasirašė ne KEK. OĮG valdo įrenginio FK ir yra atsakingas už naujo "Microsoft" KEK sertifikato pasirašymą ir grąžinimą "Microsoft", kad jį būtų galima įtraukti į mėnesio kaupiamuosius naujinimus. 

Jei susidūrėte su šia klaida, kreipkitės į OĮG, kad įsitikintumėte, jog jie atliko veiksmus, aprašytus "Windows" saugiosios įkrovos rakto kūrimo ir valdymo rekomendacijose.  

2 problema: programinės-aparatinės įrangos klaidos: taikant sertifikato naujinimus, sertifikatai perduodami programinei-aparatinei įrangai, kad būtų taikomi saugiosios įkrovos DB arba KEK kintamųjų. Kai kuriais atvejais programinė-aparatinė įranga pateiks klaidą. 

Iškilus šiai problemai, saugi įkrova užregistruos įvykio ID: 1795. Informacijos apie šį įvykį žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai. 

Rekomenduojame pasiteiškyti OĮG, ar yra įrenginio programinės-aparatinės įrangos naujinimas šiai problemai išspręsti.