Windows drošās palaišanas sertifikāta derīguma termiņš un CA atjauninājumi

Kas ir drošā sāknēšana?

Drošā sāknēšana ir drošības līdzeklis vienotā paplašināmā aparātprogrammatūras interfeisa (UEFI) aparātprogrammatūrā, kas palīdz nodrošināt, ka ierīces sāknēšanas (startēšanas) secībā darbojas tikai uzticama programmatūra. Tas darbojas, pārbaudot pirmssāknēšanas programmatūras ciparparakstu, salīdzinot ar uzticamu ciparsertifikātu kopu (zināma arī kā sertificēšanas iestāde vai CA), kas tiek glabāta ierīces aparātprogrammatūrā. Kā nozares standarts UEFI drošā palaišana definē, kā platformas aparātprogrammatūra pārvalda sertifikātus, autentificē aparātprogrammatūru un kā operētājsistēma (OS) mijiedarbojas ar šo procesu. Papildinformāciju par UEFI un drošo palaišanu skatiet sadaļā Drošā palaišana.

Drošā palaišana pirmo reizi tika ieviesta operētājsistēmā Windows 8, lai aizsargātu pret tolaik jauniem pirmssāknēšanas ļaunprogrammatūras (pazīstamas arī kā sāknēšanas komplekts) draudiem. Platformas inicializācijas ietvaros drošā palaišana autentificē aparātprogrammatūras moduļus pirms izpildes. Šie moduļi ietver UEFI aparātprogrammatūras draiverus (piemēram, opciju ROM), palaišanas ielādētājus un lietojumprogrammas. Kā pēdējais solis drošās palaišanas procesā ir tas, ka aparātprogrammatūra pārbauda, vai drošā palaišana uzticas palaišanas ielādētājam. Pēc tam programmaparatūra nodod kontroli sāknēšanas ielādētājam, kas savukārt pārbauda, ielādē atmiņā un startē Windows OS.

Drošā palaišana definē uzticamu kodu, izmantojot aparātprogrammatūras politiku, kas iestatīta ražošanas laikā. Izmaiņas šajā politikā, piemēram, sertifikātu pievienošanu vai atsaukšanu, kontrolē atslēgu hierarhija. Šī hierarhija sākas ar platformas atslēgu (PK), kas parasti pieder aparatūras ražotājam, kurai seko atslēgas reģistrācijas atslēga (key enrollment key — KEK) (dēvēta arī par atslēgu apmaiņas atslēgu), kas var ietvert Microsoft KEK un citus OEM KEK. Atļauto parakstu datu bāze (Allowed Signature Database — DB) un Neatļauto parakstu datu bāze (DBX) nosaka, kuru kodu var palaist UEFI vidē pirms operētājsistēmas startēšanas. Datu bāzē ir iekļauti sertifikāti, ko pārvalda Microsoft un OEM, savukārt korporācija DBX ir atjaunināta ar jaunākajām atsaukumiem. Jebkura entītija ar KEK var atjaunināt DB un DBX.

Drošās palaišanas sertifikāta derīguma termiņa ietekme

Microsoft atjaunina sākotnēji 2011. gadā izdotos drošās palaišanas sertifikātus, lai nodrošinātu, ka Windows ierīces turpina pārbaudīt uzticamu palaišanas programmatūru. Šo vecāko sertifikātu derīgums sākas 2026. gada jūnijā. Ierīces, kas nav saņēmušas jaunākos 2023. gada sertifikātus, turpinās startēties un darboties kā parasti, un tiks turpināta standarta Windows atjauninājumu instalēšana. Tomēr šīs ierīces vairs nevarēs saņemt jaunus drošības aizsardzības līdzekļus agrīnās palaišanas procesam, tostarp Windows palaišanas pārvaldnieka atjauninājumus, drošās palaišanas datu bāzes, atsaukšanas sarakstus vai jaunatklāto palaišanas līmeņa ievainojamību mazinājumus. 

Laika gaitā tas ierobežo ierīces aizsardzību pret jauniem apdraudējumiem un var ietekmēt scenārijus, kas balstās uz drošās palaišanas uzticamību, piemēram, BitLocker pastiprināšanu vai trešo pušu palaišanas ielādētājus. Lielākā daļa Windows ierīču saņems atjauninātos sertifikātus automātiski, un daudzi OEM nepieciešamības gadījumā nodrošinās aparātprogrammatūras atjauninājumus. Ja ierīce tiek atjaunināta ar šiem atjauninājumiem, tiek nodrošināts, ka tā arī turpmāk var saņemt pilnu drošības aizsardzību, kas paredzēta drošai palaišanai.

Windows drošās palaišanas sertifikāti, kuru derīguma termiņš beigsies 2026. gadā

Kopš Windows ieviesa drošās palaišanas atbalstu, visās Windows ierīcēs ir vienāda Microsoft sertifikātu kopa KEK un DB. Šiem oriģinālajiem sertifikātiem tuvojas derīguma beigu datums, un jūsu ierīce tiek ietekmēta, ja tajā ir kāda no uzskaitītajām sertifikātu versijām. Lai turpinātu darbināt Windows un saņemt regulārus atjauninājumus drošās palaišanas konfigurācijai, šie sertifikāti ir jāatjaunina.

Terminoloģija

• KEK: Atslēgas reģistrācijas atslēga

• CA: Sertificēšanas iestāde

• DB: Drošās palaišanas parakstu datu bāze

• DBX: Drošās palaišanas atsaukto parakstu datu bāze

Korporācija Microsoft ir izdevusi atjauninātus sertifikātus, lai nodrošinātu drošas sāknēšanas aizsardzības nepārtrauktību Windows ierīcēs. Microsoft pārvaldīs šo jauno sertifikātu atjaunināšanas procesu ievērojamā daļā Windows ierīču. Turklāt mēs piedāvāsim detalizētus norādījumus organizācijām, kas pārvalda savu ierīču atjauninājumus.

Aicinājums rīkoties

Iespējams, jums būs jāveic darbības, lai nodrošinātu, ka jūsu Windows ierīce ir drošībā pēc sertifikātu derīguma termiņa beigām 2026. gadā. Gan UEFI drošās palaišanas DB, gan KEK ir jāatjaunina ar atbilstošajām jaunajām 2023. gada sertifikāta versijām. Papildinformāciju par jaunajiem sertifikātiem skatiet Windows drošās palaišanas atslēgas izveides un pārvaldības norādījumos. 

Jūsu darbības atšķiras atkarībā no tā, kāda veida Windows ierīce jums ir. Izvēlnē pa kreisi atlasiet ierīces tipu un konkrētu darbību, kas jāveic.  

Microsoft klientu atbalsta resursi

Lai sazinātos ar Microsoft atbalsta dienestu, skatiet rakstus: 

• Microsoft atbalsta dienestu un pēc tam noklikšķiniet uz Windows.

• Atbalsts uzņēmumiem un pēc tam noklikšķiniet uz Izveidot , lai izveidotu jaunu atbalsta pieprasījumu.
  
  Pēc jaunā atbalsta pieprasījuma izveides tam jāizskatās šādi: