Sākotnējās publicēšanas datums: 2025. gada 26. jūnijs
KB ID: 5062710
Kas ir drošā palaišana?
Secure Boot ir drošības līdzeklis aparātprogrammatūras vienotā paplašināmajā aparātprogrammatūras interfeisā (UEFI), kuras pamatā ir aparātprogrammatūra, kas palīdz nodrošināt, ka ierīces palaišanas (startēšanas) secībā darbojas tikai uzticama programmatūra. Tā darbojas, pārbaudot pirmssāknēšanas programmatūras ciparparakstu pret uzticamu ciparsertifikātu kopu (zināmi arī kā sertificēšanas iestāde vai CA), kas tiek glabāti ierīces aparātprogrammatūras formātā. Kā nozares standarts UEFI Secure Boot definē, kā platformas aparātprogrammatūra pārvalda sertifikātus, autentificē aparātprogrammatūru un kā operētājsistēmas (OS) interfeisi ar šo procesu. Lai iegūtu papildinformāciju par UEFI un drošo sāknēšanu, skatiet rakstu Droša palaišana.
Drošā palaišana pirmo reizi tika ieviesta Windows 8 lai aizsargātu pret jaunās pirmssāknēšanas ļaunprogrammatūru (tiek dēvēta arī par sāknēšanas rīku) apdraudējumu šajā laikā. Platformas inicializācijas ietvaros Secure Boot autentificē aparātprogrammatūras moduļus pirms izpildes. Šie moduļi ietver UEFI aparātprogrammatūras draiverus (piemēram, opciju ROM), sāknēšanas ielādētājus un lietojumprogrammas. Drošas sāknēšanas procesa pēdējā darbībā aparātprogrammatūra pārbauda, vai drošā palaišana uzticas sāknēšanas ielādētājam. Pēc tam aparātprogrammatūra nodod vadīklu startēšanas ielādei, kas savukārt pārbauda, ielādējas atmiņā un startē Windows OS.
Secure Boot definē uzticamu kodu, izmantojot aparātprogrammatūras politiku, kas iestatīta ražošanas laikā. Šīs politikas izmaiņas, piemēram, sertifikātu pievienošanu vai atsaukšanu, kontrolē atslēgu hierarhija. Šī hierarhija sākas ar platformas atslēgu (Platform Key — PK), kas parasti pieder aparatūras ražotājam, kam seko atslēgu reģistrācijas atslēga (Key Enrollment Key — KEK) (tiek dēvēta arī par atslēgu exchange atslēgu), kas var ietvert Microsoft KEK un citas OEM KEK. Atļautā paraksta datu bāze (DB) un neatļautā paraksta datu bāze (Disallowed Signature Database — DBX) nosaka, kuru kodu var palaist UEFI vidē pirms OS startēšanas. DB ietver sertifikātus, ko pārvalda Microsoft un OEM, savukārt dbX atjaunina korporācija Microsoft ar jaunākajiem atsaukšanas 2010. gada 1. Jebkura persona ar KEK var atjaunināt DB un DBX.
Windows drošās sāknēšanas sertifikāti beidzas 2026. gadā
Tā kā operētājsistēmā Windows tika ieviests drošas sāknēšanas atbalsts, visas Windows ierīces KEK un DB ir pārnestas uz vienu un to pašu Microsoft sertifikātu kopu. Šiem sākotnējiem sertifikātiem tuvosies to derīguma beigu datums, un tiek ietekmēts jūsu ierīces derīguma termiņš, ja tai ir kāda no norādītajām sertifikāta versijām. Lai turpinātu izmantot operētājsistēmu Windows un saņemtu regulārus drošas sāknēšanas konfigurācijas atjauninājumus, šie sertifikāti ir jāatjaunina.
Terminoloģija
-
KEK: Atslēgas reģistrācijas atslēga
-
CA: Sertificēšanas iestāde
-
DB: Droša sāknēšanas paraksta datu bāze
-
DBX: Secure Boot Revoked Signature Database
|
Sertifikāts, kas beidzas |
Derīguma beigu datums |
Jauns sertifikāts |
Glabāšanas vieta |
Mērķis |
|
Microsoft Corporation KEK CA 2011 |
2026. gada jūnijs |
Microsoft Corporation KEK CA 2023 |
Glabāts kek |
Paraksta DB un DBX atjauninājumus. |
|
Microsoft Windows Production PCA 2011 |
2026. gada okt. |
Windows UEFI CA 2023 |
Saglabāts DB |
Tiek izmantots Windows sāknēšanas ielādētāja parakstīšanai. |
|
Microsoft UEFI CA 2011* |
2026. gada jūnijs |
Microsoft UEFI CA 2023 |
Saglabāts DB |
Paraksta trešo pušu boot loaderus un EFI lietojumprogrammas. |
|
Microsoft UEFI CA 2011* |
2026. gada jūnijs |
Microsoft Option ROM CA 2023 |
Saglabāts DB |
Paraksta trešo pušu opciju ROM |
*Microsoft Corporation UEFI CA 2011 sertifikāta atjaunošanas laikā divi sertifikāti atdala sāknēšanas ielādētāja pierakstīšanos no ROM opcijas parakstīšanas. Tādējādi varat pilnties kontrolēt sistēmas uzticamību. Piemēram, sistēmas, kurām ir jāuzticas opciju ROM, var pievienot Microsoft Option ROM UEFI CA 2023 bez uzticēšanās trešo pušu boot loaderiem.
Korporācija Microsoft ir izdevusi atjauninātus sertifikātus, lai nodrošinātu drošas sāknēšanas aizsardzības nepārtrauktību Windows ierīcēs. Microsoft pārvaldīs šo jauno sertifikātu atjaunināšanas procesu ievērojamai Windows ierīču daļai. Turklāt mēs piedāvājam detalizētus norādījumus organizācijām, kas pārvalda pašu ierīču atjauninājumus.
Svarīgi Kad beidzas 2011. gada CAS derīgums, Windows ierīces, kurās nav jaunu 2023. gada sertifikātu, vairs nevar saņemt drošības labojumus pirmssāknēšanas komponentiem, kas solo Windows sāknēšanas drošību.
Aicinājums rīkoties
Iespējams, būs jāveic darbības, lai pārliecinātos, vai jūsu Windows ierīce paliek droša, kad sertifikātu derīgums beigsies 2026. gadā. Gan UEFI Secure Boot DB, gan KEK ir jāatjaunina ar atbilstošajām jaunajām 2023. gada sertifikātu versijām. Papildinformāciju par jaunajiem sertifikātiem skatiet rakstā Windows drošās sāknēšanas atslēgu izveide un pārvaldība.
Svarīgi Bez atjauninājumiem Windows ierīces ar iespējotu drošo sāknēšanas versiju riskē saņemt drošības atjauninājumus vai uzticēties jaunajiem palaišanas ielādētājiem, kas radītu apdraudējumu pakalpojuma lietojamībai un drošībai.
Darbības var atšķirties atkarībā no jūsu Windows ierīces veida. Izvēlieties ierīces veida izvēlnē pa kreisi un konkrētu veicamo darbību.
