Opprinnelig publiseringsdato: 26. juni 2025 kl.
KB-ID: 5062710
Hva er sikker oppstart?
Sikker oppstart er en sikkerhetsfunksjon i UEFI-basert fastvare (Unified Extensible Firmware Interface) som bidrar til å sikre at bare klarert programvare kjører under en enhets oppstartssekvens (start). Det fungerer ved å bekrefte den digitale signaturen til forhåndsoppstartet programvare mot et sett med klarerte digitale sertifikater (også kjent som sertifiseringsinstans eller SERTIFISERING) som er lagret i enhetens fastvare. Som en bransjestandard definerer UEFI Secure Boot hvordan plattform-fastvaren administrerer sertifikater, godkjenner fastvare og hvordan operativsystemets grensesnitt (OS) med denne prosessen. Hvis du vil ha mer informasjon om UEFI og sikker oppstart, kan du se Sikker oppstart.
Sikker oppstart ble først introdusert i Windows 8 for å beskytte mot den nye pre-boot malware (også kjent som en bootkit) trussel på den tiden. Som en del av plattform-initialisering godkjenner Secure Boot fastvaremoduler før kjøring. Disse modulene inkluderer UEFI-fastvaredrivere (for eksempel OPTION ROMs), oppstartslastere og programmer. Som det siste trinnet i prosessen for sikker oppstart bekrefter fastvaren om sikker oppstart klarerer oppstartslasteren. Deretter sender fastvaren kontrollen til oppstartslasteren, som igjen bekrefter, lastes inn i minnet og starter Windows OS.
Sikker oppstart definerer klarert kode gjennom en fastvarepolicy som er angitt under produksjon. Endringer i denne policyen, for eksempel å legge til eller tilbakekalle sertifikater, kontrolleres av et hierarki med nøkler. Dette hierarkiet starter med plattformnøkkelen (PK), som vanligvis eies av maskinvareprodusenten, etterfulgt av KEY Enrollment Key (KEK) (også kjent som Key Exchange Key), som kan omfatte en Microsoft KEK og andre OEM KEKs. DB (Allowed Signature Database) og DBX (Disallowed Signature Database) bestemmer hvilken kode som kan kjøres i UEFI-miljøet før operativsystemet starter. DB inneholder sertifikater som administreres av Microsoft og OEM, mens DBX oppdateres av Microsoft med de nyeste tilbakekallingene. Alle enheter med en KEK kan oppdatere DB og DBX.
Sertifikater for sikker oppstart av Windows utløper i 2026
Siden Windows introduserte sikker oppstartsstøtte, har alle Windows-baserte enheter båret samme sett med Microsoft-sertifikater i KEK og DB. Disse opprinnelige sertifikatene nærmer seg utløpsdatoen, og enheten påvirkes hvis den har noen av de oppførte sertifikatversjonene. Hvis du vil fortsette å kjøre Windows og motta regelmessige oppdateringer for konfigurasjonen for sikker oppstart, må du oppdatere disse sertifikatene.
Terminologi
-
Jeg har ikke noe å gjøre med deg. Nøkkelregistreringsnøkkel
-
Sertifiseringsinstans: Sertifiseringsinstans
-
DB: Signaturdatabase for sikker oppstart
-
DBX: Tilbaketrukket signaturdatabase for sikker oppstart
|
Utløpssertifikat |
Utløpsdato |
Nytt sertifikat |
Lagringsplassering |
Hensikt |
|
Microsoft Corporation KEK CA 2011 |
Juni 2026 |
Microsoft Corporation KEK CA 2023 |
Lagret i KEK |
Signerer oppdateringer for DB og DBX. |
|
Microsoft Windows Production PCA 2011 |
Oktober 2026 |
Windows UEFI CA 2023 |
Lagret i DB |
Brukes til å signere Windows-oppstartslasteren. |
|
Microsoft UEFI CA 2011* |
Juni 2026 |
Microsoft UEFI CA 2023 |
Lagret i DB |
Signerer tredjeparts oppstartslastere og EFI-programmer. |
|
Microsoft UEFI CA 2011* |
Juni 2026 |
Microsoft Option ROM CA 2023 |
Lagret i DB |
Signerer tredjeparts alternativ ROMs |
*Under fornyelsen av Microsoft Corporation UEFI CA 2011-sertifikatet skiller to sertifikater oppstartslastersignering fra alternativ-ROM-signering. Dette gir bedre kontroll over systemklarering. Systemer som trenger å klarere alternativ roms kan for eksempel legge til Microsoft Option ROM UEFI CA 2023 uten å legge til klarering for tredjeparts oppstartslastere.
Microsoft har utstedt oppdaterte sertifikater for å sikre kontinuitet i sikker oppstartsbeskyttelse på Windows-enheter. Microsoft vil administrere oppdateringsprosessen for disse nye sertifikatene på en betydelig del av Windows-enheter. I tillegg vil vi gi detaljert veiledning for organisasjoner som administrerer sine egne enhetsoppdateringer.
Viktig! Når 2011-SER-ene utløper, kan ikke Windows-enheter som ikke har nye 2023-sertifikater, lenger motta sikkerhetsoppdateringer for føroppstartskomponenter som går på bekostning av Windows-oppstartssikkerhet.
Klikkbart element
Du må kanskje iverksette tiltak for å sikre at Windows-enheten forblir sikker når sertifikatene utløper i 2026. Både UEFI Secure Boot DB og KEK må oppdateres med tilsvarende nye 2023-sertifikatversjoner. Hvis du vil ha mer informasjon om de nye sertifikatene, kan du se Windows Secure Boot Key Creation and Management Guidance.
Viktig! Uten oppdateringer risikerer de sikre oppstartsaktiverte Windows-enhetene å ikke motta sikkerhetsoppdateringer eller klarere nye oppstartslastere som vil kompromittere både service og sikkerhet.
Handlingene varierer avhengig av hvilken type Windows-enhet du har. Velg fra menyen til venstre for enhetstypen og den bestemte handlingen du må utføre.
