Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties

Certificaat voor beveiligd opstarten verlopen

De configuratie van certificeringsinstanties (CA's), ook wel certificaten genoemd, geleverd door Microsoft als onderdeel van de infrastructuur voor beveiligd opstarten, is hetzelfde gebleven sinds Windows 8 en Windows Server 2012. Deze certificaten worden opgeslagen in de variabelen Signature Database (DB) en Key Exchange Key (KEK) in de firmware. Microsoft heeft dezelfde drie certificaten verstrekt in het OEM-ecosysteem (Original Equipment Manufacturer) om op te nemen in de firmware van het apparaat. Deze certificaten ondersteunen Beveiligd opstarten in Windows en worden ook gebruikt door besturingssystemen van derden. De volgende certificaten worden geleverd door Microsoft:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

Wat verandert er?

De huidige Microsoft Secure Boot-certificaten (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) beginnen te verlopen in juni 2026 en zouden in oktober 2026 verlopen. 

Nieuwe 2023-certificaten worden geïmplementeerd om de beveiliging en continuïteit van beveiligd opstarten te behouden. Apparaten moeten worden bijgewerkt naar de 2023-certificaten voordat de 2011-certificaten verlopen, anders zijn ze niet meer aan de beveiligingscompatibiliteit en lopen ze risico.  

Windows-apparaten die sinds 2012 zijn gemaakt, kunnen verlopende versies van certificaten hebben, die moeten worden bijgewerkt. 

Terminologie

Certificaten

Status van beveiligd opstarten in uw hele vloot verifiëren: is Beveiligd opstarten ingeschakeld? 

De meeste apparaten die sinds 2012 worden geproduceerd, bieden ondersteuning voor Beveiligd opstarten en worden geleverd met Beveiligd opstarten ingeschakeld. Voer een van de volgende handelingen uit om te controleren of Beveiligd opstarten is ingeschakeld op een apparaat: 

• GUI-methode: Ga naar Instellingen voor start> >Privacy & Security > Windows-beveiliging > Device Security. Onder Apparaatbeveiliging moet de sectie Beveiligd opstarten aangeven dat Beveiligd opstarten is ingeschakeld.

• Opdrachtregelmethode: Typ bij een opdrachtprompt met verhoogde bevoegdheid in PowerShell Confirm-SecureBootUEFI en druk op Enter. De opdracht moet True retourneren om aan te geven dat Beveiligd opstarten is ingeschakeld.

Bij grootschalige implementaties voor een vloot apparaten moet de beheersoftware die door IT-professionals wordt gebruikt, een controle bieden op het inschakelen van beveiligd opstarten. 

De methode voor het controleren van de status Beveiligd opstarten op door Microsoft Intune beheerde apparaten is bijvoorbeeld het maken en implementeren van een aangepast Intune-nalevingsscript. Intune-nalevingsinstellingen worden behandeld in Aangepaste nalevingsinstellingen gebruiken voor Linux- en Windows-apparaten met Microsoft Intune.  

Hoe updates worden geïmplementeerd

Er zijn meerdere manieren om apparaten te targeten voor de certificaatupdates voor beveiligd opstarten. Implementatiedetails, waaronder instellingen en gebeurtenissen, worden verderop in dit document besproken. Wanneer u een apparaat richt op updates, wordt er een instelling op het apparaat gemaakt om aan te geven dat het apparaat moet beginnen met het toepassen van de nieuwe certificaten. Een geplande taak wordt elke 12 uur op het apparaat uitgevoerd en detecteert dat het apparaat is gericht op de updates. Een overzicht van wat de taak doet is als volgt:

1. De Windows UEFI CA 2023 wordt toegepast op de database.

2. Als het apparaat de Microsoft Corporation UEFI CA 2011 in de database heeft, past de taak de Microsoft Option ROM UEFI CA 2023 en de Microsoft UEFI CA 2023 toe op de database.

3. De taak voegt vervolgens de Microsoft Corporation KEK 2K CA 2023 toe.

4. Ten slotte werkt de geplande taak het Windows-opstartbeheer bij naar de taak die is ondertekend door de Windows UEFI CA 2023. Windows detecteert dat opnieuw opstarten nodig is voordat het opstartbeheer kan worden toegepast. De opstartbeheerupdate wordt uitgesteld totdat het opnieuw opstarten vanzelf plaatsvindt (bijvoorbeeld wanneer maandelijkse updates worden toegepast) en vervolgens zal Windows opnieuw proberen de update van opstartbeheer toe te passen.

Elk van de bovenstaande stappen moet worden voltooid voordat de geplande taak naar de volgende stap wordt verplaatst. Tijdens dit proces zijn gebeurtenislogboeken en andere statussen beschikbaar om te helpen bij het bewaken van de implementatie. Meer informatie over bewakings- en gebeurtenislogboeken vindt u hieronder.  

Als u de certificaten voor beveiligd opstarten bijwerkt, kunt u in de toekomst een update uitvoeren naar 2023 Boot Manager, die veiliger is. Specifieke updates voor Boot Manager zijn in toekomstige releases.

Implementatiestappen 

• Voorbereiding: Inventaris- en testapparaten.

• Overwegingen voor firmware

• Bewaking: controleer of de bewaking werkt en de basislijn van uw vloot.

• Implementatie: Richt apparaten op updates, te beginnen met kleine subsets en uitbreiden op basis van geslaagde tests.

• Herstel: onderzoek en los eventuele problemen op met behulp van logboeken en ondersteuning van leveranciers.

Voorbereiding 

Inventaris van hardware en firmware. Bouw een representatief voorbeeld van apparaten op basis van systeemfabrikant, systeemmodel, BIOS-versie/-datum, baseboard-productversie, enzovoort, en test updates op deze voorbeelden voordat deze breed worden geïmplementeerd.  Deze parameters zijn algemeen beschikbaar in systeeminformatie (MSINFO32). 

Voorbeelden van PowerShell-opdrachten voor het verzamelen van de gegevens zijn:

Overwegingen voor firmware

Voor het implementeren van de nieuwe secure boot-certificaten op uw apparaten moet de firmware van het apparaat een rol spelen bij het voltooien van de update. Hoewel Microsoft verwacht dat de meeste firmware van het apparaat werkt zoals verwacht, is zorgvuldige tests nodig voordat de nieuwe certificaten worden geïmplementeerd.

Bekijk uw hardware-inventaris en bouw een kleine, representatieve steekproef van apparaten op basis van de volgende unieke criteria, zoals: 

• Fabrikant

• Modelnummer

• Firmwareversie

• OEM Baseboard-versie, enzovoort

Voordat u breed implementeert op apparaten in uw vloot, raden we u aan de certificaatupdates te testen op representatieve voorbeeldapparaten (zoals gedefinieerd door factoren zoals fabrikant, model, firmwareversie) om ervoor te zorgen dat de updates correct worden verwerkt. Aanbevolen richtlijnen voor het aantal voorbeeldapparaten dat moet worden getest voor elke unieke categorie is 4 of meer.

Dit helpt bij het opbouwen van vertrouwen in uw implementatieproces en helpt onverwachte gevolgen voor uw bredere vloot te voorkomen. 

In sommige gevallen is mogelijk een firmware-update vereist om de certificaten voor beveiligd opstarten bij te werken. In deze gevallen raden we u aan om te controleren bij de OEM van uw apparaat om te zien of er bijgewerkte firmware beschikbaar is.

Windows in gevirtualiseerde omgevingen

Voor Windows die wordt uitgevoerd in een virtuele omgeving, zijn er twee methoden om de nieuwe certificaten toe te voegen aan de firmwarevariabelen voor beveiligd opstarten:  

• De maker van de virtuele omgeving (AWS, Azure, Hyper-V, VMware, enzovoort) kan een update voor de omgeving leveren en de nieuwe certificaten opnemen in de gevirtualiseerde firmware. Dit werkt voor nieuwe gevirtualiseerde apparaten.

• Voor Windows die op lange termijn op een VM wordt uitgevoerd, kunnen de updates net als andere apparaten via Windows worden toegepast, als de gevirtualiseerde firmware beveiligd opstarten-updates ondersteunt.

Bewaking en implementatie 

U wordt aangeraden de apparaatbewaking vóór de implementatie te starten om ervoor te zorgen dat de bewaking correct werkt en u vooraf een goed beeld hebt van de status van de vloot. Bewakingsopties worden hieronder besproken. 

Microsoft biedt meerdere methoden voor het implementeren en bewaken van de secure boot-certificaatupdates.

Geautomatiseerde implementatie helpt 

Microsoft biedt twee implementatiehulpen. Deze hulpmiddelen kunnen nuttig zijn bij de implementatie van de nieuwe certificaten in uw vloot. Voor beide hulpmiddelen zijn diagnostische gegevens vereist.

• Optie voor cumulatieve updates met betrouwbaarheids-buckets: Microsoft kan automatisch apparaatgroepen met hoge betrouwbaarheid opnemen in maandelijkse updates op basis van diagnostische gegevens die tot nu toe zijn gedeeld, ten behoeve van systemen en organisaties die geen diagnostische gegevens kunnen delen. Voor deze stap hoeven diagnostische gegevens niet te worden ingeschakeld.

  • Voor organisaties en systemen die diagnostische gegevens kunnen delen, geeft het Microsoft de zichtbaarheid en het vertrouwen dat apparaten de certificaten met succes kunnen implementeren. Meer informatie over het inschakelen van diagnostische gegevens vindt u in: Diagnostische Windows-gegevens configureren in uw organisatie. We maken 'buckets' voor elk uniek apparaat (zoals gedefinieerd door kenmerken zoals fabrikant, moederbordversie, firmwarefabrikant, firmwareversie en aanvullende gegevenspunten). Voor elke bucket bewaken we succesbewijs op meerdere apparaten. Zodra we genoeg geslaagde updates en geen fouten hebben gezien, beschouwen we de bucket als 'zeer betrouwbaar' en nemen we die gegevens op in de maandelijkse cumulatieve updates. Wanneer maandelijkse updates worden toegepast op een apparaat in een bucket met hoge betrouwbaarheid, worden de certificaten automatisch toegepast op de UEFI Secure Boot-variabelen in firmware.

  • Buckets met hoge betrouwbaarheid omvatten apparaten die de updates correct verwerken. Natuurlijk leveren niet alle apparaten diagnostische gegevens en dit kan het vertrouwen van Microsoft in de mogelijkheid van een apparaat om de updates correct te verwerken beperken.

  • Deze hulp is standaard ingeschakeld voor apparaten met een hoge betrouwbaarheid en kan worden uitgeschakeld met een apparaatspecifieke instelling. Meer informatie wordt gedeeld in toekomstige Windows-releases.

• Controlled Feature Rollout (CFR):  Kies apparaten voor door Microsoft beheerde implementatie als diagnostische gegevens zijn ingeschakeld.

  • Controlled Feature Rollout (CFR) kan worden gebruikt met clientapparaten in organisatievlots. Dit vereist dat apparaten vereiste diagnostische gegevens naar Microsoft verzenden en hebben aangegeven dat het apparaat zich aanmeldt om CFR op het apparaat toe te staan. Meer informatie over hoe u zich kunt aanmelden, wordt hieronder beschreven.

  • Microsoft beheert het updateproces voor deze nieuwe certificaten op Windows-apparaten waar diagnostische gegevens beschikbaar zijn en de apparaten deelnemen aan controlled feature rollout (CFR). Hoewel CFR kan helpen bij de implementatie van de nieuwe certificaten, kunnen organisaties niet vertrouwen op CFR om hun vloten te herstellen. Hiervoor moet u de stappen volgen die in dit document worden beschreven in de sectie over implementatiemethoden die niet worden behandeld door geautomatiseerde hulp.

  • Beperkingen: Er zijn een aantal redenen waarom CFR mogelijk niet werkt in uw omgeving. Bijvoorbeeld:

    • Er zijn geen diagnostische gegevens beschikbaar of de diagnostische gegevens zijn niet bruikbaar als onderdeel van de CFR-implementatie.

    • Apparaten maken geen gebruik van ondersteunde clientversies van Windows 11 en Windows 10 met uitgebreide beveiligingsupdates (ESU).

Implementatiemethoden die niet worden gedekt door geautomatiseerde hulp

Kies de methode die bij uw omgeving past. Vermijd mengmethoden op hetzelfde apparaat: 

• Registersleutels: beheer de implementatie en bewaak resultaten.
  Er zijn meerdere registersleutels beschikbaar voor het beheren van het gedrag van de implementatie van de certificaten en voor het bewaken van de resultaten. Daarnaast zijn er twee sleutels voor het in- en afmelden van de hierboven beschreven implementatiehulpmiddelen. Zie Registersleutel Updates voor Beveiligd opstarten - Windows-apparaten met door IT beheerde updates voor meer informatie over de registersleutels.

• groepsbeleid Objecten (GPO) : Instellingen beheren; bewaken via register- en gebeurtenislogboeken.
  Microsoft biedt ondersteuning voor het beheren van de secure boot-updates met behulp van groepsbeleid in een toekomstige update. Aangezien groepsbeleid voor instellingen is, moet het bewaken van de apparaatstatus worden uitgevoerd met behulp van alternatieve methoden, waaronder het bewaken van registersleutels en vermeldingen in het gebeurtenislogboek.

• WinCS (Windows Configuration System) CLI: opdrachtregelprogramma's gebruiken voor clients die lid zijn van een domein.
  Domeinbeheerders kunnen ook het Windows Configuration System (WinCS) gebruiken dat is opgenomen in Windows-besturingssysteemupdates om de updates voor beveiligd opstarten te implementeren op Windows-clients en -servers die lid zijn van een domein. Het bestaat uit een reeks opdrachtregelprogramma's (zowel een traditioneel uitvoerbaar bestand als een PowerShell-module) voor het uitvoeren van query's en het lokaal toepassen van configuraties voor beveiligd opstarten op een computer. Zie Windows Configuration System (WinCS) API's voor beveiligd opstarten voor meer informatie.

• Microsoft Intune/Configuration Manager: PowerShell-scripts implementeren. In een toekomstige update wordt een Configuration Service Provider (CSP) verstrekt om implementatie met Intune mogelijk te maken.

Gebeurtenislogboeken bewaken

Er worden twee nieuwe gebeurtenissen aangeboden om te helpen bij het implementeren van de certificaatupdates voor beveiligd opstarten. Deze gebeurtenissen worden gedetailleerd beschreven in Updategebeurtenissen van Secure Boot DB en DBX-variabele: 

• Gebeurtenis-id: 1801
  Deze gebeurtenis is een foutgebeurtenis die aangeeft dat de bijgewerkte certificaten niet zijn toegepast op het apparaat. Deze gebeurtenis geeft enkele details die specifiek zijn voor het apparaat, waaronder apparaatkenmerken, die helpen bij het correleren welke apparaten nog moeten worden bijgewerkt.

• Gebeurtenis-id: 1808
  Deze gebeurtenis is een informatieve gebeurtenis die aangeeft dat op het apparaat de vereiste nieuwe Secure Boot-certificaten zijn toegepast op de firmware van het apparaat.

Implementatiestrategieën 

Als u risico's wilt minimaliseren, implementeert u Updates voor beveiligd opstarten in fasen in plaats van allemaal tegelijk. Begin met een kleine subset van apparaten, valideer de resultaten en vouw vervolgens uit naar extra groepen. We raden u aan om te beginnen met subsets van apparaten en, naarmate u meer vertrouwen krijgt in deze implementaties, extra subsets van apparaten toe te voegen. Er kunnen meerdere factoren worden gebruikt om te bepalen wat er in een subset wordt opgenomen, waaronder testresultaten op voorbeeldapparaten en organisatiestructuur, enzovoort. 

U bepaalt zelf welke apparaten u implementeert. Enkele mogelijke strategieën worden hier vermeld. 

• Grote apparaatpark: vertrouw eerst op de hierboven beschreven hulpmiddelen voor de meest voorkomende apparaten die u beheert. Richt u tegelijkertijd op de minder algemene apparaten die door uw organisatie worden beheerd. Test kleine voorbeeldapparaten en implementeer, als het testen is geslaagd, op de rest van de apparaten van hetzelfde type. Als de test problemen oplevert, onderzoekt u de oorzaak van het probleem en bepaalt u de herstelstappen. Misschien wilt u ook klassen apparaten overwegen die een hogere waarde in uw vloot hebben en beginnen met testen en implementeren om ervoor te zorgen dat die apparaten de beveiliging vroegtijdig hebben bijgewerkt.

• Kleine vloot, grote variëteit: Als de vloot die u beheert een grote verscheidenheid aan machines bevat waar het testen van afzonderlijke apparaten onbetaalbaar zou zijn, kunt u overwegen om sterk te vertrouwen op de twee hierboven beschreven hulpmiddelen, met name voor apparaten die waarschijnlijk algemene apparaten op de markt zijn. Richt u in eerste instantie op apparaten die essentieel zijn voor de dagelijkse werking, testen en vervolgens implementeren. Ga verder met het omlaag gaan van de lijst met apparaten met hoge prioriteit, testen en implementeren terwijl u de vloot bewaakt om te controleren of de hulpmiddelen helpen met de rest van de apparaten.

Opmerkingen 

• Let op oudere apparaten, met name apparaten die niet meer worden ondersteund door de fabrikant. Hoewel de firmware de updatebewerkingen correct moet uitvoeren, kunnen sommige niet worden uitgevoerd. In gevallen waarin de firmware niet goed werkt en het apparaat niet meer wordt ondersteund, kunt u overwegen het apparaat te vervangen om beveiligd opstarten in uw hele vloot te garanderen.

• Op nieuwe apparaten die in de afgelopen 1-2 jaar zijn gemaakt, zijn de bijgewerkte certificaten mogelijk al aanwezig, maar mogelijk is de windows UEFI CA 2023-ondertekende opstartmanager niet toegepast op het systeem. Het toepassen van dit opstartbeheer is een kritieke laatste stap in de implementatie voor elk apparaat.

• Zodra een apparaat is geselecteerd voor updates, kan het enige tijd duren voordat de updates zijn voltooid. Schat 48 uur en een of meer herstarts om de certificaten toe te passen.

Veelvoorkomende problemen en aanbevelingen

In deze handleiding wordt gedetailleerd beschreven hoe het updateproces van het Secure Boot-certificaat werkt en worden enkele stappen beschreven om op te lossen als er problemen optreden tijdens de implementatie op apparaten. Updates aan deze sectie wordt indien nodig toegevoegd.

Ondersteuning voor secure boot-certificaatimplementatie 

Ter ondersteuning van de certificaatupdates voor beveiligd opstarten onderhoudt Windows een geplande taak die elke 12 uur wordt uitgevoerd. De taak zoekt naar bits in de registersleutel AvailableUpdates die moeten worden verwerkt. De interessante bits die worden gebruikt voor het implementeren van de certificaten staan in de volgende tabel. In de kolom Order wordt de volgorde aangegeven waarop de bits worden verwerkt.

Elk van de bits wordt verwerkt door de geplande gebeurtenis in de volgorde die is opgegeven in de bovenstaande tabel.

De voortgang door de bits moet er als volgt uitzien: 

1. Start: 0x5944

2. 0x0040 → 0x5904 (De Windows UEFI CA 2023 is toegepast)

3. 0x0800 → 0x5104 (indien nodig de Microsoft UEFI CA 2023 toegepast)

4. 0x1000 → 0x4104 (indien nodig de Microsoft Option ROM UEFI CA 2023 toegepast)

5. 0x0004 → 0x4100 (De Microsoft Corporation KEK 2K CA 2023 toegepast)

6. 0x0100 → 0x4000 (De door Windows UEFI CA 2023 ondertekende opstartmanager toegepast)

Opmerkingen

• Zodra de bewerking die aan een bit is gekoppeld, is voltooid, wordt die bit gewist uit de AvailableUpdates-sleutel .

• Als een van deze bewerkingen mislukt, wordt een gebeurtenis geregistreerd en wordt de bewerking opnieuw uitgevoerd wanneer de geplande taak de volgende keer wordt uitgevoerd.

• Als bit 0x4000 is ingesteld, wordt deze niet gewist. Nadat alle andere bits zijn verwerkt, wordt de registersleutel AvailableUpdates ingesteld op 0x4000.

Probleem 1: KEK-updatefout: het apparaat werkt certificaten bij naar de Secure Boot-database, maar gaat niet verder dan de implementatie van het nieuwe sleuteluitwisselingssleutelcertificaat naar de KEK Beveiligd opstarten. 

Opmerking Wanneer dit probleem zich momenteel voordoet, wordt een gebeurtenis-id: 1796 vastgelegd (zie Updategebeurtenissen van Secure Boot DB en DBX-variabele). In een latere release wordt een nieuwe gebeurtenis verstrekt om dit specifieke probleem aan te geven. 

De registersleutel AvailableUpdates op een apparaat is ingesteld op 0x4104 en wist de 0x0004 bit niet, zelfs niet nadat meerdere keer opnieuw is opgestart en er veel tijd is verstreken. 

Het probleem kan zijn dat er geen KEK is ondertekend door de PK van de OEM voor het apparaat. De OEM beheert de PK voor het apparaat en is verantwoordelijk voor het ondertekenen van het nieuwe Microsoft KEK-certificaat en het terugsturen naar Microsoft, zodat het kan worden opgenomen in de maandelijkse cumulatieve updates. 

Als u deze fout ondervindt, neem dan contact op met uw OEM om te bevestigen dat deze de stappen heeft gevolgd die worden beschreven in Richtlijnen voor het maken en beheren van Windows Secure Boot-sleutels.  

Probleem 2: Firmwarefouten: bij het toepassen van de certificaatupdates worden de certificaten overgedragen aan de firmware om van toepassing te zijn op de variabelen Secure Boot DB of KEK. In sommige gevallen retourneert de firmware een fout. 

Wanneer dit probleem zich voordoet, wordt met Beveiligd opstarten een gebeurtenis-id geregistreerd: 1795. Zie Updategebeurtenissen van Secure Boot DB en DBX-variabele voor meer informatie over deze gebeurtenis. 

We raden u aan contact op te halen met de OEM om te zien of er een firmware-update beschikbaar is voor het apparaat om dit probleem op te lossen.