Wygaśnięcie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji

Co to jest bezpieczny rozruch?

Bezpieczny rozruch to funkcja zabezpieczeń w oprogramowaniu układowym opartym na interfejsie UEFI (Unified Extensible Firmware Interface), która zapewnia, że podczas sekwencji rozruchu (uruchamiania) urządzenia działa tylko zaufane oprogramowanie. Jego działaniem jest weryfikowanie podpisu cyfrowego oprogramowania przed rozruchem w zestawie zaufanych certyfikatów cyfrowych (nazywanych również urzędem certyfikacji) przechowywanych w oprogramowaniu układowym urządzenia. Jako standard branżowy, bezpieczny rozruch UEFI definiuje, jak oprogramowanie układowe platformy zarządza certyfikatami, uwierzytelnia oprogramowanie układowe i jak system operacyjny (OS) łączy się z tym procesem. Aby uzyskać więcej informacji na temat interfejsu UEFI i bezpiecznego rozruchu, zobacz Bezpieczny rozruch.

Bezpieczny rozruch został wprowadzony w Windows 8 w celu ochrony przed pojawiającym się wówczas zagrożeniem ze strony złośliwego oprogramowania (nazywanego również zestawem rozruchowym). W ramach inicjowania platformy bezpieczny rozruch uwierzytelnia moduły oprogramowania układowego przed wykonaniem. Moduły te obejmują sterowniki oprogramowania układowego UEFI (takie jak roMy opcji), ładowarki rozruchowe i aplikacje. Jako ostatni krok procesu bezpiecznego rozruchu oprogramowanie układowe sprawdza, czy program ładujący jest zaufany. Następnie oprogramowanie układowe przekazuje kontrolę do modułu ładującego rozruch, który z kolei weryfikuje, ładuje się do pamięci i uruchamia system operacyjny Windows.

Bezpieczny rozruch definiuje kod zaufany za pomocą zestawu zasad oprogramowania układowego podczas produkcji. Zmiany tych zasad, takie jak dodawanie lub odwoływanie certyfikatów, są kontrolowane przez hierarchię kluczy. Ta hierarchia zaczyna się od klucza platformy (PK), zwykle należącego do producenta sprzętu, a następnie klucza rejestracji klucza (KEK) (nazywanego również kluczem wymiany kluczy), który może obejmować KEK firmy Microsoft i inne klucze KEK producentów OEM. Bazy danych dozwolone podpisy (DB) i Disallowed Signature Database (DBX) określają, który kod może być uruchamiany w środowisku UEFI przed uruchomieniem systemu operacyjnego. Baza danych zawiera certyfikaty zarządzane przez firmę Microsoft i producenta OEM, natomiast DBX jest aktualizowany przez firmę Microsoft o najnowsze odwołania. Każda jednostka z KEK może zaktualizować DB i DBX.

Wpływ wygaśnięcia certyfikatu bezpiecznego rozruchu

Firma Microsoft aktualizuje certyfikaty bezpiecznego rozruchu pierwotnie wydane w 2011 r., aby zapewnić, że urządzenia z systemem Windows będą nadal weryfikować zaufane oprogramowanie rozruchowe. Te starsze certyfikaty zaczynają wygasać w czerwcu 2026 r. Urządzenia, które nie otrzymały nowszych certyfikatów 2023, będą nadal uruchamiać się i działać normalnie, a standardowe aktualizacje systemu Windows będą nadal instalowane. Jednak te urządzenia nie będą już mogły otrzymywać nowych zabezpieczeń dla wczesnego procesu rozruchu, w tym aktualizacji Menedżera rozruchu systemu Windows, baz danych bezpiecznego rozruchu, list odwołań ani środków łagodzących nowo odkryte luki w zabezpieczeniach poziomu rozruchu. 

Z czasem ogranicza to ochronę urządzenia przed pojawiającymi się zagrożeniami i może wpływać na scenariusze oparte na zaufaniu bezpiecznego rozruchu, takie jak twardnienie funkcji BitLocker lub rozruchy innych firm. Większość urządzeń z systemem Windows automatycznie otrzyma zaktualizowane certyfikaty, a wielu producentach OEM dostarcza aktualizacje oprogramowania układowego w razie potrzeby. Bieżące aktualizowanie urządzenia pozwala zapewnić, że nadal będzie ono mogło korzystać z pełnego zestawu zabezpieczeń, które ma zapewnić bezpieczny rozruch.

Certyfikaty bezpiecznego rozruchu systemu Windows wygasają w 2026 r.

Od czasu wprowadzenia przez system Windows obsługi bezpiecznego rozruchu wszystkie urządzenia z systemem Windows miały ten sam zestaw certyfikatów firmy Microsoft w KEK i DB. Te oryginalne certyfikaty zbliżają się do daty wygaśnięcia, a problem dotyczy twojego urządzenia, jeśli ma dowolną z wymienionych wersji certyfikatów. Aby nadal korzystać z systemu Windows i otrzymywać regularne aktualizacje konfiguracji bezpiecznego rozruchu, musisz zaktualizować te certyfikaty.

Terminologii

• KEK: Klucz rejestracji

• CA: Urząd certyfikacji

• DB: Baza danych podpisu bezpiecznego rozruchu

• DBX: Baza danych odwołana podpisu bezpiecznego rozruchu

Firma Microsoft wydała zaktualizowane certyfikaty, aby zapewnić ciągłość ochrony bezpiecznego rozruchu na urządzeniach z systemem Windows. Firma Microsoft będzie zarządzać procesem aktualizacji tych nowych certyfikatów na znacznej części urządzeń z systemem Windows. Ponadto zaoferujemy szczegółowe wskazówki dla organizacji, które zarządzają własnymi aktualizacjami urządzenia.

Wezwanie do działania

Może być konieczne podjęcie działań w celu zapewnienia bezpieczeństwa urządzenia z systemem Windows po wygaśnięciu certyfikatów w 2026 r. Zarówno baza danych bezpiecznego rozruchu UEFI, jak i KEK muszą zostać zaktualizowane o odpowiednie nowe wersje certyfikatów w wersji 2023. Aby uzyskać więcej informacji na temat nowych certyfikatów, zobacz Wskazówki dotyczące tworzenia i zarządzania bezpiecznym kluczem rozruchu systemu Windows. 

Twoje akcje różnią się w zależności od typu posiadanego urządzenia z systemem Windows. Wybierz z menu po lewej stronie typ urządzenia i określoną akcję, którą chcesz wykonać.