Aktualizacje certyfikatu bezpiecznego rozruchu: wskazówki dla informatyków i organizacji

Wygaśnięcie certyfikatu bezpiecznego rozruchu

Od Windows 8 i Windows Server 2012 konfiguracja urzędów certyfikacji, nazywanych również certyfikatami dostarczonymi przez firmę Microsoft w ramach infrastruktury bezpiecznego rozruchu, pozostała taka sama. Te certyfikaty są przechowywane w zmiennych Signature Database (DB) i Key Exchange Key (KEK) w oprogramowaniu układowym. Firma Microsoft dostarczyła te same trzy certyfikaty w całym ekosystemie producenta oryginalnego sprzętu (OEM), aby uwzględnić je w oprogramowaniu układowym urządzenia. Te certyfikaty obsługują bezpieczny rozruch w systemie Windows i są również używane przez systemy operacyjne innych firm. Firma Microsoft udostępnia następujące certyfikaty:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

Co się zmienia?

Bieżące certyfikaty bezpiecznego rozruchu firmy Microsoft (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) zaczną wygasać od czerwca 2026 r. i wygasną do października 2026 r. 

Nowe certyfikaty 2023 są wdrażane w celu zapewnienia bezpieczeństwa bezpiecznego rozruchu i ciągłości. Urządzenia muszą zostać zaktualizowane do certyfikatów z 2023 r., zanim wygasną certyfikaty z 2011 r. lub zostaną niezgodne z zabezpieczeniami i zagrożone.  

Urządzenia z systemem Windows produkowane od 2012 roku mogą mieć wygasające wersje certyfikatów, które muszą zostać zaktualizowane. 

Terminologia

Certyfikaty

Sprawdzanie stanu bezpiecznego rozruchu we wszystkich flotach: Czy włączono bezpieczny rozruch? 

Większość urządzeń produkowanych od 2012 roku obsługuje bezpieczny rozruch i jest dostarczana z włączonym bezpiecznym rozruchem. Aby sprawdzić, czy na urządzeniu włączono bezpieczny rozruch, wykonaj jedną z następujących czynności: 

• Metoda GUI: Przejdź do menu Start ustawienia > >prywatność & zabezpieczenia> Zabezpieczenia Windows > zabezpieczenia urządzenia. W obszarze Zabezpieczenia urządzenia sekcja Bezpieczny rozruch powinna wskazywać, że bezpieczny rozruch jest włączony.

• Metoda wiersza polecenia: W wierszu polecenia z podwyższonym poziomem uprawnień w programie PowerShell wpisz Confirm-SecureBootUEFI, a następnie naciśnij Enter. Polecenie powinno zwrócić wartość Prawda wskazującą, że bezpieczny rozruch jest włączony.

We wdrożeniach na dużą skalę dla floty urządzeń oprogramowanie do zarządzania używane przez informatyków będzie musiało sprawdzić, czy jest włączona funkcja bezpiecznego rozruchu. 

Na przykład metodą sprawdzenia stanu bezpiecznego rozruchu na urządzeniach zarządzanych przez usługę Microsoft Intune jest utworzenie i wdrożenie niestandardowego skryptu zgodności usługi Intune. Ustawienia zgodności usługi Intune są opisane w temacie Używanie niestandardowych ustawień zgodności dla urządzeń z systemem Linux i Windows w usłudze Microsoft Intune.  

Sposób wdrażania aktualizacji

Istnieje wiele sposobów kierowania aktualizacji certyfikatu bezpiecznego rozruchu na urządzenia. Szczegóły wdrożenia, w tym ustawienia i zdarzenia, zostaną omówione w dalszej części tego dokumentu. Podczas kierowania na urządzenie aktualizacji na urządzeniu jest ustawiane ustawienie wskazujące, że urządzenie powinno rozpocząć proces stosowania nowych certyfikatów. Zaplanowane zadanie jest uruchamiane na urządzeniu co 12 godzin i wykrywa, że urządzenie zostało skierowane na aktualizacje. Poniżej przedstawiono konspekt zadania:

1. Interfejs UEFI SYSTEMU Windows CA 2023 jest stosowany do bazy danych.

2. Jeśli urządzenie ma w bazie danych interfejs UEFI CA 2011 firmy Microsoft Corporation, to zadanie stosuje do bazy danych microsoft option ROM UEFI CA 2023 i Microsoft UEFI CA 2023.

3. Zadanie następnie dodaje Microsoft Corporation KEK 2K CA 2023.

4. Na koniec zaplanowane zadanie aktualizuje menedżera rozruchu systemu Windows do tego podpisanego przez windows UEFI CA 2023. System Windows wykryje konieczność ponownego uruchomienia przed zastosowaniem menedżera rozruchu. Aktualizacja menedżera rozruchu będzie opóźniona do momentu naturalnego wystąpienia ponownego uruchomienia (na przykład w przypadku stosowania comiesięcznych aktualizacji), a następnie system Windows ponownie spróbuje zastosować aktualizację menedżera rozruchu.

Każdy z powyższych kroków musi zostać ukończony pomyślnie, zanim zaplanowane zadanie przejdzie do następnego kroku. W trakcie tego procesu dzienniki zdarzeń i inny stan będą dostępne w celu ułatwienia monitorowania wdrożenia. Więcej szczegółów na temat monitorowania i dzienników zdarzeń podano poniżej.  

Aktualizacja certyfikatów bezpiecznego rozruchu umożliwia zaktualizowanie menedżera rozruchu w przyszłości 2023, który jest bezpieczniejszy. Konkretne aktualizacje Menedżera rozruchu będą dostępne w przyszłych wersjach.

Kroki wdrażania 

• Przygotowanie: urządzenia do testowania i inwentaryzacji.

• Zagadnienia dotyczące oprogramowania układowego

• Monitorowanie: Weryfikuj prace kontrolne i planuj swoją flotę.

• Wdrożenie: Urządzenia docelowe dla aktualizacji, począwszy od małych podzbiorów i rozszerzając je na podstawie udanych testów.

• Rozwiązywanie problemów: zbadaj i rozwiąż wszelkie problemy za pomocą dzienników i pomocy technicznej dla dostawców.

Preparat 

Sprzęt magazynowy i oprogramowanie układowe. Stwórz reprezentatywną próbkę urządzeń na podstawie producenta systemu, modelu systemu, wersji systemu BIOS/daty, wersji produktu BaseBoard itp., a także przetestuj aktualizacje tych próbek przed szerokim wdrożeniem.  Te parametry są często dostępne w informacjach o systemie (MSINFO32). 

Przykładowe polecenia programu PowerShell służące do zbierania informacji są następujące:

Zagadnienia dotyczące oprogramowania układowego

Wdrażanie nowych certyfikatów bezpiecznego rozruchu na flocie urządzeń wymaga, aby oprogramowanie układowe urządzenia odgrywało rolę w ukończeniu aktualizacji. Chociaż firma Microsoft oczekuje, że większość oprogramowania układowego urządzenia będzie działać zgodnie z oczekiwaniami, przed wdrożeniem nowych certyfikatów konieczne są dokładne testowanie.

Przeanalizuj spis sprzętu i stwórz małą, reprezentatywną próbkę urządzeń na podstawie następujących unikatowych kryteriów, takich jak: 

• Producent

• Numer modelu

• Wersja oprogramowania układowego

• Wersja OEM Baseboard itd.

Przed szerokim wdrożeniem na urządzeniach we flocie zalecamy przetestowanie aktualizacji certyfikatów na reprezentatywnych przykładowych urządzeniach (zdefiniowanych przez czynniki, takie jak producent, model, wersja oprogramowania układowego), aby upewnić się, że aktualizacje są przetwarzane pomyślnie. Zalecane wskazówki dotyczące liczby przykładowych urządzeń do testowania dla każdej unikatowej kategorii to co najmniej 4.

Pomoże to w budowaniu pewności w procesie wdrażania i pozwoli uniknąć nieoczekiwanego wpływu na twoją szerszą flotę. 

W niektórych przypadkach do pomyślnej aktualizacji certyfikatów bezpiecznego rozruchu może być wymagana aktualizacja oprogramowania układowego. W takich przypadkach zalecamy sprawdzenie u producenta OEM urządzenia, czy jest dostępne zaktualizowane oprogramowanie układowe.

System Windows w zwirtualizowanych środowiskach

W przypadku systemu Windows działającego w środowisku wirtualnym istnieją dwie metody dodawania nowych certyfikatów do zmiennych oprogramowania układowego bezpiecznego rozruchu:  

• Twórca środowiska wirtualnego (AWS, Azure, Hyper-V, VMware itp.) może udostępnić aktualizację środowiska i dołączyć nowe certyfikaty do zwirtualizowanego oprogramowania układowego. To działa w przypadku nowych zwirtualizowanych urządzeń.

• W przypadku systemu Windows działającego długoterminowo na maszynie wirtualnej aktualizacje mogą być stosowane za pośrednictwem systemu Windows, podobnie jak na innych urządzeniach, jeśli zwirtualizowane oprogramowanie układowe obsługuje aktualizacje bezpiecznego rozruchu.

Monitorowanie i wdrażanie 

Zalecamy rozpoczęcie monitorowania urządzenia przed wdrożeniem, aby upewnić się, że monitorowanie działa poprawnie i masz z wyprzedzeniem dobre wyczucie stanu floty. Poniżej omówiono opcje monitorowania. 

Firma Microsoft udostępnia wiele metod wdrażania i monitorowania aktualizacji certyfikatu bezpiecznego rozruchu.

Zautomatyzowane asysty wdrażania 

Firma Microsoft zapewnia dwie asysty wdrażania. Te asysty mogą okazać się przydatne w ułatwianiu wdrażania nowych certyfikatów dla floty. Obie funkcje wymagają danych diagnostycznych.

• Opcja dla aktualizacji zbiorczych z zasobnikami ufności: Firma Microsoft może automatycznie uwzględniać grupy urządzeń o wysokim poziomie zaufania w miesięcznych aktualizacjach opartych na udostępnionych do tej pory danych diagnostycznych dla systemów i organizacji, które nie mogą udostępniać danych diagnostycznych. Ten krok nie wymaga włączenia danych diagnostycznych.

  • W przypadku organizacji i systemów, które mogą udostępniać dane diagnostyczne, zapewnia firmie Microsoft widoczność i pewność, że urządzenia mogą pomyślnie wdrożyć certyfikaty. Więcej informacji na temat włączania danych diagnostycznych można znaleźć w temacie: Konfigurowanie danych diagnostycznych systemu Windows w organizacji. Tworzymy "zasobniki" dla każdego unikatowego urządzenia (zgodnie z definicją atrybutów, które obejmują producenta, wersję płyty głównej, producenta oprogramowania układowego, wersję oprogramowania układowego i dodatkowe punkty danych). W przypadku każdego zasobnika monitorujemy dowody sukcesu na wielu urządzeniach. Gdy zobaczymy wystarczająco udane aktualizacje i brak niepowodzeń, rozważymy zasobnik jako "wysoki poziom pewności" i uwzględnimy te dane w comiesięcznych aktualizacjach zbiorczych. Gdy do urządzenia w zasobniku z dużą pewnością zostaną zastosowane comiesięczne aktualizacje, system Windows automatycznie zastosuje certyfikaty do zmiennych bezpiecznego rozruchu UEFI w oprogramowaniu układowym.

  • Zasobniki z dużą pewnością obsługi obejmują urządzenia, które prawidłowo przetwarzają aktualizacje. Oczywiście nie wszystkie urządzenia będą dostarczać dane diagnostyczne, co może ograniczyć firmie Microsoft pewność co do możliwości prawidłowego przetwarzania aktualizacji.

  • Ta pomoc jest domyślnie włączona dla urządzeń o dużej pewności siebie i można jej wyłączyć z ustawieniem specyficznym dla urządzenia. Więcej informacji zostanie udostępnionych w przyszłych wersjach systemu Windows.

• Wdrożenie funkcji kontrolowanych (CFR):  Włącz urządzenia do wdrożenia zarządzanego przez firmę Microsoft, jeśli są włączone dane diagnostyczne.

  • Funkcja kontrolowanego wdrażania (CFR) może być używana z urządzeniami klienckimi we flotach organizacyjnych. Wymaga to, aby urządzenia wysyłały wymagane dane diagnostyczne do firmy Microsoft i sygnalizowały, że urządzenie zezwala na dostęp CFR na urządzeniu. Szczegółowe informacje na temat sposobu udziału w programie opisano poniżej.

  • Firma Microsoft będzie zarządzać procesem aktualizacji tych nowych certyfikatów na urządzeniach z systemem Windows, na których są dostępne dane diagnostyczne, a urządzenia uczestniczą w wprowadzaniu funkcji kontrolowanych (CFR). Podczas gdy CFR może pomóc we wdrażaniu nowych certyfikatów, organizacje nie będą mogły polegać na CFR w celu korygowania swoich flot — będzie to wymagało wykonania czynności opisanych w tym dokumencie w sekcji dotyczącej metod wdrażania nieobjętych automatycznymi asystami.

  • Ograniczenia: Istnieje kilka powodów, dla których rekord CFR może nie działać w Twoim środowisku. Przykład:

    • Nie są dostępne żadne dane diagnostyczne lub nie można ich użytkować w ramach wdrożenia CFR.

    • Urządzenia nie korzystają z obsługiwanych wersji klienckich Windows 11 i Windows 10 z rozszerzonymi aktualizacjami zabezpieczeń (ESU).

Metody wdrażania nieobjęte automatycznymi asystami

Wybierz metodę, która pasuje do twojego środowiska. Unikaj metod mieszania na tym samym urządzeniu: 

• Klucze rejestru: sterowanie wdrażaniem i monitorowanie wyników.
  Dostępnych jest wiele kluczy rejestru do kontrolowania zachowania wdrażania certyfikatów i monitorowania wyników. Ponadto istnieją dwa klucze do rezygnacji z opisanych powyżej ułatwień wdrażania. Aby uzyskać więcej informacji na temat kluczy rejestru, zobacz Klucz rejestru Aktualizacje bezpiecznego rozruchu — urządzenia z systemem Windows z aktualizacjami zarządzanymi przez DZIAŁ IT.

• zasady grupy Objects (GPO): Zarządzanie ustawieniami; monitorowanie za pośrednictwem rejestru i dzienników zdarzeń.
  Firma Microsoft będzie świadczyć pomoc techniczną w zakresie zarządzania aktualizacjami bezpiecznego rozruchu przy użyciu zasady grupy w przyszłej aktualizacji. Należy pamiętać, że ponieważ zasady grupy jest dla ustawień, monitorowanie stanu urządzenia będzie wymagało korzystania z alternatywnych metod, w tym monitorowania kluczy rejestru i wpisów dziennika zdarzeń.

• Interfejs użytkownika systemu WinCS (Windows Configuration System): używanie narzędzi wiersza polecenia dla klientów przyłączonych do domeny.
  Administratorzy domeny mogą również używać systemu konfiguracji systemu Windows (WinCS) zawartego w aktualizacjach systemu operacyjnego Windows do wdrażania aktualizacji bezpiecznego rozruchu na serwerach i klientach systemu Windows przyłączonych do domeny. Składa się z serii narzędzi wiersza polecenia (zarówno tradycyjnego pliku wykonywalnego, jak i modułu PowerShell) do wykonywania zapytań i stosowania konfiguracji bezpiecznego rozruchu lokalnie na komputerze. Aby uzyskać więcej informacji, zobacz Interfejsy API systemu konfiguracji systemu Windows (WinCS) do bezpiecznego rozruchu.

• Microsoft Intune/Configuration Manager: Wdrażanie skryptów programu PowerShell. Dostawca usług konfiguracji (CSP) zostanie dostarczony w przyszłej aktualizacji, aby umożliwić wdrożenie przy użyciu usługi Intune.

Monitorowanie dzienników zdarzeń

Udostępniamy dwa nowe zdarzenia ułatwiające wdrażanie aktualizacji certyfikatu bezpiecznego rozruchu. Te zdarzenia opisano szczegółowo w zdarzeniach aktualizacji zmiennych DB bezpiecznego rozruchu i DBX: 

• Identyfikator zdarzenia: 1801
  To zdarzenie jest zdarzeniem błędu, które wskazuje, że zaktualizowane certyfikaty nie zostały zastosowane do urządzenia. To zdarzenie zawiera szczegółowe informacje specyficzne dla urządzenia, w tym atrybuty urządzenia, które pomogą skorelować urządzenia, które nadal wymagają aktualizacji.

• Identyfikator zdarzenia: 1808
  To zdarzenie jest zdarzeniem informacyjnym, które wskazuje, że urządzenie ma wymagane nowe certyfikaty bezpiecznego rozruchu zastosowane do oprogramowania układowego urządzenia.

Strategie wdrażania 

Aby zminimalizować ryzyko, wdróż aktualizacje bezpiecznego rozruchu etapami, a nie wszystkie jednocześnie. Zacznij od niewielkiego podzbioru urządzeń, sprawdź poprawność wyników, a następnie rozwiń do dodatkowych grup. Zalecamy rozpoczęcie od podzbiorów urządzeń i dodanie kolejnych podzbiorów urządzeń w miarę uzyskiwania pewności co do tych wdrożeń. Do określenia, co trafia do podzbioru, można użyć wielu czynników, w tym wyników testów na przykładowych urządzeniach i strukturze organizacji itp. 

Decyzja o wdrażanych urządzeniach zależy od Ciebie. Poniżej wymieniono niektóre możliwe strategie. 

• Duża flota urządzeń: zacznij od pomocy opisanych powyżej w przypadku najpopularniejszych urządzeń, które zarządzasz. Jednocześnie skoncentruj się na mniej typowych urządzeniach zarządzanych przez Twoją organizację. Przetestuj małe przykładowe urządzenia i, jeśli testowanie się powiedzie, wdróż je na pozostałe urządzenia tego samego typu. Jeśli w wyniku testowania wystąpią problemy, zbadaj przyczynę problemu i określ kroki rozwiązywania problemów. Warto również rozważyć klasy urządzeń, które mają większą wartość we flocie, i rozpocząć testowanie i wdrażanie, aby zapewnić, że te urządzenia mają zaktualizowaną ochronę na wczesnym etapie.

• Mała flota, duża odmiana: Jeśli flota, którą zarządzasz, zawiera wiele różnych maszyn, na których testowanie poszczególnych urządzeń byłoby zaporowe, rozważ w dużym stopniu poleganie na dwóch opisanych powyżej asystach, zwłaszcza w przypadku urządzeń, które mogą być typowymi urządzeniami na rynku. Najpierw skoncentruj się na urządzeniach, które mają kluczowe znaczenie dla codziennej pracy, przetestuj, a następnie wdróż. Kontynuuj przechodzenie w dół listy urządzeń o wysokim priorytecie, testowanie i wdrażanie podczas monitorowania floty, aby potwierdzić, że asysty pomagają pozostałym urządzeniom.

Notatki 

• Zwróć uwagę na starsze urządzenia, zwłaszcza na urządzenia, które nie są już obsługiwane przez producenta. Mimo że oprogramowanie układowe powinno poprawnie wykonywać operacje aktualizacji, niektóre mogą nie. W przypadkach, gdy oprogramowanie układowe nie działa poprawnie i urządzenie nie jest już obsługiwane, rozważ wymianę urządzenia, aby zapewnić ochronę bezpiecznego rozruchu na całej flocie.

• Nowe urządzenia wyprodukowane w ciągu ostatnich 1–2 lat mogą już mieć zaktualizowane certyfikaty, ale mogą nie mieć zastosowanego do systemu menedżera rozruchu podpisanego przez interfejs UEFI CA 2023 systemu Windows. Zastosowanie tego menedżera rozruchu jest kluczowym ostatnim krokiem we wdrożeniu dla każdego urządzenia.

• Po wybraniu urządzenia do aktualizacji może upłynąć trochę czasu, zanim aktualizacje zostaną ukończone. Oszacuj 48 godzin i co najmniej jedno ponowne uruchomienie certyfikatów, które mają zostać zastosowane.

Typowe problemy i zalecenia

W tym przewodniku szczegółowo opisano działanie procesu aktualizacji certyfikatu bezpiecznego rozruchu oraz przedstawiono niektóre kroki rozwiązywania problemów występujących podczas wdrażania na urządzeniach. Aktualizacje do tej sekcji zostaną dodane w razie potrzeby.

Obsługa wdrażania certyfikatu bezpiecznego rozruchu 

W celu obsługi aktualizacji certyfikatu bezpiecznego rozruchu system Windows obsługuje zaplanowane zadanie, które jest uruchamiane raz na 12 godzin. Zadanie wyszuka bitów w kluczu rejestru AvailableUpdates , które wymagają przetworzenia. Fragmenty zainteresowania używane podczas wdrażania certyfikatów znajdują się w poniższej tabeli. Kolumna Kolejność wskazuje kolejność przetwarzania bitów.

Każdy z bitów jest przetwarzany przez zaplanowane zdarzenie w kolejności podanej w powyższej tabeli.

Przechodzenie między bitami powinno wyglądać następująco: 

1. Start: 0x5944

2. 0x0040 → 0x5904 (pomyślnie zastosowano interfejs UEFI CA 2023 systemu Windows)

3. 0x0800 → 0x5104 (w razie potrzeby zastosowano pakiet Microsoft UEFI CA 2023)

4. 0x1000 → 0x4104 (w razie potrzeby zastosowano interfejs UEFI UEFI CA 2023 z opcją firmy Microsoft)

5. 0x0004 → 0x4100 (dotyczy firmy Microsoft Corporation KEK 2K CA 2023)

6. 0x0100 → 0x4000 (zastosowano menedżera rozruchu podpisanego przez windows UEFI CA 2023)

Notatki

• Po pomyślnym zakończeniu operacji skojarzonej z bitem ten bit zostanie wyczyszczony z klucza AvailableUpdates .

• Jeśli jedna z tych operacji zakończy się niepowodzeniem, zdarzenie zostanie zarejestrowane i operacja zostanie ponowiena przy następnym uruchomieniu zaplanowanego zadania.

• Jeśli 0x4000 bitowa jest ustawiona, nie zostanie ona wyczyszczona. Po przetworzeniu wszystkich innych bitów klucz rejestru AvailableUpdates zostanie ustawiony na 0x4000.

Problem 1: Błąd aktualizacji KEK: Urządzenie aktualizuje certyfikaty do bazy danych bezpiecznego rozruchu, ale nie w przeszłości wdraża nowego certyfikatu klucza klucza programu Exchange w kluczu KEK bezpiecznego rozruchu. 

Uwaga Obecnie, gdy ten problem występuje, rejestrowane są identyfikatory zdarzeń: 1796 (zobacz zdarzenia aktualizacji zmiennej DB bezpiecznego rozruchu i DBX). Nowe zdarzenie zostanie udostępnione w nowszej wersji, aby wskazać ten konkretny problem. 

Klucz rejestru AvailableUpdates na urządzeniu jest ustawiony na 0x4104 i nie czyści 0x0004 bit, nawet po wielu ponownych uruchomieniach i upływie długiego czasu. 

Problem może polegać na tym, że nie ma KEK podpisane przez PK OEM dla urządzenia. OEM steruje pakietem zabezpieczeń dla urządzenia i odpowiada za podpisanie nowego certyfikatu KEK firmy Microsoft i zwrócenie go firmie Microsoft, aby można było go uwzględnić w comiesięcznych aktualizacjach zbiorczych. 

Jeśli wystąpi ten błąd, skontaktuj się z producenta OEM, aby potwierdzić, że wykonali oni kroki opisane w wskazówkiach dotyczących tworzenia i zarządzania bezpiecznym kluczem rozruchu systemu Windows.  

Problem 2: Błędy oprogramowania układowego: Podczas stosowania aktualizacji certyfikatów certyfikaty są przekazywane do oprogramowania układowego w celu zastosowania do zmiennych bazy danych bezpiecznego rozruchu lub KEK. W niektórych przypadkach oprogramowanie układowe zwraca błąd. 

Gdy wystąpi ten problem, bezpieczny rozruch zarejestruje identyfikator zdarzenia: 1795. Aby uzyskać informacje o tym zdarzeniu, zobacz Zdarzenia aktualizacji zmiennej bazy danych bezpiecznego rozruchu i bazy danych DBX. 

Zalecamy sprawdzenie u producenta OEM, czy jest dostępna aktualizacja oprogramowania układowego dla urządzenia w celu rozwiązania tego problemu.