Oryginalna data publikacji: 26 czerwca 2025 r.
Identyfikator BAZY WIEDZY: 5062710
Co to jest bezpieczny rozruch?
Bezpieczny rozruch to funkcja zabezpieczeń w oprogramowaniu układowym opartym na interfejsie UEFI (Unified Extensible Firmware Interface), która zapewnia, że podczas sekwencji rozruchu (uruchamiania) urządzenia działa tylko zaufane oprogramowanie. Jego działaniem jest weryfikowanie podpisu cyfrowego oprogramowania przed rozruchem w zestawie zaufanych certyfikatów cyfrowych (nazywanych również urzędem certyfikacji) przechowywanych w oprogramowaniu układowym urządzenia. Jako standard branżowy, bezpieczny rozruch UEFI definiuje, jak oprogramowanie układowe platformy zarządza certyfikatami, uwierzytelnia oprogramowanie układowe i jak system operacyjny (OS) łączy się z tym procesem. Aby uzyskać więcej informacji na temat interfejsu UEFI i bezpiecznego rozruchu, zobacz Bezpieczny rozruch.
Bezpieczny rozruch został wprowadzony w Windows 8 w celu ochrony przed pojawiającym się wówczas zagrożeniem ze strony złośliwego oprogramowania (nazywanego również zestawem rozruchowym). W ramach inicjowania platformy bezpieczny rozruch uwierzytelnia moduły oprogramowania układowego przed wykonaniem. Moduły te obejmują sterowniki oprogramowania układowego UEFI (takie jak roMy opcji), ładowarki rozruchowe i aplikacje. Jako ostatni krok procesu bezpiecznego rozruchu oprogramowanie układowe sprawdza, czy program ładujący jest zaufany. Następnie oprogramowanie układowe przekazuje kontrolę do modułu ładującego rozruch, który z kolei weryfikuje, ładuje się do pamięci i uruchamia system operacyjny Windows.
Bezpieczny rozruch definiuje kod zaufany za pomocą zestawu zasad oprogramowania układowego podczas produkcji. Zmiany tych zasad, takie jak dodawanie lub odwoływanie certyfikatów, są kontrolowane przez hierarchię kluczy. Ta hierarchia zaczyna się od klucza platformy (PK), zwykle należącego do producenta sprzętu, a następnie klucza rejestracji klucza (KEK) (nazywanego również kluczem wymiany kluczy), który może obejmować KEK firmy Microsoft i inne klucze KEK producentów OEM. Bazy danych dozwolone podpisy (DB) i Disallowed Signature Database (DBX) określają, który kod może być uruchamiany w środowisku UEFI przed uruchomieniem systemu operacyjnego. Baza danych zawiera certyfikaty zarządzane przez firmę Microsoft i producenta OEM, natomiast DBX jest aktualizowany przez firmę Microsoft o najnowsze odwołania. Każda jednostka z KEK może zaktualizować DB i DBX.
Certyfikaty bezpiecznego rozruchu systemu Windows wygasają w 2026 r.
Od czasu wprowadzenia przez system Windows obsługi bezpiecznego rozruchu wszystkie urządzenia z systemem Windows miały ten sam zestaw certyfikatów firmy Microsoft w KEK i DB. Te oryginalne certyfikaty zbliżają się do daty wygaśnięcia, a problem dotyczy twojego urządzenia, jeśli ma dowolną z wymienionych wersji certyfikatów. Aby nadal korzystać z systemu Windows i otrzymywać regularne aktualizacje konfiguracji bezpiecznego rozruchu, musisz zaktualizować te certyfikaty.
Terminologia
-
KEK: Klucz rejestracji
-
CA: Urząd certyfikacji
-
DB: Baza danych podpisu bezpiecznego rozruchu
-
DBX: Baza danych odwołana podpisu bezpiecznego rozruchu
|
Certyfikat wygasający |
Data wygaśnięcia |
Nowy certyfikat |
Lokalizacja przechowywania |
Cel |
|
Microsoft Corporation KEK CA 2011 |
Czerwiec 2026 r. |
Microsoft Corporation KEK CA 2023 |
Przechowywane w KEK |
Podpisuje aktualizacje bazy danych i DBX. |
|
Microsoft Windows Production PCA 2011 |
Październik 2026 r. |
Windows UEFI CA 2023 |
Przechowywane w bazie danych |
Służy do podpisywania modułu ładującego rozruch systemu Windows. |
|
Microsoft UEFI CA 2011* |
Czerwiec 2026 r. |
Microsoft UEFI CA 2023 |
Przechowywane w bazie danych |
Podpisuje ładowarki rozruchowe innych firm i aplikacje EFI. |
|
Microsoft UEFI CA 2011* |
Czerwiec 2026 r. |
Microsoft Option ROM CA 2023 |
Przechowywane w bazie danych |
Podpisuje romy opcji innych firm |
*Podczas odnawiania certyfikatu Microsoft Corporation UEFI CA 2011 dwa certyfikaty oddzielają boot loader signing from option ROM signing. Dzięki temu można precyzyjniej kontrolować zaufanie systemu. Na przykład systemy, które muszą ufać opcjom ROM, mogą dodawać interfejs UEFI CA 2023 microsoft option ROM bez dodawania zaufania do ładowarek rozruchowych innych firm.
Firma Microsoft wydała zaktualizowane certyfikaty, aby zapewnić ciągłość ochrony bezpiecznego rozruchu na urządzeniach z systemem Windows. Firma Microsoft będzie zarządzać procesem aktualizacji tych nowych certyfikatów na znacznej części urządzeń z systemem Windows. Ponadto zaoferujemy szczegółowe wskazówki dla organizacji, które zarządzają własnymi aktualizacjami urządzenia.
Ważne Po wygaśnięciu aktualizacji zabezpieczeń z 2011 r. urządzenia z systemem Windows, które nie mają nowych certyfikatów w wersji 2023, nie mogą już otrzymywać poprawek zabezpieczeń dla składników przed rozruchem, co zagraża bezpieczeństwu rozruchu systemu Windows.
Wezwanie do działania
Może być konieczne podjęcie działań w celu zapewnienia bezpieczeństwa urządzenia z systemem Windows po wygaśnięciu certyfikatów w 2026 r. Zarówno baza danych bezpiecznego rozruchu UEFI, jak i KEK muszą zostać zaktualizowane o odpowiednie nowe wersje certyfikatów w wersji 2023. Aby uzyskać więcej informacji na temat nowych certyfikatów, zobacz Wskazówki dotyczące tworzenia i zarządzania bezpiecznym kluczem rozruchu systemu Windows.
Ważne Bez aktualizacji urządzenia z systemem Windows z obsługą bezpiecznego rozruchu mogą nie otrzymywać aktualizacji zabezpieczeń ani ufać nowym ładowaczom rozruchowym, co zagrozi zarówno możliwości obsługi, jak i bezpieczeństwu.
Twoje akcje różnią się w zależności od typu posiadanego urządzenia z systemem Windows. Wybierz z menu po lewej stronie typ urządzenia i określoną akcję, którą chcesz wykonać.
