Atualizações de certificado de inicialização segura: diretrizes para profissionais e organizações de TI

Expiração do certificado de Inicialização Segura

A configuração de CAs (autoridades de certificado), também conhecidas como certificados, fornecidas pela Microsoft como parte da infraestrutura de Inicialização Segura, permaneceu a mesma desde Windows 8 e Windows Server 2012. Esses certificados são armazenados nas variáveis KEK (Banco de Dados de Assinatura) e Chave de Troca de Chaves (KEK) no firmware. A Microsoft forneceu os mesmos três certificados em todo o ecossistema OEM (fabricante de equipamentos original) para incluir no firmware do dispositivo. Esses certificados dão suporte à Inicialização Segura no Windows e também são usados por sistemas operacionais de terceiros (sistema operacional). Os seguintes certificados são fornecidos pela Microsoft:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

O que está mudando?

Os certificados atuais da Microsoft Secure Boot (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) começarão a expirar a partir de junho de 2026 e expirarão até outubro de 2026. 

Novos certificados 2023 estão sendo implantados para manter a segurança e a continuidade da Inicialização Segura. Os dispositivos devem atualizar para os certificados de 2023 antes que os certificados de 2011 expirem ou eles estarão fora de conformidade de segurança e em risco.  

Os dispositivos Windows fabricados desde 2012 podem ter versões expiradas de certificados, que devem ser atualizadas. 

Terminologia

Certificados

Verificando status de inicialização segura em toda a frota: a Inicialização Segura está habilitada? 

A maioria dos dispositivos fabricados desde 2012 tem suporte para Inicialização Segura e são enviados com a Inicialização Segura habilitada. Para verificar se um dispositivo tem a Inicialização Segura habilitada, faça um dos seguintes procedimentos: 

• Método GUI: Acesse Iniciarconfigurações de > > privacidade & > segurançaSegurança do Windows >segurança do dispositivo. Em Segurança do dispositivo, a seção Inicialização segura deve indicar que a Inicialização Segura está ativada.

• Método Linha de Comando: Em um prompt de comando elevado no PowerShell, digite Confirm-SecureBootUEFI e pressione Enter. O comando deve retornar True indicando que a Inicialização Segura está ativada.

Em implantações em larga escala para uma frota de dispositivos, o software de gerenciamento que está sendo usado por profissionais de TI precisará fornecer uma marcar para habilitação de Inicialização Segura. 

Por exemplo, o método para marcar o estado de Inicialização Segura em dispositivos gerenciados pela Microsoft Intune é criar e implantar um script de conformidade personalizado Intune. Intune configurações de conformidade são abordadas em Usar configurações de conformidade personalizadas para dispositivos Linux e Windows com Microsoft Intune.  

Se a Inicialização Segura não estiver habilitada, você poderá ignorar as etapas de atualização abaixo, pois elas não são aplicáveis.

Como as atualizações são implantadas

Há várias maneiras de direcionar dispositivos para as atualizações de certificado de Inicialização Segura. Os detalhes da implantação, incluindo configurações e eventos, serão discutidos posteriormente neste documento. Quando você direciona um dispositivo para atualizações, uma configuração é feita no dispositivo para indicar que o dispositivo deve iniciar o processo de aplicação dos novos certificados. Uma tarefa agendada é executada no dispositivo a cada 12 horas e detecta que o dispositivo foi direcionado para as atualizações. Um tópico do que a tarefa faz é o seguinte:

1. O WINDOWS UEFI CA 2023 é aplicado ao DB.

2. Se o dispositivo tiver a CA da UEFI da Microsoft Corporation 2011 no DB, a tarefa aplicará a CA 2023 da Rom UEFI da Microsoft Option e a CA DO MICROSOFT UEFI 2023 ao DB.

3. Em seguida, a tarefa adiciona a CA 2K kek 2K da Microsoft Corporation 2023.

4. Por fim, a tarefa agendada atualiza o gerenciador de inicialização do Windows para aquele assinado pela CA do WINDOWS UEFI 2023. O Windows detectará que uma reinicialização é necessária antes que o gerenciador de inicialização possa ser aplicado. A atualização do gerenciador de inicialização será adiada até que a reinicialização ocorra naturalmente (como quando as atualizações mensais são aplicadas) e, em seguida, o Windows tentará novamente aplicar a atualização do gerenciador de inicialização.

Cada uma das etapas acima deve ser concluída com êxito antes que a tarefa agendada se mova para a próxima etapa. Durante esse processo, os logs de eventos e outros status estarão disponíveis para ajudar no monitoramento da implantação. Mais detalhes sobre monitoramento e logs de eventos são fornecidos abaixo.  

Atualizar os Certificados de Inicialização Segura permite uma atualização futura para o Gerenciador de Inicialização 2023, que é mais seguro. Atualizações específicas no Boot Manager estarão em versões futuras.

Etapas de implantação 

• Preparação: inventário e dispositivos de teste.

• Considerações de firmware

• Monitoramento: verifique as obras de monitoramento e a linha de base de sua frota.

• Implantação: dispositivos de destino para atualizações, começando com pequenos subconjuntos e expandindo com base em testes bem-sucedidos.

• Correção: investigue e resolve quaisquer problemas usando logs e suporte ao fornecedor.

Preparação 

Hardware de inventário e firmware. Crie uma amostra representativa de dispositivos com base no Fabricante do Sistema, Modelo do Sistema, Versão/Data do BIOS, versão do Produto de BaseBoard etc., e teste atualizações nesses dispositivos antes da implantação ampla.  Esses parâmetros geralmente estão disponíveis nas informações do sistema (MSINFO32). Use os comandos do PowerShell de exemplo incluídos para marcar para status de atualização de Inicialização Segura e para dispositivos de inventário em toda a sua organização.

Script de coleta de dados de inventário de inicialização segura de exemplo

Copie e cole este script de exemplo e modifique conforme necessário para seu ambiente: o script de Coleta de Dados de Inventário de Inicialização Segura de Exemplo.

Níveis de confiança de inicialização seguros

A primeira etapa se a Inicialização Segura estiver habilitada é marcar se houver eventos pendentes que foram atualizados recentemente ou no processo de atualização dos certificados de Inicialização Segura. De interesse específico são os eventos mais recentes em 1801 e 1808. Esses eventos são descritos em detalhes em eventos de atualização de variável DB e DBX de Inicialização Segura. Também marcar seção Monitoramento e implantação de como os eventos podem mostrar o estado das atualizações pendentes.  

A próxima etapa é fazer inventário de dispositivos em toda a sua organização. Colete os seguintes detalhes com comandos do PowerShell para criar um exemplo representativo: 

Considerações de firmware

A implantação dos novos certificados de Inicialização Segura em sua frota de dispositivos exige que o firmware do dispositivo tenha um papel na conclusão da atualização. Embora a Microsoft espere que a maioria dos firmwares de dispositivo seja executada conforme o esperado, é necessário um teste cuidadoso antes de implantar os novos certificados.

Examine seu inventário de hardware e crie uma amostra pequena e representativa de dispositivos com base nos seguintes critérios exclusivos, como: 

• Manufacturer

• Número do modelo

• Versão do firmware

• Versão do OEM Baseboard, etc.

Antes de implantar amplamente em dispositivos em sua frota, recomendamos testar as atualizações de certificado em dispositivos de exemplo representativos (conforme definido por fatores como fabricante, modelo, versão de firmware) para garantir que as atualizações sejam processadas com êxito. As diretrizes recomendadas sobre o número de dispositivos de exemplo a serem testados para cada categoria exclusiva são 4 ou mais.

Isso ajudará a criar confiança em seu processo de implantação e ajudará a evitar impactos inesperados em sua frota mais ampla. 

Em alguns casos, uma atualização de firmware pode ser necessária para atualizar com êxito os certificados de Inicialização Segura. Nesses casos, recomendamos verificar com o OEM do dispositivo para ver se o firmware atualizado está disponível.

Windows em ambientes virtualizados

Para o Windows em execução em um ambiente virtual, há dois métodos para adicionar os novos certificados às variáveis de firmware De Inicialização Segura:  

• O criador do ambiente virtual (AWS, Azure, Hyper-V, VMware etc.) pode fornecer uma atualização para o ambiente e incluir os novos certificados no firmware virtualizado. Isso funcionaria para novos dispositivos virtualizados.

• Para o Windows que executa a longo prazo em uma VM, as atualizações podem ser aplicadas por meio do Windows como qualquer outro dispositivo, se o firmware virtualizado for compatível com atualizações de Inicialização Segura.

Monitoramento e implantação 

Recomendamos que você inicie o monitoramento do dispositivo antes da implantação para garantir que o monitoramento esteja funcionando corretamente e que você tenha um bom senso para o estado da frota com antecedência. As opções de monitoramento são discutidas abaixo. 

A Microsoft fornece vários métodos para implantar e monitorar as atualizações de certificado de Inicialização Segura.

Assistências de implantação automatizada 

A Microsoft está fornecendo duas assistências de implantação. Essas assistências podem ser úteis para ajudar na implantação dos novos certificados para sua frota. Somente a assistência de distribuição de recursos controlados requer dados de diagnóstico.

• Opção para atualizações cumulativas com buckets de confiança: A Microsoft pode incluir automaticamente grupos de dispositivos de alta confiança em atualizações mensais com base em dados de diagnóstico compartilhados até o momento, para beneficiar sistemas e organizações que não podem compartilhar dados de diagnóstico. Essa etapa não exige que os dados de diagnóstico sejam habilitados.

  • Para organizações e sistemas que podem compartilhar dados de diagnóstico, ele dá à Microsoft a visibilidade e a confiança de que os dispositivos podem implantar os certificados com êxito. Mais informações sobre como habilitar dados de diagnóstico estão disponíveis em: Configurar dados de diagnóstico do Windows em sua organização. Estamos criando "buckets" para cada dispositivo exclusivo (conforme definido por atributos que incluem fabricante, versão de placa-mãe, fabricante de firmware, versão de firmware e pontos de dados adicionais). Para cada bucket, estamos monitorando evidências de sucesso em vários dispositivos. Depois de vermos atualizações bem-sucedidas suficientes e nenhuma falha, consideraremos o bucket de "alta confiança" e incluiremos esses dados nas atualizações cumulativas mensais. Quando as atualizações mensais são aplicadas a um dispositivo em um bucket de alta confiança, o Windows aplicará automaticamente os certificados às variáveis UEFI Secure Boot no firmware.

  • Os buckets de alta confiança incluem dispositivos que estão processando as atualizações corretamente. Naturalmente, nem todos os dispositivos fornecerão dados de diagnóstico, e isso pode limitar a confiança da Microsoft na capacidade de um dispositivo processar as atualizações corretamente.

  • Essa assistência é habilitada por padrão para dispositivos de alta confiança e pode ser desabilitada com uma configuração específica do dispositivo. Mais informações serão compartilhadas em versões futuras do Windows.

• Distribuição de recursos controlados (CFR):  Opte por dispositivos para implantação gerenciada pela Microsoft se os dados de diagnóstico estiverem habilitados.

  • O CFR (Distribuição de Recursos Controlados) pode ser usado com dispositivos cliente em frotas de organização. Isso requer que os dispositivos estejam enviando dados de diagnóstico necessários para a Microsoft e sinalizaram que o dispositivo está optando por permitir CFR no dispositivo. Os detalhes sobre como aceitar são descritos abaixo.

  • A Microsoft gerenciará o processo de atualização desses novos certificados em dispositivos Windows em que os dados de diagnóstico estão disponíveis e os dispositivos estão participando da CFR (Distribuição de Recursos Controlados). Embora o CFR possa ajudar na implantação dos novos certificados, as organizações não poderão contar com CFR para corrigir suas frotas – isso exigirá seguir as etapas descritas neste documento na seção sobre métodos de implantação não abordados por assistências automatizadas.

  • Limitações: Há alguns motivos pelos quais o CFR pode não funcionar em seu ambiente. Por exemplo:

    • Nenhum dado de diagnóstico está disponível ou os dados de diagnóstico não podem ser usados como parte da implantação do CFR.

    • Os dispositivos não estão em versões de cliente com suporte de Windows 11 e Windows 10 com atualizações de segurança estendidas (ESU).

Métodos de implantação não cobertos por assistências automatizadas

Escolha o método que se encaixa em seu ambiente. Evite misturar métodos no mesmo dispositivo: 

• Chaves do registro: controlar a implantação e monitorar os resultados.
  Há várias chaves de registro disponíveis para controlar o comportamento da implantação dos certificados e para monitorar os resultados. Além disso, há duas chaves para optar por entrar e sair dos auxiliares de implantação descritos acima. Para obter mais informações sobre as chaves do registro, consulte Chave do Registro Atualizações para Inicialização Segura – dispositivos Windows com atualizações gerenciadas por TI.

• Política de Grupo Objetos (GPO): Gerenciar configurações; monitorar por meio de logs de registro e eventos.
  A Microsoft fornecerá suporte para gerenciar as atualizações de Inicialização Segura usando Política de Grupo em uma atualização futura. Observe que, como Política de Grupo é para configurações, o monitoramento do dispositivo status precisará ser feito usando métodos alternativos, incluindo monitoramento de chaves do registro e entradas de log de eventos.

• CLI do WinCS (Sistema de Configuração do Windows): use ferramentas de linha de comando para clientes ingressados no domínio.
  Os administradores de domínio podem, alternativamente, usar o WinCS (Sistema de Configuração do Windows) incluído nas atualizações do sistema operacional Windows para implantar as atualizações de Inicialização Segura entre clientes e servidores windows ingressados no domínio. Ele consiste em uma série de utilitários de linha de comando (um executável tradicional e um módulo do PowerShell) para consultar e aplicar configurações de Inicialização Segura localmente a um computador. Para obter mais informações, confira os seguintes artigos:

  • APIs do Sistema de Configuração do Windows (WinCS) para Arranque Seguro

  • Exemplo de Guia de Automatização E2E de Arranque Seguro

• Microsoft Intune/Configuration Manager: Implementar scripts do PowerShell. Um Fornecedor de Serviços de Configuração (CSP) será fornecido numa atualização futura para permitir a implementação com Intune.

Monitorizar Registos de Eventos

Estão a ser fornecidos dois novos eventos para ajudar na implementação das atualizações do certificado de Arranque Seguro. Estes eventos são descritos detalhadamente em eventos de atualização de variáveis DBX e DBX de Arranque Seguro: 

• ID do Evento: 1801
  Este evento é um evento de erro que indica que os certificados atualizados não foram aplicados ao dispositivo. Este evento fornece alguns detalhes específicos do dispositivo, incluindo os atributos do dispositivo, que ajudarão a correlacionar os dispositivos que ainda precisam de ser atualizados.

• ID do Evento: 1808
  Este evento é um evento informativo que indica que o dispositivo tem os novos certificados de Arranque Seguro necessários aplicados ao firmware do dispositivo.

Estratégias de implementação 

Para minimizar o risco, implemente atualizações de Arranque Seguro por fases em vez de todas ao mesmo tempo. Comece com um pequeno subconjunto de dispositivos, valide os resultados e, em seguida, expanda para grupos adicionais. Sugerimos que comece com subconjunto de dispositivos e, à medida que ganha confiança nessas implementações, adicione subconjuntos adicionais de dispositivos. Vários fatores podem ser utilizados para determinar o que vai para um subconjunto, incluindo resultados de teste em dispositivos de exemplo e estrutura organizacional, etc. 

A decisão sobre os dispositivos que implementa cabe-lhe a si. Algumas estratégias possíveis estão listadas aqui. 

• Grande frota de dispositivos: comece por depender das assistências descritas acima para os dispositivos mais comuns que gere. Em paralelo, concentre-se nos dispositivos menos comuns geridos pela sua organização. Teste pequenos dispositivos de exemplo e, se o teste for bem-sucedido, implemente nos restantes dispositivos do mesmo tipo. Se o teste produzir problemas, investigue a causa do problema e determine os passos de remediação. Também pode considerar classes de dispositivos que têm um valor mais elevado na sua frota e começar a testar e implementar para garantir que esses dispositivos têm a proteção atualizada em vigor mais cedo.

• Frota pequena, grande variedade: Se a frota que está a gerir contiver uma grande variedade de máquinas onde testar dispositivos individuais seria proibitivo, considere confiar fortemente nas duas assistências descritas acima, especialmente para dispositivos que provavelmente serão dispositivos comuns no mercado. Inicialmente, concentre-se em dispositivos críticos para a operação diária, teste e, em seguida, implemente. Continue a mover para baixo a lista de dispositivos de alta prioridade, testando e implementando enquanto monitoriza a frota para confirmar que as assistências estão a ajudar com o resto dos dispositivos.

Observações 

• Preste atenção aos dispositivos mais antigos, especialmente aos dispositivos que já não são suportados pelo fabricante. Embora o firmware deva efetuar as operações de atualização corretamente, alguns poderão não. Nos casos em que o firmware não funciona corretamente e o dispositivo já não é suportado, considere substituir o dispositivo para garantir a proteção de Arranque Seguro em toda a sua frota.

• Os novos dispositivos fabricados nos últimos 1 a 2 anos podem já ter os certificados atualizados implementados, mas podem não ter o gestor de arranque assinado do UEFI CA 2023 do Windows aplicado ao sistema. A aplicação deste gestor de arranque é um último passo crítico na implementação para cada dispositivo.

• Depois de um dispositivo ter sido selecionado para atualizações, poderá demorar algum tempo até que as atualizações estejam concluídas. Calcule 48 horas e um ou mais reinícios para que os certificados se apliquem.

Problemas comuns e recomendações

Este guia explica detalhadamente como funciona o processo de atualização do certificado de Arranque Seguro e apresenta alguns passos para resolver problemas se forem encontrados problemas durante a implementação nos dispositivos. Atualizações a esta secção serão adicionadas conforme necessário.

Suporte de implementação de certificados de Arranque Seguro 

Para suportar as atualizações do certificado de Arranque Seguro, o Windows mantém uma tarefa agendada que é executada uma vez a cada 12 horas. A tarefa procura bits na chave de registo AvailableUpdates que precise de ser processada. Os bits de interesse utilizados na implementação dos certificados estão na tabela seguinte. A coluna Ordem indica a ordem pela qual os bits são processados.

Cada um dos bits é processado pelo evento agendado na ordem fornecida na tabela acima.

A progressão por meio dos bits deve ser semelhante a esta: 

1. Início: 0x5944

2. 0x0040 → 0x5904 (aplicado com êxito ao Windows UEFI CA 2023)

3. 0x0800 → 0x5104 (aplicado a CA DA UEFI da Opção da Microsoft 2023, se necessário)

4. 0x1000 → 0x4104 (aplicado a CA da UEFI da Microsoft 2023, se necessário)

5. 0x0004 → 0x4100 (aplicado a CA KEK 2K da Microsoft Corporation 2023)

6. 0x0100 → 0x4000 (aplicado o gerenciador de inicialização assinado pelo Windows UEFI CA 2023)

Observações

• Depois que a operação associada a um bit for concluída com êxito, esse bit será desmarcado da chave AvailableUpdates .

• Se uma dessas operações falhar, um evento será registrado e a operação será repetida na próxima vez que a tarefa agendada for executada.

• Se o bit 0x4000 estiver definido, ele não será limpo. Depois que todos os outros bits tiverem sido processados, a chave do registro AvailableUpdates será definida como 0x4000.