Atualizações do Certificado de Arranque Seguro: Orientações para profissionais de TI e organizações

Expiração do certificado de Arranque Seguro

A configuração das autoridades de certificação (ACs), também referidas como certificados, fornecidas pela Microsoft como parte da infraestrutura de Arranque Seguro, tem permanecido igual desde Windows 8 e Windows Server 2012. Estes certificados são armazenados nas variáveis Signature Database (DB) e Key Exchange Key (KEK) no firmware. A Microsoft forneceu os mesmos três certificados no ecossistema do fabricante de equipamento original (OEM) para incluir no firmware do dispositivo. Estes certificados suportam o Arranque Seguro no Windows e também são utilizados por sistemas operativos (SO) de terceiros. Os seguintes certificados são fornecidos pela Microsoft:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

O que está a mudar?

Os certificados de Arranque Seguro da Microsoft atuais (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) começarão a expirar a partir de junho de 2026 e expirarão até outubro de 2026. 

Estão a ser implementados novos certificados de 2023 para manter a segurança e a continuidade do Arranque Seguro. Os dispositivos têm de atualizar para os certificados de 2023 antes de os certificados de 2011 expirarem ou ficarão sem conformidade de segurança e em risco.  

Os dispositivos Windows fabricados desde 2012 podem ter versões expiradas de certificados, que têm de ser atualizadas. 

Terminologia

Certificados

Verificar o estado de Arranque Seguro em toda a sua frota: O Arranque Seguro está ativado? 

A maioria dos dispositivos fabricados desde 2012 têm suporte para o Arranque Seguro e são enviados com o Arranque Seguro ativado. Para verificar se um dispositivo tem o Arranque Seguro ativado, efetue um dos seguintes procedimentos: 

• Método GUI: Aceda a IniciarDefinições de > > Privacidade & Segurança> Segurança do Windows> Segurança do Dispositivo. Em Segurança do dispositivo, a secção Arranque seguro deve indicar que o Arranque Seguro está ativado.

• Método da Linha de Comandos: Numa linha de comandos elevada no PowerShell, escreva Confirm-SecureBootUEFI e, em seguida, prima Enter. O comando deve devolver Verdadeiro indicando que o Arranque Seguro está ativado.

Em implementações de grande escala para uma frota de dispositivos, o software de gestão utilizado pelos profissionais de TI terá de fornecer uma verificação para a ativação de Arranque Seguro. 

Por exemplo, o método para verificar o estado de Arranque Seguro em dispositivos geridos pelo Microsoft Intune é criar e implementar um script de conformidade personalizado do Intune. As definições de conformidade do Intune são abordadas em Utilizar definições de conformidade personalizadas para dispositivos Linux e Windows com o Microsoft Intune.  

Como as atualizações são implementadas

Existem várias formas de direcionar os dispositivos para as atualizações de certificados de Arranque Seguro. Os detalhes da implementação, incluindo definições e eventos, serão abordados mais à frente neste documento. Quando direciona um dispositivo para atualizações, é efetuada uma definição no dispositivo para indicar que o dispositivo deve iniciar o processo de aplicação dos novos certificados. Uma tarefa agendada é executada no dispositivo a cada 12 horas e deteta que o dispositivo foi direcionado para as atualizações. Um destaque do que a tarefa faz é o seguinte:

1. A AC uefi do Windows 2023 é aplicada à BD.

2. Se o dispositivo tiver a CA UEFI da Microsoft Corporation 2011 na BD, a tarefa aplica a CA UEFI 2023 da Opção Microsoft e a CA 2023 do UEFI da Microsoft à BD.

3. Em seguida, a tarefa adiciona a AC 2K 2K da Microsoft Corporation KEK 2023.

4. Por fim, a tarefa agendada atualiza o gestor de arranque do Windows para o que foi assinado pela CA 2023 do UEFI do Windows. O Windows detetará que é necessário reiniciar antes de o gestor de arranque poder ser aplicado. A atualização do gestor de arranque será adiada até que o reinício ocorra naturalmente (por exemplo, quando são aplicadas atualizações mensais) e, em seguida, o Windows tentará novamente aplicar a atualização do gestor de arranque.

Cada um dos passos acima tem de ser concluído com êxito antes de a tarefa agendada passar para o passo seguinte. Durante este processo, os registos de eventos e outro estado estarão disponíveis para ajudar na monitorização da implementação. Abaixo, são fornecidos mais detalhes sobre a monitorização e os registos de eventos.  

Atualizar os Certificados de Arranque Seguro permite uma atualização futura para o Gestor de Arranque 2023, que é mais Seguro. As atualizações específicas no Gestor de Arranque estarão em versões futuras.

Passos de implementação 

• Preparação: inventário e dispositivos de teste.

• Considerações sobre firmware

• Monitorização: verifique se a monitorização funciona e a linha de base da frota.

• Implementação: segmente dispositivos para atualizações, começando com pequenos subconjuntos e expandindo-se com base em testes bem-sucedidos.

• Remediação: investigue e resolva quaisquer problemas com os registos e o suporte do fornecedor.

Preparação 

Hardware e firmware de inventário. Crie um exemplo representativo de dispositivos com base no Fabricante do Sistema, Modelo de Sistema, Versão/Data do BIOS, versão do Produto BaseBoard, etc., e teste as atualizações desses exemplos antes de uma implementação abrangente.  Estes parâmetros estão normalmente disponíveis nas informações do sistema (MSINFO32). 

Os comandos do PowerShell de exemplo para recolher as informações são:

Considerações sobre firmware

A implementação dos novos certificados de Arranque Seguro na sua frota de dispositivos requer que o firmware do dispositivo tenha um papel na conclusão da atualização. Embora a Microsoft espere que a maioria do firmware do dispositivo funcione conforme esperado, é necessário um teste cuidadoso antes de implementar os novos certificados.

Examine o inventário de hardware e crie uma pequena amostra representativa de dispositivos com base nos seguintes critérios exclusivos, tais como: 

• Fabricante

• Número do Modelo

• Versão do Firmware

• Versão do OEM Baseboard, etc.

Antes de implementar amplamente em dispositivos na sua frota, recomendamos que teste as atualizações de certificado em dispositivos de exemplo representativos (conforme definido por fatores como fabricante, modelo, versão de firmware) para garantir que as atualizações são processadas com êxito. A documentação de orientação recomendada sobre o número de dispositivos de exemplo a testar para cada categoria exclusiva é 4 ou mais.

Isto ajudará a criar confiança no seu processo de implementação e ajudará a evitar impactos inesperados na sua frota mais ampla. 

Em alguns casos, poderá ser necessária uma atualização de firmware para atualizar com êxito os certificados de Arranque Seguro. Nestes casos, recomendamos que consulte o OEM do dispositivo para ver se o firmware atualizado está disponível.

Windows em ambientes virtualizados

Para o Windows em execução num ambiente virtual, existem dois métodos para adicionar os novos certificados às variáveis de firmware de Arranque Seguro:  

• O criador do ambiente virtual (AWS, Azure, Hyper-V, VMware, etc.) pode fornecer uma atualização para o ambiente e incluir os novos certificados no firmware virtualizado. Isto funcionaria para novos dispositivos virtualizados.

• Para o Windows em execução a longo prazo numa VM, as atualizações podem ser aplicadas através do Windows, como qualquer outro dispositivo, se o firmware virtualizado suportar atualizações de Arranque Seguro.

Monitorização e implementação 

Recomendamos que inicie a monitorização do dispositivo antes da implementação para garantir que a monitorização está a funcionar corretamente e que tem uma boa noção do estado da frota com antecedência. As opções de monitorização são abordadas abaixo. 

A Microsoft fornece vários métodos para implementar e monitorizar as atualizações de certificados de Arranque Seguro.

Assistências de implementação automatizadas 

A Microsoft está a fornecer duas assistências de implementação. Estas assistências podem ser úteis para ajudar na implementação dos novos certificados na sua frota. Ambos os auxiliares requerem dados de diagnóstico.

• Opção para atualizações cumulativas com registos de confiança: A Microsoft pode incluir automaticamente grupos de dispositivos de alta confiança em atualizações mensais com base nos dados de diagnóstico partilhados até à data, para beneficiar sistemas e organizações que não podem partilhar dados de diagnóstico. Este passo não requer a ativação dos dados de diagnóstico.

  • Para organizações e sistemas que podem partilhar dados de diagnóstico, dá à Microsoft a visibilidade e a confiança de que os dispositivos podem implementar os certificados com êxito. Estão disponíveis mais informações sobre como ativar os dados de diagnóstico em: Configurar dados de diagnóstico do Windows na sua organização. Estamos a criar "registos" para cada dispositivo exclusivo (conforme definido por atributos que incluem fabricante, versão da placa principal, fabricante de firmware, versão de firmware e pontos de dados adicionais). Para cada registo, estamos a monitorizar as provas de sucesso em vários dispositivos. Depois de vermos atualizações com êxito suficientes e sem falhas, consideraremos o registo de "alta confiança" e incluiremos esses dados nas atualizações cumulativas mensais. Quando as atualizações mensais são aplicadas a um dispositivo num registo de alta confiança, o Windows aplicará automaticamente os certificados às variáveis de Arranque Seguro UEFI no firmware.

  • Os registos de alta confiança incluem dispositivos que estão a processar as atualizações corretamente. Naturalmente, nem todos os dispositivos fornecerão dados de diagnóstico, o que pode limitar a confiança da Microsoft na capacidade de um dispositivo processar as atualizações corretamente.

  • Este auxiliar está ativado por predefinição para dispositivos de alta confiança e pode ser desativado com uma definição específica do dispositivo. Mais informações serão partilhadas em futuras versões do Windows.

• Implementação de Funcionalidades Controladas (CFR):  Optar ativamente por participar em dispositivos para a implementação gerida pela Microsoft se os dados de diagnóstico estiverem ativados.

  • A Implementação controlada de funcionalidades (CFR) pode ser utilizada com dispositivos cliente em frotas organizacionais. Isto requer que os dispositivos estejam a enviar dados de diagnóstico necessários para a Microsoft e tenham sinalizado que o dispositivo está a optar por permitir CFR no dispositivo. Os detalhes sobre como optar ativamente por participar são descritos abaixo.

  • A Microsoft irá gerir o processo de atualização destes novos certificados em dispositivos Windows onde os dados de diagnóstico estão disponíveis e os dispositivos estão a participar na Implementação controlada de funcionalidades (CFR). Embora o CFR possa ajudar na implementação dos novos certificados, as organizações não poderão confiar no CFR para remediar as respetivas frotas– será necessário seguir os passos descritos neste documento na secção sobre Métodos de implementação não abrangidos por assistências automatizadas.

  • Limitações: Existem algumas razões pelas quais o CFR pode não funcionar no seu ambiente. Por exemplo:

    • Não existem dados de diagnóstico disponíveis ou os dados de diagnóstico não são utilizáveis como parte da implementação do CFR.

    • Os dispositivos não estão em versões de cliente suportadas do Windows 11 e Windows 10 com atualizações de segurança alargadas (ESU).

Métodos de implementação não abrangidos por assistências automatizadas

Escolha o método que se adequa ao seu ambiente. Evite misturar métodos no mesmo dispositivo: 

• Chaves de registo: controle a implementação e monitorize os resultados.
  Existem várias chaves de registo disponíveis para controlar o comportamento da implementação dos certificados e para monitorizar os resultados. Além disso, existem duas chaves para optar ativamente por participar e sair dos auxiliares de implementação descritos acima. Para obter mais informações sobre as chaves de registo, veja Registry Key Atualizações for Secure Boot - Dispositivos Windows com atualizações geridas por TI.

• Política de Grupo Objects (GPO): Gerir definições; monitorizar através do registo e dos registos de eventos.
  A Microsoft fornecerá suporte para gerir as atualizações de Arranque Seguro com Política de Grupo numa atualização futura. Tenha em atenção que, uma vez que Política de Grupo se destina a definições, a monitorização do estado do dispositivo terá de ser feita através de métodos alternativos, incluindo a monitorização de chaves de registo e entradas de registo de eventos.

• CLI do WinCS (Sistema de Configuração do Windows): utilize ferramentas de linha de comandos para clientes associados a um domínio.
  Em alternativa, os administradores de domínio podem utilizar o Sistema de Configuração do Windows (WinCS) incluído nas atualizações do SO Windows para implementar as atualizações de Arranque Seguro em clientes e servidores Windows associados a um domínio. Consiste numa série de utilitários de linha de comandos (um executável tradicional e um módulo do PowerShell) para consultar e aplicar configurações de Arranque Seguro localmente a um computador. Para obter mais informações, veja APIs do Sistema de Configuração do Windows (WinCS) para Arranque Seguro.

• Microsoft Intune/Configuration Manager: Implementar scripts do PowerShell. Será fornecido um Fornecedor de Serviços de Configuração (CSP) numa atualização futura para permitir a implementação com o Intune.

Monitorizar Registos de Eventos

Estão a ser fornecidos dois novos eventos para ajudar na implementação das atualizações do certificado de Arranque Seguro. Estes eventos são descritos detalhadamente em eventos de atualização de variáveis DBX e DBX de Arranque Seguro: 

• ID do Evento: 1801
  Este evento é um evento de erro que indica que os certificados atualizados não foram aplicados ao dispositivo. Este evento fornece alguns detalhes específicos do dispositivo, incluindo os atributos do dispositivo, que ajudarão a correlacionar os dispositivos que ainda precisam de ser atualizados.

• ID do Evento: 1808
  Este evento é um evento informativo que indica que o dispositivo tem os novos certificados de Arranque Seguro necessários aplicados ao firmware do dispositivo.

Estratégias de implementação 

Para minimizar o risco, implemente atualizações de Arranque Seguro por fases em vez de todas ao mesmo tempo. Comece com um pequeno subconjunto de dispositivos, valide os resultados e, em seguida, expanda para grupos adicionais. Sugerimos que comece com subconjunto de dispositivos e, à medida que ganha confiança nessas implementações, adicione subconjuntos adicionais de dispositivos. Vários fatores podem ser utilizados para determinar o que vai para um subconjunto, incluindo resultados de teste em dispositivos de exemplo e estrutura organizacional, etc. 

A decisão sobre os dispositivos que implementa cabe-lhe a si. Algumas estratégias possíveis estão listadas aqui. 

• Grande frota de dispositivos: comece por depender das assistências descritas acima para os dispositivos mais comuns que gere. Em paralelo, concentre-se nos dispositivos menos comuns geridos pela sua organização. Teste pequenos dispositivos de exemplo e, se o teste for bem-sucedido, implemente nos restantes dispositivos do mesmo tipo. Se o teste produzir problemas, investigue a causa do problema e determine os passos de remediação. Também pode considerar classes de dispositivos que têm um valor mais elevado na sua frota e começar a testar e implementar para garantir que esses dispositivos têm a proteção atualizada em vigor mais cedo.

• Frota pequena, grande variedade: Se a frota que está a gerir contiver uma grande variedade de máquinas onde testar dispositivos individuais seria proibitivo, considere confiar fortemente nas duas assistências descritas acima, especialmente para dispositivos que provavelmente serão dispositivos comuns no mercado. Inicialmente, concentre-se em dispositivos críticos para a operação diária, teste e, em seguida, implemente. Continue a mover para baixo a lista de dispositivos de alta prioridade, testando e implementando enquanto monitoriza a frota para confirmar que as assistências estão a ajudar com o resto dos dispositivos.

Notas 

• Preste atenção aos dispositivos mais antigos, especialmente aos dispositivos que já não são suportados pelo fabricante. Embora o firmware deva efetuar as operações de atualização corretamente, alguns poderão não. Nos casos em que o firmware não funciona corretamente e o dispositivo já não é suportado, considere substituir o dispositivo para garantir a proteção de Arranque Seguro em toda a sua frota.

• Os novos dispositivos fabricados nos últimos 1 a 2 anos podem já ter os certificados atualizados implementados, mas podem não ter o gestor de arranque assinado do UEFI CA 2023 do Windows aplicado ao sistema. A aplicação deste gestor de arranque é um último passo crítico na implementação para cada dispositivo.

• Depois de um dispositivo ter sido selecionado para atualizações, poderá demorar algum tempo até que as atualizações estejam concluídas. Calcule 48 horas e um ou mais reinícios para que os certificados se apliquem.

Problemas comuns e recomendações

Este guia explica detalhadamente como funciona o processo de atualização do certificado de Arranque Seguro e apresenta alguns passos para resolver problemas se forem encontrados problemas durante a implementação nos dispositivos. Atualizações a esta secção serão adicionadas conforme necessário.

Suporte de implementação de certificados de Arranque Seguro 

Para suportar as atualizações do certificado de Arranque Seguro, o Windows mantém uma tarefa agendada que é executada uma vez a cada 12 horas. A tarefa procura bits na chave de registo AvailableUpdates que precise de ser processada. Os bits de interesse utilizados na implementação dos certificados estão na tabela seguinte. A coluna Ordem indica a ordem pela qual os bits são processados.

Cada um dos bits é processado pelo evento agendado pela ordem indicada na tabela acima.

A progressão através dos bits deve ter o seguinte aspeto: 

1. Iniciar: 0x5944

2. 0x0040 → 0x5904 (Aplicou a AC UEFI do Windows 2023 com êxito)

3. 0x0800 → 0x5104 (Se necessário, aplique a CA UEFI da Microsoft 2023)

4. 0x1000 → 0x4104 (Se necessário, aplique o UEFI CA 2023 da Opção Microsoft (Aplicou a UEFI CA 2023 da Opção Microsoft)

5. 0x0004 → 0x4100 (Aplicado a AC 2K 2K da Microsoft Corporation KEK 2023)

6. 0x0100 → 0x4000 (Aplicou o gestor de arranque assinado do UEFI CA 2023 do Windows)

Notas

• Assim que a operação associada a um bit for concluída com êxito, esse bit é limpo da chave AvailableUpdates .

• Se uma destas operações falhar, é registado um evento e a operação é repetida da próxima vez que a tarefa agendada for executada.

• Se o bit 0x4000 estiver definido, não será limpo. Depois de todos os outros bits terem sido processados, a chave de registo AvailableUpdates será definida como 0x4000.

Problema 1: Falha na atualização da KEK: o dispositivo atualiza os certificados para a BD de Arranque Seguro, mas não progride após a implementação do novo certificado chave do Exchange Key para o KEK de Arranque Seguro. 

Nota Atualmente, quando este problema ocorre, será registado um ID de Evento: 1796 (veja Eventos de atualização de variáveis DB e DBX de Arranque Seguro). Será fornecido um novo evento na versão posterior para indicar este problema específico. 

A chave de registo AvailableUpdates num dispositivo está definida como 0x4104 e não limpa a 0x0004 bit, mesmo depois de vários reinícios e tempo considerável ter passado. 

O problema pode dever-se ao facto de não existir uma KEK assinada pelo PK do OEM para o dispositivo. O OEM controla o PK do dispositivo e é responsável por assinar o novo certificado KEK da Microsoft e devolvê-lo à Microsoft para que possa ser incluído nas atualizações cumulativas mensais. 

Se encontrar este erro, contacte o OEM para confirmar que seguiu os passos descritos em Orientações de Criação e Gestão de Chaves de Arranque Seguro do Windows.  

Problema 2: Erros de firmware: ao aplicar as atualizações de certificado, os certificados são entregues ao firmware para aplicar às variáveis de DB de Arranque Seguro ou KEK. Em alguns casos, o firmware devolverá um erro. 

Quando este problema ocorre, o Arranque Seguro registará um ID de Evento: 1795. Para obter informações sobre este evento, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot). 

Recomendamos que consulte o OEM para ver se existe uma atualização de firmware disponível para o dispositivo resolver este problema.