Expirarea certificatului de boot securizat Windows și actualizările CA

Ce este bootul securizat?

Bootarea sigură este o caracteristică de securitate din firmware-ul bazat pe Unified Extensible Firmware Interface (UEFI), care vă ajută să vă asigurați că doar software-ul de încredere rulează în timpul secvenței de pornire a dispozitivului. Aceasta funcționează prin verificarea semnăturii digitale a software-ului pre-boot cu un set de certificate digitale de încredere (cunoscute și ca autoritate de certificare sau CA) stocate în firmware-ul dispozitivului. Ca standard din industrie, UEFI Secure Boot definește modul în care firmware-ul platformei gestionează certificatele, autentifică firmware-ul și modul în care sistemul de operare (OS) se interfațează cu acest proces. Pentru mai multe detalii despre UEFI și Bootare sigură, consultați Bootare sigură.

Secure Boot a fost introdus pentru prima dată în Windows 8 pentru a vă proteja împotriva amenințărilor noi de malware pre-boot (numit și bootkit). Ca parte a inițializării platformei, Secure Boot autentifică modulele firmware înainte de executare. Aceste module includ drivere de firmware UEFI (cum ar fi ROM-uri Option), încărcătoare de boot și aplicații. Ca ultim pas al procesului Secure Boot, firmware-ul verifică dacă Secure Boot are încredere în încărcător. Apoi, firmware-ul transmite controlul la încărcătorul de boot, care, la rândul său, verifică, se încarcă în memorie și pornește sistemul de operare Windows.

Secure Boot definește codul de încredere printr-o politică de firmware setată în timpul fabricației. Modificările acestei politici, cum ar fi adăugarea sau revocarea certificatelor, sunt controlate de o ierarhie de chei. Această ierarhie începe cu cheia platformă (PK), deținută de obicei de producătorul de hardware, urmată de cheia de înregistrare a cheii (KEK) (numită și cheie Exchange), care poate include un Microsoft KEK și alte KEK-uri OEM. Baza de date de semnături permise (DB) și baza de date de semnături nepermisă (DBX) determină ce cod se poate rula în mediul UEFI înainte de a porni sistemul de operare. Baza de date include certificate gestionate de Microsoft și OEM, în timp ce DBX este actualizat de Microsoft cu cele mai recente revocări. Orice entitate cu KEK poate actualiza baza de date și DBX.

Certificatele de boot securizat Windows expiră în 2026

De când Windows a introdus suportul pentru bootarea securizată, toate dispozitivele bazate pe Windows au avut același set de certificate Microsoft în KEK și DB. Aceste certificate originale se apropie de data de expirare și dispozitivul dvs. este afectat dacă are oricare dintre versiunile de certificat listate. Pentru a continua să rulați Windows și a primi actualizări regulate pentru configurația bootării securizate, va trebui să actualizați aceste certificate.

Terminologie

• KEK: Cheie de înregistrare cheie

• CA: Autoritate de certificare

• DB: Bază de date secure boot signature

• DBX: Bază de date cu semnături revocate pentru bootare securizată

Microsoft a emis certificate actualizate pentru a asigura continuitatea protecției la bootare securizată pe dispozitivele Windows. Microsoft va gestiona procesul de actualizare pentru aceste certificate noi pe o parte semnificativă a dispozitivelor Windows. În plus, vom oferi instrucțiuni detaliate pentru organizațiile care își gestionează propriile actualizări de dispozitiv.

Important Atunci când certificatele CA 2011 expiră, dispozitivele Windows care nu au certificate 2023 noi nu mai pot primi remedieri de securitate pentru componentele pre-boot care compromit securitatea la boot Windows.

Îndemn

Poate fi necesar să luați măsuri pentru a vă asigura că dispozitivul Windows rămâne în siguranță atunci când certificatele expiră în 2026. Atât UEFI Secure Boot DB, cât și KEK trebuie să fie actualizate cu noile versiuni de certificat 2023 corespunzătoare. Pentru mai multe informații despre noile certificate, consultați Instrucțiuni de creare și gestionare a cheilor de bootare securizată Windows. 

Important Fără actualizări, dispozitivele Windows cu bootare securizată riscă să nu primească actualizări de securitate sau să aibă încredere în noile încărcătoare de boot, ceea ce va compromite atât serviceability, cât și securitatea.

Acțiunile dvs. vor varia în funcție de tipul de dispozitiv Windows pe care îl aveți. Selectați din meniul din stânga pentru tipul de dispozitiv și pentru acțiunile specifice pe care trebuie să le efectuați.