Срок действия сертификата безопасной загрузки Windows и обновления ЦС

Что такое безопасная загрузка?

Безопасная загрузка — это функция безопасности встроенного ПО на основе UEFI, которая помогает гарантировать, что во время загрузки (запуска) устройства выполняется только доверенное программное обеспечение. Он работает путем проверки цифровой подписи предзагрузочного программного обеспечения с набором доверенных цифровых сертификатов (также известных как центр сертификации или ЦС), хранящихся в встроенном ПО устройства. В качестве отраслевого стандарта безопасная загрузка UEFI определяет, как встроенное ПО платформы управляет сертификатами, проверяет подлинность встроенного ПО и как операционная система (ОС) взаимодействует с этим процессом. Дополнительные сведения о UEFI и безопасной загрузке см. в разделе Безопасная загрузка.

Безопасная загрузка впервые появилась в Windows 8 для защиты от новой угрозы перед загрузкой (также известной как bootkit). В рамках инициализации платформы безопасная загрузка проверяет подлинность модулей встроенного ПО перед выполнением. Эти модули включают драйверы встроенного ПО UEFI (например, дополнительные ПЗУ), загрузчики и приложения. В качестве последнего шага процесса безопасной загрузки встроенное ПО проверяет, доверяет ли безопасная загрузка загрузчику. Затем встроенное ПО передает управление загрузчику, который, в свою очередь, проверяет, загружает в память и запускает ОС Windows.

Безопасная загрузка определяет доверенный код с помощью политики встроенного ПО, установленной во время производства. Изменения в этой политике, такие как добавление или отзыв сертификатов, управляются иерархией ключей. Эта иерархия начинается с ключа платформы (PK), обычно принадлежавшего производителю оборудования, а затем ключа регистрации ключей (KEK) (также известного как ключ обмена ключами), который может включать microsoft KEK и другие oem KEK. Разрешенная база данных сигнатур (БД) и база данных запрещенных подписей (DBX) определяют, какой код можно выполнить в среде UEFI до запуска ОС. База данных включает сертификаты, управляемые корпорацией Майкрософт и изготовителем оборудования, а dbX обновляется корпорацией Майкрософт с помощью последних отзывов. Любая сущность с KEK может обновить базу данных и DBX.

Влияние истечения срока действия сертификата безопасной загрузки

Корпорация Майкрософт обновляет сертификаты безопасной загрузки, первоначально выданные в 2011 году, чтобы устройства Windows продолжали проверять доверенное загрузочное программное обеспечение. Срок действия этих старых сертификатов истекает в июне 2026 г. Устройства, которые не получили более новые сертификаты 2023, будут по-прежнему запускаться и работать в обычном режиме, а стандартные обновления Windows будут продолжать устанавливаться. Однако эти устройства больше не смогут получать новые средства безопасности для процесса ранней загрузки, включая обновления диспетчера загрузки Windows, базы данных безопасной загрузки, списки отзыва или способы устранения новых уязвимостей на уровне загрузки. 

Со временем это ограничивает защиту устройства от новых угроз и может повлиять на сценарии, использующие доверие к безопасной загрузке, такие как усиление защиты BitLocker или сторонние загрузчики. Большинство устройств Windows автоматически получают обновленные сертификаты, а многие изготовители оборудования при необходимости предоставляют обновления встроенного ПО. Поддержание устройства в актуальном состоянии с помощью этих обновлений помогает гарантировать, что оно сможет продолжать получать полный набор средств защиты безопасности, которые предназначена для безопасной загрузки.

Срок действия сертификатов безопасной загрузки Windows истекает в 2026 г.

С тех пор, как в Windows появилась поддержка безопасной загрузки, все устройства под управлением Windows имели один и тот же набор сертификатов Майкрософт в KEK и db. Срок действия этих исходных сертификатов приближается, и ваше устройство будет затронуто, если у него есть какая-либо из перечисленных версий сертификатов. Чтобы продолжить работу Windows и получать регулярные обновления для конфигурации безопасной загрузки, необходимо обновить эти сертификаты.

Терминологии

• КЕК: Ключ регистрации ключа

• CA: Центр сертификации

• DB: Безопасная база данных сигнатур загрузки

• DBX: База данных отозванной подписи безопасной загрузки

Корпорация Майкрософт выпустила обновленные сертификаты, чтобы обеспечить непрерывность защиты безопасной загрузки на устройствах Windows. Корпорация Майкрософт будет управлять процессом обновления этих новых сертификатов на значительной части устройств Windows. Кроме того, мы предложим подробные рекомендации для организаций, которые управляют собственными обновлениями устройств.

Призыв к действию

Возможно, вам потребуется принять меры, чтобы обеспечить безопасность устройства с Windows по истечении срока действия сертификатов в 2026 году. Для базы данных безопасной загрузки UEFI и KEK необходимо обновить соответствующие новые версии сертификата 2023. Дополнительные сведения о новых сертификатах см. в статье Руководство по созданию ключей безопасной загрузки Windows и управлению ими. 

Ваши действия будут отличаться в зависимости от типа устройства с Windows. Выберите в меню слева тип устройства и конкретное действие, которое необходимо выполнить.