Aktualizácie certifikátu zabezpečeného spustenia: Sprievodný materiál pre odborníkov v oblasti IT a organizácie

Platnosť certifikátu zabezpečeného spustenia uplynula

Konfigurácia certifikačných autorít(CA) označovaných aj ako certifikáty, ktoré spoločnosť Microsoft poskytuje ako súčasť infraštruktúry zabezpečeného spustenia, zostala od Windows 8 a Windows Server 2012 rovnaká. Tieto certifikáty sú uložené v premenných Signature Database (DB) a Key Exchange Key (KEK) vo firmvéri. Spoločnosť Microsoft poskytla rovnaké tri certifikáty v rámci celého ekosystému výrobcu pôvodného zariadenia (OEM), ktoré sa majú zahrnúť do firmvéru zariadenia. Tieto certifikáty podporujú zabezpečené spustenie vo Windowse a používajú ich aj operačné systémy (OS) tretích strán. Spoločnosť Microsoft poskytuje tieto certifikáty:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

Čo sa mení?

Platnosť aktuálnych certifikátov zabezpečeného spustenia od spoločnosti Microsoft (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) začne platiť od júna 2026 a jej platnosť vyprší do októbra 2026. 

Zavádza sa nové certifikáty na rok 2023 na zachovanie zabezpečenia a kontinuity zabezpečeného spustenia. Zariadenia sa musia pred uplynutím platnosti certifikátov 2011 aktualizovať na certifikáty verzie 2023, inak nebudú dodržiavať zabezpečenie a budú ohrozené.  

Zariadenia s Windowsom vyrobené od roku 2012 môžu mať končiace verzie certifikátov, ktoré sa musia aktualizovať. 

Terminológia

Certifikáty

Overenie stavu zabezpečeného spustenia v rámci vašej flotily: Je zapnuté zabezpečené spustenie? 

Väčšina zariadení vyrobených od roku 2012 má podporu pre zabezpečené spustenie a dodáva sa s povoleným zabezpečeným spustením. Ak chcete overiť, či má zariadenie povolené zabezpečené spustenie, vykonajte niektorý z týchto krokov: 

• Metóda GUI: Prejdite na obrazovku Štart > Nastavenia > Ochrana osobných údajov & zabezpečenie > Windows Zabezpečenie > Zabezpečenie zariadenia. V časti Zabezpečenie zariadenia by sekcia zabezpečeného spustenia mala uvádzať, že je zapnuté zabezpečené spustenie.

• Metóda príkazového riadka: V príkazovom riadku bez oprávnení v prostredí PowerShell zadajte výraz Confirm-SecureBootUEFI a potom stlačte kláves Enter. Príkaz by mal vrátiť hodnotu True, čo znamená, že je zapnuté zabezpečené spustenie.

Vo veľkých nasadeniach pre flotilu zariadení bude softvér na správu používaný profesionálmi v oblasti IT musieť zabezpečiť kontrolu zapnutia zabezpečeného spustenia. 

Metóda kontroly stavu zabezpečeného spustenia v zariadeniach spravovaných službou Microsoft Intune je napríklad vytvorenie a nasadenie vlastného skriptu na zabezpečenie súladu služby Intune. Nastavenia súladu služby Intune sú popísané v téme Používanie vlastných nastavení súladu pre Linux a zariadenia s Windowsom so službou Microsoft Intune.  

Ako sa nasadzujú aktualizácie

Existuje viacero spôsobov, ako zacieliť zariadenia na aktualizácie certifikátu zabezpečeného spustenia. Podrobnosti o nasadení vrátane nastavení a udalostí sa prediskutujú neskôr v tomto dokumente. Keď zacielite zariadenie na aktualizácie, v zariadení sa vykoná nastavenie, ktoré označuje, že zariadenie by malo začať proces použitia nových certifikátov. Naplánovaná úloha sa v zariadení spustí každých 12 hodín a zistí, že zariadenie bolo zamerané na aktualizácie. Prehľad úloh je nasledovný:

1. Na databázu sa použije windows UEFI CA 2023.

2. Ak má zariadenie v databáze ca 2011 Microsoft Corporation UEFI CA 2011, potom sa na databázu použije Microsoft Option ROM UEFI CA 2023 a Microsoft UEFI CA 2023.

3. Úloha potom pridá Microsoft Corporation KEK 2K CA 2023.

4. Napokon naplánovaná úloha aktualizuje správcu spustenia systému Windows na ten, ktorý je podpísaný rozhraním Windows UEFI CA 2023. Systém Windows zistí, že pred spustením správcu je potrebné reštartovať. Aktualizácia správcu spustenia sa oneskorí, kým sa reštart nevykoná prirodzene (napríklad pri použití mesačných aktualizácií), a potom sa Systém Windows znova pokúsi použiť aktualizáciu správcu spúšťania.

Pred presunutie na ďalší krok je potrebné úspešne dokončiť každý z vyššie uvedených krokov. Počas tohto procesu budú k dispozícii denníky udalostí a iný stav na pomoc pri monitorovaní nasadenia. Ďalšie podrobnosti o monitorovaní a denníkoch udalostí nájdete nižšie.  

Aktualizácia certifikátov zabezpečeného spustenia umožňuje budúcu aktualizáciu správcu spúšťania 2023, ktorý je bezpečnejší. Konkrétne aktualizácie správcu spustenia budú v budúcich vydaniach.

Kroky nasadenia 

• Príprava: Inventár a testovacie zariadenia.

• Dôležité informácie o firmvéri

• Monitorovanie: Overte sledovanie prác a základnú úroveň vozového parku.

• Nasadenie: Cieľové zariadenia pre aktualizácie, počnúc malými podmnožinami a rozbalením na základe úspešných testov.

• Náprava: Preskúmajte a vyriešte všetky problémy pomocou denníkov a podpory dodávateľov.

Príprava 

Hardvér a firmvér inventára. Vytvorte reprezentatívnu vzorku zariadení na základe výrobcu systému, systémového modelu, verzie/dátumu systému BIOS, verzie produktu BaseBoard atď. a otestujte aktualizácie týchto vzoriek pred širokým nasadením.  Tieto parametre sú bežne dostupné v systémových informáciách (MSINFO32). 

Príklad príkazov prostredia PowerShell na zhromaždenie informácií:

Dôležité informácie o firmvéri

Nasadenie nových certifikátov zabezpečeného spustenia do flotily zariadení vyžaduje, aby firmvér zariadenia zohrával úlohu pri dokončení aktualizácie. Hoci spoločnosť Microsoft očakáva, že väčšina firmvéru zariadenia bude fungovať podľa očakávaní, pred nasadením nových certifikátov je potrebné dôkladné testovanie.

Preskúmajte hardvérový inventár a vytvorte malú reprezentatívnu vzorku zariadení na základe nasledujúcich jedinečných kritérií, ako napríklad: 

• Výrobca

• Číslo modelu

• Verzia firmvéru

• Verzia základnej dosky OEM atď.

Pred všeobecným nasadením do zariadení vo vašom vozovom parku odporúčame testovať aktualizácie certifikátov na reprezentatívnych vzorových zariadeniach (podľa faktorov, ako sú výrobca, model, verzia firmvéru), aby ste sa uistili, že aktualizácie sa úspešne spracujú. Odporúčaný sprievodný materiál k počtu vzorových zariadení, ktoré sa majú testovať pre každú jedinečnú kategóriu, je 4 alebo viac.

Pomôže to pri budovaní dôvery v proces nasadenia a pomôže to vyhnúť sa neočakávaným vplyvom na širšiu flotilu. 

V niektorých prípadoch môže byť na úspešnú aktualizáciu certifikátov zabezpečeného spustenia potrebná aktualizácia firmvéru. V takýchto prípadoch odporúčame, aby ste si so zariadením OEM skontrolovali, či je aktualizovaný firmvér k dispozícii.

Windows vo virtualizovaných prostrediach

Vo Windowse spustenom vo virtuálnom prostredí existujú dva spôsoby pridania nových certifikátov do premenných firmvéru zabezpečeného spustenia:  

• Tvorca virtuálneho prostredia (AWS, Azure, Hyper-V, VMware atď.) môže poskytnúť aktualizáciu prostredia a zahrnúť nové certifikáty do virtualizovaného firmvéru. To by fungovalo pre nové virtualizované zariadenia.

• Ak virtualizovaný firmvér podporuje aktualizácie zabezpečeného spustenia, pre Windows, ktorý je dlhodobo spustený vo virtuálnom počítači, je možné aktualizácie použiť prostredníctvom Windowsu ako všetky ostatné zariadenia.

Monitorovanie a nasadenie 

Odporúčame, aby ste začali monitorovať zariadenie pred nasadením, aby ste sa uistili, že monitorovanie funguje správne a aby ste mali vopred dobrý zmysel pre stav flotily. Možnosti monitorovania sú popísané nižšie. 

Spoločnosť Microsoft poskytuje viacero metód nasadenia a monitorovania aktualizácií certifikátov zabezpečeného spustenia.

Asistenti automatizovaného nasadenia 

Spoločnosť Microsoft poskytuje dve asistencie pri nasadení. Tieto pomocné funkcie sa môžu ukázať ako užitočné pri zavádzaní nových certifikátov do vášho vozového parku. Obe asistencie vyžadujú diagnostické údaje.

• Možnosť kumulatívnych aktualizácií so sektormi spoľahlivosti: Spoločnosť Microsoft môže automaticky zahrnúť skupiny zariadení s vysokou spoľahlivosťou do mesačných aktualizácií na základe diagnostických údajov zdieľaných k dnešnému dňu v prospech systémov a organizácií, ktoré nemôžu zdieľať diagnostické údaje. Tento krok nevyžaduje povolenie diagnostických údajov.

  • Organizácie a systémy, ktoré môžu zdieľať diagnostické údaje, poskytujú spoločnosti Microsoft viditeľnosť a istotu, že zariadenia môžu úspešne nasadiť certifikáty. Ďalšie informácie o povolení diagnostických údajov sú k dispozícii v téme: Konfigurácia diagnostických údajov Windowsu vo vašej organizácii. Vytvárame "sektory" pre každé jedinečné zariadenie (definované atribútmi, ktoré zahŕňajú výrobcu, verziu základnej dosky, výrobcu firmvéru, verziu firmvéru a ďalšie údajové body). Pre každý sektor sledujeme dôkazy o úspechu vo viacerých zariadeniach. Keď budeme mať dostatok úspešných aktualizácií a žiadne zlyhania, zvážime sektor s vysokou spoľahlivosťou a tieto údaje zahrnieme do mesačných kumulatívnych aktualizácií. Keď sa mesačné aktualizácie použijú na zariadenie v sektore s vysokou spoľahlivosťou, Windows automaticky použije certifikáty na premenné zabezpečeného spustenia UEFI vo firmvére.

  • Sektory s vysokou spoľahlivosťou zahŕňajú zariadenia, ktoré spracovávajú aktualizácie správne. Samozrejme, že nie všetky zariadenia budú poskytovať diagnostické údaje, čo môže obmedziť dôveru spoločnosti Microsoft v schopnosť zariadenia spracovať aktualizácie správne.

  • Táto pomoc je predvolene povolená pre zariadenia s vysokou spoľahlivosťou a môže byť vypnutá pomocou nastavenia špecifického pre zariadenie. Ďalšie informácie sa budú zdieľať v budúcich vydaniach Windowsu.

• Riadené uvedenie funkcií (CFR):  Explicitný súhlas so zariadeniami na nasadenie spravované spoločnosťou Microsoft, ak sú povolené diagnostické údaje.

  • Riadené uvedenie funkcií (CFR) možno použiť s klientskymi zariadeniami vo flotilách organizácií. To si vyžaduje, aby zariadenia odosielali požadované diagnostické údaje spoločnosti Microsoft a signalizovali, že zariadenie sa rozhodlo povoliť CFR v zariadení. Podrobnosti o tom, ako sa prihlásiť, sú popísané nižšie.

  • Spoločnosť Microsoft bude spravovať proces aktualizácie týchto nových certifikátov v zariadeniach s Windowsom, v ktorých sú k dispozícii diagnostické údaje a zariadenia sa zúčastňujú na uvedení kontrolovaných funkcií (CFR). Zatiaľ čo CFR môže pomôcť pri zavádzaní nových certifikátov, organizácie sa nebudú môcť spoliehať na CFR na nápravu svojich flotíl – bude potrebné postupovať podľa krokov uvedených v tomto dokumente v časti o metódach nasadenia, na ktoré sa nevzťahujú automatizované pomoci.

  • Obmedzenia: Existuje niekoľko dôvodov, že CFR nemusí fungovať vo vašom prostredí. Príklad:

    • Nie sú k dispozícii žiadne diagnostické údaje alebo diagnostické údaje nie sú použiteľné v rámci nasadenia CFR.

    • Zariadenia nie sú v podporovaných klientskych verziách Windows 11 a Windows 10 s rozšírenými aktualizáciami zabezpečenia (ESU).

Metódy nasadenia, na ktoré sa nevzťahujú automatizované asistenti

Vyberte metódu, ktorá vyhovuje vášmu prostrediu. Vyhnite sa miešaniu metód v tom istom zariadení: 

• Kľúče databázy Registry: Riadenie nasadenia a monitorovanie výsledkov.
  Existuje viacero kľúčov databázy Registry, ktoré slúžia na kontrolu správania nasadenia certifikátov a na monitorovanie výsledkov. Okrem toho existujú dva kľúče na prihlásenie a odhlásenie z pomocných postupov nasadenia popísaných vyššie. Ďalšie informácie o kľúčoch databázy Registry nájdete v téme Kľúč databázy Registry Aktualizácie zabezpečeného spustenia – zariadenia s Windowsom s aktualizáciami spravovanými IT.

• skupinová politika objects (GPO): Správa nastavení, monitorovanie prostredníctvom databázy Registry a denníkov udalostí.
  Spoločnosť Microsoft bude poskytovať podporu na spravovanie aktualizácií zabezpečeného spustenia pomocou skupinová politika v budúcej aktualizácii. Všimnite si, že keďže skupinová politika je určený pre nastavenia, monitorovanie stavu zariadenia bude potrebné vykonať pomocou alternatívnych metód vrátane monitorovania kľúčov databázy Registry a položiek denníka udalostí.

• WinCS (Windows Configuration System) CLI: Používanie nástrojov príkazového riadka pre klientov pripojených k doméne.
  Správcovia domén môžu alternatívne použiť windowsový konfiguračný systém (WinCS) zahrnutý v aktualizáciách operačného systému Windows na nasadenie aktualizácií zabezpečeného spustenia v klientoch a serveroch Windowsu pripojených k doméne. Skladá sa z radu pomôcok príkazového riadka (tradičný spustiteľný súbor aj modul PowerShell) na dotazovanie a lokálne použitie konfigurácií zabezpečeného spustenia v počítači. Ďalšie informácie nájdete v rozhraniach API systému Windows Configuration System (WinCS) pre zabezpečené spustenie.

• Microsoft Intune/Configuration Manager: Nasadenie skriptov prostredia PowerShell. Poskytovateľ konfiguračných služieb (CSP) bude k dispozícii v budúcej aktualizácii, ktorá umožní nasadenie pomocou služby Intune.

Monitorovanie denníkov udalostí

Poskytujú sa dve nové udalosti, ktoré pomáhajú pri nasadzovaní aktualizácií certifikátu zabezpečeného spustenia. Tieto udalosti sú podrobne popísané v udalostiach aktualizácie databázy zabezpečeného spustenia a aktualizácie premenných DBX: 

• Identifikácia udalosti: 1801
  Táto udalosť je chybová udalosť, ktorá naznačuje, že aktualizované certifikáty neboli použité v zariadení. Táto udalosť poskytuje niektoré podrobnosti špecifické pre zariadenie vrátane atribútov zariadenia, ktoré pomôžu pri korelácii zariadení, ktoré ešte treba aktualizovať.

• Identifikácia udalosti: 1808
  Táto udalosť je informačná udalosť, ktorá označuje, že zariadenie má na firmvér zariadenia použité požadované nové certifikáty zabezpečeného spustenia.

Stratégie nasadenia 

Ak chcete minimalizovať riziko, nasaďte aktualizácie zabezpečeného spustenia vo fázach namiesto všetkých naraz. Začnite s malou podmnožinou zariadení, overte výsledky a potom rozbaľte ďalšie skupiny. Odporúčame vám začať s podmnožinou zariadení a pri získavaní dôvery v tieto nasadenia pridať ďalšie podmnožiny zariadení. Na určenie toho, čo ide do podmnožiny, možno použiť viacero faktorov vrátane výsledkov testov vo vzorových zariadeniach a organizačnej štruktúre atď. 

Rozhodnutie o tom, ktoré zariadenia nasadíte, je na vás. Tu sú uvedené niektoré možné stratégie. 

• Veľký vozový park zariadení: začnite tým, že sa budete spoliehať na pomoc, ktorá je popísaná vyššie pre najbežnejšie zariadenia, ktoré spravujete. Súčasne sa zamerajte na menej bežné zariadenia spravované vašou organizáciou. Otestujte malé vzorové zariadenia a ak je testovanie úspešné, nasaďte ich do ostatných zariadení rovnakého typu. Ak testovanie spôsobí problémy, preskúmajte príčinu problému a určte kroky nápravy. Môžete tiež zvážiť triedy zariadení s vyššou hodnotou vo vašom vozovom parku a začať testovať a nasadzovať, aby ste zabezpečili, že tieto zariadenia aktualizovali ochranu včas.

• Malá flotila, veľká rozmanitosť: Ak flotila, ktorú spravujete, obsahuje širokú škálu strojov, v ktorých by testovanie jednotlivých zariadení bolo prohibitívne, zvážte veľké spoliehanie sa na dve pomocné osoby popísané vyššie, najmä pre zariadenia, ktoré by mohli byť bežnými zariadeniami na trhu. Spočiatku sa zamerajte na zariadenia, ktoré sú dôležité pre každodennú operáciu, otestujte a potom nasaďte. Pokračujte v posúvaní zoznamu zariadení s vysokou prioritou, testovaní a nasadzovaní a zároveň monitorujte flotilu, aby ste potvrdili, že pomoc pomáha so zvyškom zariadení.

Poznámky 

• Venujte pozornosť starším zariadeniam, najmä zariadeniam, ktoré už výrobca nepodporuje. Zatiaľ čo firmvér by mal vykonávať operácie aktualizácie správne, niektoré nemusia. V prípadoch, keď firmvér nefunguje správne a zariadenie už nie je podporované, zvážte nahradenie zariadenia, aby sa zaistila ochrana zabezpečeného spustenia vo vašom vozovom parku.

• Nové zariadenia vyrobené za posledných 1 až 2 roky už môžu mať aktualizované certifikáty, ale nemusia mať v systéme podpísaný správca spúšťania systému Windows UEFI CA 2023. Použitie tohto správcu spúšťania je kritickým posledným krokom nasadenia pre každé zariadenie.

• Po výbere zariadenia na aktualizácie môže trvať určitý čas, kým sa aktualizácie dokončia. Odhadnite 48 hodín a jeden alebo viacero reštartov certifikátov, ktoré sa majú použiť.

Bežné problémy a odporúčania

Táto príručka obsahuje podrobné informácie o tom, ako funguje proces aktualizácie certifikátu zabezpečeného spustenia, a predstavuje niekoľko krokov na riešenie problémov, ak sa počas nasadenia do zariadení vyskytnú problémy. Aktualizácie do tejto sekcie sa pridajú podľa potreby.

Podpora nasadenia certifikátu zabezpečeného spustenia 

Na podporu aktualizácií certifikátov zabezpečeného spustenia windows spravuje naplánovanú úlohu, ktorá sa spúšťa raz za 12 hodín. Úloha vyhľadá bity v kľúči databázy Registry AvailableUpdates , ktorý je potrebné spracovať. Kúsky záujmu použité pri nasadzovaní certifikátov sú uvedené v nasledujúcej tabuľke. Stĺpec Poradie označuje poradie spracovania bitov.

Každý z bitov sa spracuje podľa naplánovanej udalosti v poradí uvedenom v tabuľke vyššie.

Postup v bitoch by mal vyzerať takto: 

1. Začiatok: 0x5944

2. 0x0040 → 0x5904 (windows UEFI CA 2023 sa úspešne použil)

3. 0x0800 → 0x5104 (v prípade potreby sa použila certifikačná autorita Microsoft UEFI CA 2023)

4. 0x1000 → 0x4104 (v prípade potreby sa použila UEFI CA 2023 microsoft Option ROM)

5. 0x0004 → 0x4100 (vzťahuje sa na Microsoft Corporation KEK 2K CA 2023)

6. 0x0100 → 0x4000 (použil sa podpísaný správca spúšťania systému Windows UEFI CA 2023)

Poznámky

• Keď sa operácia priradená k bitu úspešne dokončí, tento bit sa vymaže z kľúča AvailableUpdates .

• Ak niektorá z týchto operácií zlyhá, udalosť sa zapíše do denníka a operácia sa zopakuje pri ďalšom spustení naplánovanej úlohy.

• Ak je bitová 0x4000 nastavená, nevymaže sa. Po spracovaní všetkých ostatných bitov sa kľúč databázy Registry AvailableUpdates nastaví na 0x4000.

Problém 1: Zlyhanie aktualizácie KEK: Zariadenie aktualizuje certifikáty na databázu zabezpečeného spustenia, ale nepresadzuje po nasadení nového certifikátu kľúča Exchange do kľúča zabezpečeného spustenia KEK. 

Poznámka V súčasnej dobe, keď sa vyskytne tento problém, udalosť ID: 1796 sa zapíše do denníka (pozri Secure Boot DB a DBX premennej aktualizácie udalosti). Nová udalosť bude k dispozícii v neskoršom vydaní na označenie tohto konkrétneho problému. 

Kľúč databázy Registry AvailableUpdates v zariadení je nastavený na 0x4104 a nevymaže 0x0004 bit, a to ani po viacerých reštartoch a uplynul značný čas. 

Problém môže spočívať v tom, že nie je KEK podpísaný PK výrobcu OEM pre zariadenie. OEM ovláda PK zariadenia a je zodpovedný za podpísanie nového certifikátu Microsoft KEK a jeho vrátenie spoločnosti Microsoft, aby ho bolo možné zahrnúť do mesačných kumulatívnych aktualizácií. 

Ak sa vyskytne táto chyba, obráťte sa na svojho OEM a potvrďte, že postupuje podľa krokov uvedených v pokynoch na vytvorenie a správu kľúča zabezpečeného spustenia systému Windows.  

Problém 2: Chyby firmvéru: Pri použití aktualizácií certifikátu sa certifikáty odovzdajú firmvéru, aby sa vzťahovali na premenné Secure Boot DB alebo KEK. V niektorých prípadoch firmvér vráti chybu. 

Keď sa vyskytne tento problém, zabezpečené spustenie zaznamená identifikáciu udalosti: 1795. Informácie o tejto udalosti nájdete v témach Secure Boot DB a DBX variable update events. 

Odporúčame, aby ste si s OEM overili, či v zariadení nie je k dispozícii aktualizácia firmvéru na vyriešenie tohto problému.