Opomba
- Izvirni datum objave: 26. junij 2025
- ID zbirke znanja: 5062710
Dnevnik sprememb
| Spremeni datum | Opis spremembe |
|---|---|
| 18 maja, 2026 |
|
| 5. maj 2026 |
|
| 3 februarja, 2026 |
|
| 10 novembra, 2025 | Popravljeni dve tipkarski napaki v razdelku »Novo potrdilo«:
|
Kaj je varni zagon?
Varni zagon je varnostna funkcija v vdelani programski opremi s poenotenim programskim vmesnikom (UEFI), ki pomaga zagotoviti, da se med zagonskim (zagonskim zaporedjem) naprave izvaja le zaupanja vredna programska oprema. Deluje tako, da preveri digitalni podpis programske opreme pred zagonom z naborom zaupanja vrednih digitalnih potrdil (imenovanih tudi overitelj digitalnih potrdil ali CA), ki so shranjena v vdelani programski opremi naprave. Varni zagon UEFI kot industrijski standard določa, kako vdelana programska oprema platforme upravlja potrdila, preverja pristnost vdelane programske opreme in kako operacijski sistem (OS) sodeluje s tem postopkom. Za več podrobnosti o vmesniku UEFI in varnem zagonu glejte temo Varni zagon.
Varni zagon je bil prvič uveden v sistemu Windows 8 za zaščito pred nastajajočo grožnjo zlonamerne programske opreme pred zagonom (imenovano tudi bootkit). Varni zagon kot del inicializacije platforme preveri pristnost modulov vdelane programske opreme pred izvedbo. Ti moduli vključujejo gonilnike vdelane programske opreme vmesnika UEFI (kot so izbirni ROM-ji), nalagalnike zagona in programe. V zadnjem koraku postopka varnega zagona vdelana programska oprema preveri, ali varni zagon zaupa nalagalniku zagona. Nato vdelana programska oprema prenese nadzor na nalagalnik zagona, ki nato preveri, naloži v pomnilnik in zažene operacijski sistem Windows.
Varni zagon določa zaupanja vredno kodo s pravilnikom vdelane programske opreme, nastavljenim med proizvodnjo. Spremembe tega pravilnika, na primer dodajanje ali preklic potrdil, nadzoruje hierarhija ključev. Ta hierarhija se začne s ključem platforme (PK), ki je običajno v lasti proizvajalca strojne opreme, sledi ključ za registracijo ključa (KEK) (imenovan tudi ključ za izmenjavo ključev), ki lahko vključuje Microsoft KEK in druge ključe KEK proizvajalca strojne opreme. Zbirki podatkov dovoljenih podpisov (DB) in zbirka podatkov nedovoljenih podpisov (DBX) določata, katera koda se lahko izvaja v okolju UEFI pred zagonom operacijskega sistema. Zbirka podatkov vključuje potrdila, ki jih upravljata Microsoft in proizvajalec strojne opreme, medtem ko DBX posodablja Microsoft z najnovejšimi preklici. Vsaka entiteta s ključem KEK lahko posodobi zbirko podatkov in DBX.
Vpliv poteka potrdila za varni zagon
Microsoft posodablja potrdila za varni zagon, ki so bila prvotno izdana leta 2011, s čimer zagotavlja, da naprave s sistemom Windows še naprej preverjajo zaupanja vredno programsko opremo za zagon. Ta starejša potrdila začnejo potekati junija 2026. Naprave, ki niso prejele novejših potrdil 2023, se bodo še naprej zagnale in normalno delovale, standardne posodobitve sistema Windows pa se bodo nameščale še naprej. Vendar pa te naprave ne bodo več mogle prejemati novih varnostnih zaščit za zgodnji postopek zagona, vključno s posodobitvami Upravitelja zagona sistema Windows, zbirkami podatkov varnega zagona, seznami preklicev ali ublažitvami na novo odkritih ranljivosti na ravni zagona.
Sčasoma to omeji zaščito naprave pred novimi grožnjami in lahko vpliva na scenarije, ki so odvisni od zaupanja vrednega varnega zagona, kot je utrjevanje zaščite BitLocker ali nalagalniki zagona drugih proizvajalcev. Večina naprav s sistemom Windows samodejno prejme posodobljena potrdila, številni proizvajalci strojne opreme pa po potrebi zagotovijo posodobitve vdelane programske opreme. Redno posodabljanje naprave s temi posodobitvami zagotavlja, da lahko še naprej prejema celoten nabor varnostnih zaščit, ki jih zagotavlja varni zagon.
Potrdila za varni zagon sistema Windows, ki potečejo v letu 2026
Odkar je sistem Windows uvedel podporo za varni zagon, imajo vse naprave s sistemom Windows isti nabor Microsoftovih potrdil v KEK in DB. Ta izvirna potrdila se približujejo datumu poteka in če ima katero od navedenih različic potrdila, to vpliva na vašo napravo. Če želite še naprej izvajati sistem Windows in prejemati redne posodobitve za konfiguracijo varnega zagona, morate posodobiti ta potrdila.
Terminologija
- KEK: Ključ za včlanitev
- CA: Overitelj digitalnih potrdil
- DB: Zbirka podatkov podpisov varnega zagona
- DBX: Varni zagon preklicane zbirke podatkov podpisov
| Potrdilo pred potekom | Datum poteka | Novo potrdilo | Shranjevanje lokacije | Namen |
|---|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | 24. junij 2026 | Microsoft Corporation KEK 2K CA 2023 | Shranjeno v KEK | Podpiše posodobitve za DB in DBX. |
| Microsoft Windows Production PCA 2011 | 19 oktobra, 2026 | Windows UEFI CA 2023 | Shranjeno v zbirki podatkov | Uporablja se za podpisovanje nalagalnika zagona sistema Windows. |
| Microsoft UEFI CA 2011*** | 27. junij 2026 | Microsoft UEFI CA 2023 | Shranjeno v zbirki podatkov | Podpiše nalagalnike zagona in aplikacije EFI neodvisnih izdelovalcev. |
| Microsoft UEFI CA 2011*** | 27. junij 2026 | Microsoftova možnost ROM UEFI CA 2023 | Shranjeno v zbirki podatkov | Podpiše možnostine ROM tretje osebe |
Opomba
*Med podaljšanjem potrdila Microsoft Corporation UEFI CA 2011 dve potrdili ločujeta podpisovanje nalagalnika zagona od podpisovanja izbirnega ROM-a. To omogoča natančnejši nadzor nad zaupanjem sistema. Na primer, sistemi, ki morajo zaupati možnostinim ROM-om, lahko dodajo Microsoftovo možnost ROM UEFI CA 2023, ne da bi dodali zaupanje za nalagalnike zagona neodvisnih izdelovalcev.
Microsoft je izdal posodobljena potrdila za zagotavljanje neprekinjene zaščite varnega zagona v napravah s sistemom Windows. Microsoft bo postopek posodobitve za ta nova potrdila upravljal v velikem številu naprav s sistemom Windows. Poleg tega bomo ponudili podrobna navodila za organizacije, ki upravljajo posodobitve svojih naprav.
Poziv k dejanju
Morda boste morali ukrepati, da zagotovite, da bo vaša naprava s sistemom Windows ostala varna, ko potrdila potečejo leta 2026. Tako UEFI Secure Boot DB kot KEK morata biti posodobljena z ustreznimi novimi različicami potrdila 2023. Če želite več informacij o novih potrdilih, glejte Navodila za ustvarjanje in upravljanje ključa za varni zagon sistema Windows.
Vaša dejanja se razlikujejo glede na vrsto naprave s sistemom Windows, ki jo imate. V meniju na levi strani izberite vrsto naprave in določeno dejanje, ki ga morate izvesti.
Viri Microsoftove podpore za stranke
Če želite stopiti v stik z Microsoftovo podporo, glejte:
Microsoftovo podporo in nato kliknite Windows.
Podpora za podjetja , nato pa kliknite »Ustvari« , da ustvarite novo zahtevo za podporo.
Ko ustvarite novo zahtevo za podporo, bi morala biti videti tako: