Datum izvirne objave: 26. junij 2025
ID zbirke znanja: 5062710
Kaj je varni zagon?
Varni zagon je varnostna funkcija v vdelani programski opremi poenotenega programskega vmesnika (UEFI), ki pomaga zagotoviti, da se v zaporedju zagona (zagona) naprave izvaja le zaupanja vredna programska oprema. Deluje tako, da preveri digitalni podpis pred zagonske programske opreme z naborom zaupanja vrednih digitalnih potrdil (imenovanih tudi overitelj digitalnih potrdil ali overitelj digitalnih potrdil), shranjenih v vdelani programski opremi naprave. Kot industrijski standard varni zagon vmesnika UEFI določa, kako vdelana programska oprema platforme upravlja potrdila, preverja pristnost vdelane programske opreme in način vmesnikov operacijskega sistema (OS) s tem postopkom. Če želite več podrobnosti o vmesniku UEFI in varnem zagonu, glejte Varni zagon.
Varni zagon je bil prvič uveden v Windows 8 za zaščito pred nastajajoče zlonamerno programsko opremo pred zagonom (znano tudi kot bootkit) grožnja v tem trenutku. Kot del inicializacije platforme varni zagon preveri pristnost modulov vdelane programske opreme pred izvajanjem. Ti moduli vključujejo gonilnike vdelane programske opreme vmesnika UEFI (kot so option ROMs), nalagatelje zagona in aplikacije. Kot zadnji korak postopka varnega zagona vdelana programska oprema preveri, ali varni zagon zaupa nalagalniku zagona. Nato vdelana programska oprema prenese nadzor na nalagalnik zagona, ki preveri, naloži v pomnilnik in zažene operacijski sistem Windows.
Varni zagon določa zaupanja vredno kodo prek pravilnika o vdelani programski opremi, nastavljenega med proizvodnjo. Spremembe tega pravilnika, na primer dodajanje ali preklic potrdil, nadzira hierarhija ključev. Hierarhija se začne s ključem platforme (PK), ki je običajno v lasti proizvajalca strojne opreme, temu pa sledi ključ KEK (ključ za včlanitev) (imenovan tudi ključ exchangeev ključ), ki lahko vključuje Microsoftov KEK in druge KEK-je proizvajalca strojne opreme. Zbirka podatkov z dovoljenim podpisom (DB) in zbirka podatkov za nedovoljenih podpisov (DBX) določata, katera koda se lahko izvaja v okolju UEFI pred zagonom operacijskega sistema. DB vključuje potrdila, ki jih upravljata Microsoft in proizvajalec strojne opreme, Microsoft pa posodobi DBX z najnovejšimi preklici. Vsaka entiteta s KEK lahko posodobi DB in DBX.
Potrdila za varni zagon sistema Windows, ki bodo potekla v letu 2026
Odkar je sistem Windows uvedel podporo za varni zagon, so vse naprave s sistemom Windows v KEK in DB nosile isti nabor Microsoftovih potrdil. Ta prvotna potrdila se bodo kmalu iztekla, vaša naprava pa bo vplivala, če ima katero koli od navedenih različic potrdila. Če želite še naprej izvajati sistem Windows in prejemati redne posodobitve za konfiguracijo varnega zagona, morate ta potrdila posodobiti.
Terminologija
-
KEK: Ključ za včlanitev
-
CA: Overitelj digitalnih potrdil
-
DB: Zbirka podatkov s podpisom varnega zagona
-
DBX (DBX): Zbirka podatkov s preklicem varnega zagona
|
Potrdilo, ki bo kmalu potekla |
Datum poteka |
Novo potrdilo |
Mesto shranjevanja |
Namen |
|
Microsoft Corporation KEK CA 2011 |
Junij 2026 |
Microsoft Corporation KEK CA 2023 |
Shranjeno v KEK |
Podpiše posodobitve za DB in DBX. |
|
Microsoft Windows Production PCA 2011 |
Oktober 2026 |
Windows UEFI CA 2023 |
Shranjeno v zbirki podatkov |
Uporablja se za podpisovanje nalagalnika zagona sistema Windows. |
|
Microsoft UEFI CA 2011* |
Junij 2026 |
Microsoft UEFI CA 2023 |
Shranjeno v zbirki podatkov |
Podpiše nalaganike zagona drugih ponudnikov in aplikacije EFI. |
|
Microsoft UEFI CA 2011* |
Junij 2026 |
Microsoft Option ROM CA 2023 |
Shranjeno v zbirki podatkov |
Podpiše ROM-je z možnostjo drugega ponudnika |
*Med podaljšanjem potrdila za Microsoft Corporation UEFI CA 2011 se dve potrdili ločita od podpisa zagonskega nalagalnika od možnosti podpisovanja ROM-a. To omogoča natančnejši nadzor nad zaupanjem sistema. Sistemi, ki morajo na primer zaupati možnostM, lahko dodajo UEFI Microsoft Option ROM CA 2023, ne da bi dodali zaupanje za nalagatelje zagona drugih ponudnikov.
Microsoft je izdal posodobljena potrdila, da bi zagotovili neprekinjeno zaščito varnega zagona v napravah s sistemom Windows. Microsoft bo postopek posodabljanja teh novih potrdil upravljal v pomembnih delih naprav s sistemom Windows. Poleg tega vam bomo ponudili podrobna navodila za organizacije, ki upravljajo svoje posodobitve naprav.
Pomembno Po poteku veljavnosti certifikatov 2011 naprave s sistemom Windows, ki nimajo novih potrdil 2023, ne bodo več prejemale varnostnih popravkov za komponente pred zagonom, ki bi ogrozile varnost zagona sistema Windows.
Poziv k dejanju
Morda boste morali ukrepati in zagotoviti, da bo vaša naprava s sistemom Windows še naprej varna, ko bodo potrdila potekla leta 2026. Tako vmesnik UEFI Secure Boot DB kot tudi KEK je treba posodobiti z ustrezno novo različico potrdila 2023. Če želite več informacij o novih potrdilih, glejte Navodila za ustvarjanje in upravljanje ključa za varni zagon sistema Windows.
Pomembno Brez posodobitev lahko naprave s sistemom Windows, ki podpirajo varni zagon, ne prejemajo varnostnih posodobitev ali zaupajo novim nalagatelji zagona, kar bo ogrozilo uporabnost in varnost.
Vaša dejanja se razlikujejo glede na vrsto naprave s sistemom Windows, ki jo uporabljate. V meniju na levi izberite vrsto naprave in določeno dejanje, ki ga morate izvesti.
