Ispravke certifikata za bezbedno pokretanje sistema: Vodič za IT stručnjake i organizacije

Rok važenja certifikata za bezbedno pokretanje

Konfiguracija autoriteta za izdavanje certifikata (CAs), koji se nazivaju i certifikati, koje je microsoft obezbedio kao deo infrastrukture bezbednog pokretanja, ostaje ista od Windows 8 i Windows Server 2012. Ovi certifikati se skladište u promenljivama Signature Database (DB) i Key Exchange Key (KEK) u firmveru. Microsoft je obezbedio ista tri certifikata u ekosistemu originalnog proizvođača opreme (OEM) koji treba uključiti u firmver uređaja. Ovi certifikati podržavaju bezbedno pokretanje u operativnom sistemu Windows i koriste ih i operativni sistemi nezavisnih proizvođača (OS). Microsoft obezbeđuje sledeće certifikate:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

Šta se menja?

Trenutni certifikati microsoft bezbednog pokretanja (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) će početi da ističe u junu 2026. i isteći će do oktobra 2026. 

Izdaju se novi certifikati iz 2023. radi održavanja bezbednosti i kontinuiteta bezbednog pokretanja. Uređaji moraju da se ažuriraju na 2023 certifikate pre isteka 2011. ili će oni biti van bezbednosne usaglašenosti i u riziku.  

Windows uređaji proizvedeni od 2012. mogu imati istekle verzije certifikata, koje moraju da se ažuriraju. 

Terminologiji

Certifikate

Provera statusa bezbednog pokretanja širom flote: Da li je omogućeno bezbedno pokretanje? 

Većina uređaja proizvedenih od 2012. godine ima podršku za bezbedno pokretanje i isporučuje se sa omogućenim bezbednim pokretanjem. Da biste proverili da li uređaj ima omogućeno bezbedno pokretanje, uradite nešto od sledećeg: 

• GUI metod: Idite na Start > Postavke > privatnost & Bezbednost > Windows bezbednost > bezbednost uređaja. U okviru Bezbednost uređaja, odeljak Bezbedno pokretanje treba da ukazuje na to da je uključeno bezbedno pokretanje.

• Metod komandne linije: Na komandnoj liniji sa punim privilegijama u programu PowerShell otkucajte Confirm-SecureBootUEFI, a zatim pritisnite taster Enter. Komanda bi trebalo da vrati vrednost True koja ukazuje na to da je uključeno bezbedno pokretanje.

U primenama velikih razmera za flotu uređaja, softver za upravljanje koji koriste IT stručnjaci moraće da obezbedi proveru za omogućavanje bezbednog pokretanja. 

Na primer, metod provere stanja bezbednog pokretanja na uređajima kojima upravlja Microsoft Intune jeste da kreirate i primenite Intune skriptu prilagođene usaglašenosti. Postavke intune usaglašenosti pokrivene su u članku Korišćenje prilagođenih postavki usaglašenosti za Linux i Windows uređaje uz Microsoft Intune.  

Kako se primenjuju ispravke

Postoji više načina za usmeravanje uređaja za ispravke certifikata za bezbedno pokretanje. Detalji o primeni, uključujući postavke i događaje, biće razmatrani kasnije u ovom dokumentu. Kada usmeravate uređaj na ažuriranja, na uređaju se kreira postavka koja ukazuje na to da uređaj treba da započne proces primene novih certifikata. Planirani zadatak se pokreće na uređaju svakih 12 sati i otkriva da je uređaj ciljan za ažuriranja. Prikaz strukture onoga što zadatak radi je sledeći:

1. Windows UEFI CA 2023 se primenjuje na DB.

2. Ako uređaj ima Microsoft Corporation UEFI CA 2011 u DB, onda zadatak primenjuje Microsoft Option ROM UEFI CA 2023 i Microsoft UEFI CA 2023 na DB.

3. Zadatak zatim dodaje Microsoft Corporation KEK 2K CA 2023.

4. Na kraju, planirani zadatak ažurira Windows upravljač pokretanja na onom koji je potpisao Windows UEFI CA 2023. Windows će otkriti da je potrebno ponovo pokrenuti računar pre nego što se primeni upravljač pokretanjem. Ažuriranje upravljača pokretanja će biti odloženo dok se ponovno pokretanje ne dogodi prirodno (na primer kada su primenjene mesečne ispravke), a zatim će Windows ponovo pokušati da primeni ispravku upravljača pokretanja.

Svaki od gorenavedenih koraka mora biti uspešno dovršen pre nego što se planirani zadatak premesti na sledeći korak. Tokom ovog procesa, evidencije događaja i drugi status biće dostupne za pomoć u nadgledanju primene. Više detalja o nadgledanju i evidencijama događaja navedeno je u nastavku.  

Ažuriranje certifikata za bezbedno pokretanje omogućava buduću ispravku programa Boot Manager za 2023, koja je bezbednija. Određene ispravke za upravljač pokretanjem će biti u budućim izdanjima.

Koraci za primenu 

• Priprema: Zalihe i probni uređaji.

• Razmatranja firmvera

• Nadgledanje: Proverite da li nadgledanje funkcioniše i osnovni plan vašeg flote.

• Primena: Ciljni uređaji za ažuriranja, počevši od malih podskupova i razvijanjem na osnovu uspešnih testova.

• Remedijacija: Ispitajte i rešite sve probleme pomoću evidencija i podrške za dobavljače.

Priprema 

Hardver za zalihe i firmver. Napravite reprezentativni uzorak uređaja na osnovu proizvođača sistema, sistemskog modela, bioS verzije/datuma, verzije osnovnog proizvoda itd. i testirajte ispravke na tim uzorcima pre široke primene.  Ovi parametri su obično dostupni u informacijama o sistemu (MSINFO32). 

Primer PowerShell komandi za prikupljanje informacija su:

Razmatranja firmvera

Primena novih certifikata za bezbedno pokretanje na flotu uređaja zahteva da firmver uređaja igra ulogu u dovršavanju ažuriranja. Iako Microsoft očekuje da će većina firmvera uređaja izvršiti na očekivani način, potrebno je pažljivo testiranje pre primene novih certifikata.

Ispitajte zalihe hardvera i napravite mali reprezentativni uzorak uređaja na osnovu sledećih jedinstvenih kriterijuma kao što su: 

• Proizvođača

• Broj modela

• Verzija firmvera

• Verzija OEM osnovne table itd.

Pre nego što izvršite široku primenu na uređaje u floti, preporučujemo da testirate ispravke certifikata na reprezentativnim uzorcima uređaja (kao što su proizvođač, model, verzija firmvera) da biste se uverili da se ispravke uspešno obrađuju. Preporučeni vodič za broj uzoraka uređaja za testiranje za svaku jedinstvenu kategoriju je 4 ili više.

To će doprineti izgradnji poverenja u proces primene i pomoći da se izbegnu neočekivani uticaji na širu flotu. 

U nekim slučajevima, možda će biti potrebna ispravka firmvera da bi se certifikati za bezbedno pokretanje uspešno ažurirali. U tim slučajevima, preporučujemo da proverite sa OEM-om uređaja da biste videli da li je dostupan ažuriran firmver.

Windows u virtuelizovanim okruženjima

Za Windows koji radi u virtuelnom okruženju postoje dva metoda za dodavanje novih certifikata u promenljive firmvera za bezbedno pokretanje sistema:  

• Autor virtuelnog okruženja (AWS, Azure, Hyper-V, VMware itd.) može da obezbedi ispravku za okruženje i uključi nove certifikate u virtuelizovani firmver. Ovo bi funkcionisalo za nove virtuelizovane uređaje.

• Za Windows koji dugoročno radi na virtuelnoj mašini, ispravke se mogu primeniti putem operativnog sistema Windows, kao i na druge uređaje, ako virtuelizovani firmver podržava ispravke bezbednog pokretanja.

Nadgledanje i primena 

Preporučujemo da započnete nadgledanje uređaja pre primene da biste obezbedili da nadgledanje ispravno funkcioniše i da imate dobar osećaj za stanje flote unapred. Opcije nadgledanja su diskutovane u nastavku. 

Microsoft pruža više metoda za primenu i nadgledanje ispravki certifikata za bezbedno pokretanje.

Pomoć za automatizovanu primenu 

Microsoft pruža dve asistencije za primenu. Ove pomoć mogu da se pokažu korisnim u pomoći pri primeni novih certifikata u vašem floti. Obe pomoći zahtevaju dijagnostičke podatke.

• Opcija za kumulativna ažuriranja sa grupama pouzdanosti: Microsoft automatski može da uključi grupe uređaja visokog stepena pouzdanosti u mesečne ispravke zasnovane na dijagnostičkim podacima koji se dele sa datumom, kako bi se koristili sistemi i organizacije koje ne mogu da dele dijagnostičke podatke. Ovaj korak ne zahteva omogućavanje dijagnostičkih podataka.

  • Za organizacije i sisteme koji mogu da dele dijagnostičke podatke, korporaciji Microsoft daje vidljivost i pouzdanost da uređaji mogu uspešno da primene certifikate. Više informacija o omogućavanju dijagnostičkih podataka dostupno je u članku: Konfigurisanje Windows dijagnostičkih podataka u organizaciji. Pravimo "kontejnere" za svaki jedinstveni uređaj (kako je definisano atributima koji uključuju proizvođača, matičnu verziju, proizvođača firmvera, verziju firmvera i dodatne tačke podataka). Za svaki kontejner pratimo dokaze o uspehu na više uređaja. Kada uočimo dovoljno uspešnih ispravki i neuspešnih pokušaja, kontejner ćemo smatrati "visokim stepenom pouzdanosti" i uključiti te podatke u mesečne kumulativne ispravke. Kada se mesečne ispravke primene na uređaj u kontejnera visokog stepena pouzdanosti, Windows će automatski primeniti certifikate na promenljive UEFI bezbednog pokretanja u firmveru.

  • Grupe sa visokim stepenom pouzdanosti uključuju uređaje koji ispravno obrađuju ispravke. Naravno, neće svi uređaji obezbediti dijagnostičke podatke i to može ograničiti pouzdanost korporacije Microsoft u sposobnost uređaja da ispravno obradi ispravke.

  • Ova pomoć je podrazumevano omogućena za uređaje sa visokim stepenom pouzdanosti i može se onemogućiti pomoću postavke specifične za uređaj. Više informacija će biti deljeno u budućim izdanjima operativnog sistema Windows.

• Kontrolisana primena funkcije (CFR):  Davanje saglasnosti za uređaje za primenu kojima upravlja Microsoft ako su omogućeni dijagnostički podaci.

  • Kontrolisana primena funkcija (CFR) može da se koristi sa klijentskim uređajima u flotama organizacije. Ovo zahteva da uređaji šalju obavezne dijagnostičke podatke korporaciji Microsoft i da su signalizirali da uređaj daje saglasnost za dozvoljavanje CFR-a na uređaju. Detalji o tome kako da date saglasnje opisani su u nastavku.

  • Microsoft će upravljati procesom ažuriranja za ove nove certifikate na Windows uređajima gde su dostupni dijagnostički podaci i uređaji učestvuju u kontrolisanom primeni funkcije (CFR). Iako CFR može da pomogne u primeni novih certifikata, organizacije neće moći da se oslanjaju na CFR da bi ponovo uspostavile flote – to zahteva praćenje koraka navedenih u ovom dokumentu u odeljku o metodama primene koji nisu pokriveni automatizovanim pomoćima.

  • Ograničenja: Postoji nekoliko razloga zbog kojih CFR možda neće raditi u vašem okruženju. Na primer:

    • Dijagnostički podaci nisu dostupni ili dijagnostički podaci nisu upotrebljivi kao deo CFR primene.

    • Uređaji nisu u podržanim verzijama klijenta za Windows 11 i Windows 10 sa proširenim bezbednosnim ispravkama (ESU).

Metodi primene nisu pokriveni automatizovanim pomoćima

Odaberite metod koji odgovara vašem okruženju. Izbegavajte mešanje metoda na istom uređaju: 

• Ključevi registratora: Kontrolišite primenu i nadgledajte rezultate.
  Dostupno je više ključeva registratora za kontrolisanje ponašanja primene certifikata i nadgledanje rezultata. Pored toga, postoje dva tastera za odbijanje i odjavljivanje pomagala za primenu koja su opisana iznad. Više informacija o ključevima registratora potražite u članku Ključ registratora Novosti za bezbedno pokretanje sistema – Windows uređaji sa ispravkama kojima upravlja IT.

• Smernice grupe objekata (GPO): Upravljanje postavkama; nadgledanje putem registratora i evidencija događaja.
  Microsoft će pružiti podršku za upravljanje ispravkama za bezbedno pokretanje pomoću Smernice grupe u budućim ispravkama. Imajte na umu da pošto Smernice grupe postavke, nadgledanje statusa uređaja moraće da se izvrši pomoću alternativnih metoda, uključujući nadgledanje ključeva registratora i stavki evidencije događaja.

• WinCS (Windows Configuration System) CLI: Koristite alatke komandne linije za klijente pridružene domenu.
  Administratori domena mogu da koriste windows sistem za konfiguraciju (WinCS) uključen u ispravke operativnog sistema Windows da bi primenili ispravke bezbednog pokretanja na Windows klijente i servere pridružene domenu. Sastoji se od niza uslužnih programa komandne linije (tradicionalni izvršni i PowerShell modul) za izvršavanje upita i primenu konfiguracija bezbednog pokretanja lokalno na računar. Više informacija potražite u članku Windows Configuration System (WinCS) API-ji za bezbedno pokretanje sistema.

• Microsoft Intune/Configuration Manager: Primenite PowerShell skripte. Dobavljač usluga konfiguracije (CSP) biće obezbeđen u budućim ispravkama kako bi se omogućila primena pomoću usluge Intune.

Nadgledanje evidencija događaja

Obezbeđena su dva nova događaja koja će vam pomoći u primeni ispravki certifikata za bezbedno pokretanje. Ovi događaji su detaljno opisani u događajima ažuriranja promenljivih za bezbedno pokretanje sistema i DBX promenljivih: 

• ID događaja: 1801
  Ovaj događaj je događaj greške koji ukazuje na to da ažurirani certifikati nisu primenjeni na uređaj. Ovaj događaj pruža neke detalje specifične za uređaj, uključujući atribute uređaja, koji će pomoći u korelavanju uređaja koji i dalje treba da se ažuriraju.

• ID događaja: 1808
  Ovaj događaj je informativni događaj koji ukazuje na to da uređaj ima potrebne nove certifikate za bezbedno pokretanje primenjene na firmver uređaja.

Strategije primene 

Da biste umanjili rizik, primenite ispravke bezbednog pokretanja u fazama, a ne sve odjednom. Počnite sa malim podskup uređaja, proverite valjanost rezultata, a zatim razvijte na dodatne grupe. Predlažemo da počnete sa podskupovima uređaja i, kako steknete poverenja u te primene, dodajte dodatne podskup uređaja. Više faktora može da se koristi za određivanje šta ide u podskup, uključujući rezultate testa na uzorcima uređaja i strukturu organizacije itd. 

Odluka o uređajima koje primenite je na vama. Ovde su navedene neke moguće strategije. 

• Flota velikih uređaja: počnite tako što ćete se oslanjati na pomoć opisane iznad za najčešće uređaje na koje upravljate. Paralelno se fokusirajte na manje uobičajene uređaje kojima upravlja vaša organizacija. Testirajte male uzorke uređaja i, ako je testiranje uspešno, primenite ga na ostale uređaje istog tipa. Ako testiranje proizvede probleme, ispitajte uzrok problema i utvrdite korake za rešavanje problema. Možda ćete želeti i da razmotrite klase uređaja koji imaju veću vrednost u floti i počnete da testirate i primenjujete kako biste obezbedili da ti uređaji imaju ažuriranu zaštitu na licu mesta ranije.

• Mali flota, velika raznovrsnost: Ako flota koju upravljate sadrži veliki broj mašina na kojima bi testiranje pojedinačnih uređaja bilo zabranjeno, razmotrite oslanjanje na dve asistencije opisane iznad, posebno za uređaje za koje je verovatno da su uobičajeni uređaji na tržištu. Prvo se fokusirajte na uređaje koji su od presudnog značaja za svakodnevnu operaciju, testirajte, a zatim primenite. Nastavite da se pomerate nadole na listi uređaja visokog prioriteta, testirajte i primenite dok nadgledate flotu da biste potvrdili da pomoć pomaže sa ostatkom uređaja.

Beleške 

• Obratite pažnju na starije uređaje, posebno uređaje koje proizvođač više ne podržava. Iako firmver treba da ispravno izvršava operacije ažuriranja, neki možda neće. U slučajevima kada firmver ne radi ispravno i uređaj više nije u podršci, razmotrite zamenu uređaja da biste obezbedili zaštitu bezbednog pokretanja širom flote.

• Novi uređaji proizvedeni u protekle 1-2 godine možda već imaju ažurirane certifikate na mestu, ali sistem možda nije primenio Windows UEFI CA 2023 potpisani upravljač pokretanja. Primena ovog upravljača za pokretanje je kritičan poslednji korak u primeni za svaki uređaj.

• Kada se uređaj izabere za ispravke, možda će biti potrebno neko vreme da se ispravke dovrše. Procena 48 časova i jednog ili više ponovnog pokretanja za primenu certifikata.

Uobičajeni problemi i preporuke

Ovaj vodič detaljno objašnjava kako funkcioniše proces ažuriranja certifikata za bezbedno pokretanje i predstavlja neke korake za rešavanje problema tokom primene na uređaje. Novosti ovom odeljku biće dodate po potrebi.

Podrška za primenu certifikata bezbednog pokretanja 

Kao podršku za ispravke certifikata za bezbedno pokretanje, Windows održava planirani zadatak koji se pokreće jednom na svakih 12 časova. Zadatak traži bitove u ključu registratora AvailableUpdates koji zahtevaju obradu. Bitovi koji vas interesuju za primenu certifikata nalaze se u sledećoj tabeli. Kolona Redosled ukazuje na redosled obrađivanja bitova.

Svaki od bitova obrađuje se po planiranom događaju u redosledu datom u tabeli iznad.

Napredovanje kroz bitove bi trebalo bi da izgleda ovako: 

1. Start: 0x5944

2. 0x0040 → 0x5904 (uspešno je primenjen Windows UEFI CA 2023)

3. 0x0800 → 0x5104 (primenjen je Microsoft UEFI CA 2023 ako je potrebno)

4. 0x1000 → 0x4104 (primenjen je Microsoft Option ROM UEFI CA 2023 ako je potrebno)

5. 0x0004 → 0x4100 (primenjeno na Microsoft Corporation KEK 2K CA 2023)

6. 0x0100 → 0x4000 (primenjen je Windows UEFI CA 2023 potpisani upravljač pokretanja)

Beleške

• Kada se operacija povezana sa malom uspešno dovrši, taj bit se obriše iz ključa AvailableUpdates .

• Ako neka od ovih operacija ne uspe, događaj se evidentira i operacija se ponovo pokušava sledeći put kada se planirani zadatak pokrene.

• Ako je 0x4000 postavka, neće biti obrisana. Kada svi ostali bitovi budu obrađeni, ključ registratora AvailableUpdates će biti postavljen na 0x4000.

1. problem: KEK ažuriranje nije uspelo: Uređaj ažurira certifikate na DB za bezbedno pokretanje, ali ne napreduje posle primene novog ključa Exchange ključa na KEK bezbednog pokretanja. 

Napomena Trenutno kada dođe do ovog problema, ID događaja: 1796 će biti evidentiran (pogledajte članak Događaji promenljivih promenljivih za bezbedno pokretanje sistema i promenljiva DBX). Novi događaj će biti obezbeđen u kasnijem izdanju kako bi se ukazalo na ovaj određeni problem. 

Ključ registratora AvailableUpdates na uređaju podešen je na 0x4104 i ne briše 0x0004 bit, čak ni nakon više ponovnih pokretanja i potrebnog vremena. 

Problem može da bude u tome što za uređaj nije potpisan KEK koji je potpisao OEM. OEM kontroliše PK za uređaj i odgovoran je za potpisivanje novog Microsoft KEK certifikata i vraćanje korporaciji Microsoft kako bi bio uključen u mesečne kumulativne ispravke. 

Ako naiđete na ovu grešku, proverite sa OEM-om da biste potvrdili da su pratili korake navedene u članku Kreiranje ključa za bezbedno pokretanje operativnog sistema Windows i uputstva za upravljanje.  

2. problem: Greške u firmveru: Kada primenjujete ispravke certifikata, certifikati se predaju firmveru kako bi se primenili na promenljive Secure Boot DB ili KEK. U nekim slučajevima firmver vraća grešku. 

Kada dođe do ovog problema, bezbedno pokretanje će evidentirati ID događaja: 1795. Informacije o ovom događaju potražite u člancima Događaji ažuriranja promenljivih za bezbedno pokretanje sistema i DBX promenljivih. 

Preporučujemo da proverite sa OEM-om da li postoji dostupna ispravka firmvera za uređaj za rešavanje ovog problema.