Originalni datum objavljivanja: 26. jun 2025.
KB ID: 5062710
Šta je to bezbedno pokretanje?
Bezbedno pokretanje je bezbednosna funkcija u firmveru zasnovanom na unified Extensible Firmware Interface (UEFI) koji pomaže da se osigura da se samo pouzdani softver pokreće tokom sekvence pokretanja (pokretanja) uređaja. On funkcioniše tako što verifikuje digitalni potpis softvera pre pokretanja u odnosu na skup pouzdanih digitalnih certifikata (poznat i kao autoritet za izdavanje certifikata ili CA) uskladištenih u firmveru uređaja. Kao industrijski standard, UEFI bezbedno pokretanje definiše način na koji firmver platforme upravlja certifikatima, potvrđuje identitet firmvera i kako se interfejs operativnog sistema (OS) koristi sa ovim procesom. Više detalja o UEFI i bezbednom pokretanju potražite u članku Bezbedno pokretanje sistema.
Bezbedno pokretanje je prvi put uvedeno u Windows 8 kako bi se zaštitio od pojavljivanja malvera pre pokretanja (poznat i kao bootkit) pretnja u to vreme. U sklopu pokretanja platforme, secure Boot potvrdjuje identitet modula firmvera pre izvršavanja. Ovi moduli obuhvataju UEFI upravljačke programe firmvera (kao što su Option ROMs), moduli za učitavanje pokretanja i aplikacije. Kao poslednji korak procesa bezbednog pokretanja, firmver potvrđuje da li bezbedno pokretanje ima poverenja u učitavač za pokretanje. Zatim firmver prelazi kontrolu u učitavač za pokretanje koji verifikuje, učitava se u memoriju i pokreće Windows OS.
Bezbedno pokretanje definiše pouzdani kôd putem smernica firmvera postavljenih tokom proizvodnje. Promene u ovim smernicama, kao što je dodavanje ili opoziv certifikata, kontroliše hijerarhija ključeva. Ova hijerarhija počinje ključem platforme (PK), koji je obično u vlasništvu proizvođača hardvera, a zatim ključa za upisivanje (KEK) (poznat i kao Ključ Exchange ključa), koji može da obuhvata Microsoft KEK i druge OEM KEKS- ove. Baza podataka dozvoljenih potpisa (DB) i Onemogućena baza podataka potpisa (DBX) određuju koji kôd može da se pokrene u UEFI okruženju pre pokretanja operativnog sistema. DB sadrži certifikate kojima upravlja Microsoft i OEM, dok Microsoft ažurira DBX najnovijim opozivama. Svaki entitet sa KEK-om može da ažurira DB i DBX.
Certifikati za bezbedno pokretanje operativnog sistema Windows ističu 2026. godine
Od kada je Windows uveo podršku za bezbedno pokretanje, svi uređaji zasnovani na operativnom sistemu Windows nosili su isti skup Microsoft certifikata u KEK i DB. Ovi originalni certifikati se približavaju datumu isteka važenja i to utiče na vaš uređaj ako ima neku od navedenih verzija certifikata. Da biste nastavili da koristite Windows i primali redovne ispravke za konfiguraciju bezbednog pokretanja, moraćete da ažurirate ove certifikate.
Terminologiji
-
Ne, ne Ključ za upisivanje
-
CA: Autoritet za izdavanje certifikata
-
DB: Baza podataka potpisa za bezbedno pokretanje sistema
-
DBX: Baza podataka o opozvanom pokretanju bezbednog pokretanja
|
Certifikat koji ističe |
Datum isteka važenja |
Novi certifikat |
Lokacija za skladištenje |
Svrhu |
|
Microsoft Corporation KEK CA 2011 |
Jun 2026. |
Microsoft Corporation KEK CA 2023 |
Uskladišteno u KEK-u |
Potpisuju ispravke za DB i DBX. |
|
Microsoft Windows Production PCA 2011 |
Okt 2026. |
Windows UEFI CA 2023 |
Uskladišteno u DB |
Koristi se za potpisivanje Windows učitavača za pokretanje. |
|
Microsoft UEFI CA 2011* |
Jun 2026. |
Microsoft UEFI CA 2023 |
Uskladišteno u DB |
Potpisuje učitavače za pokretanje nezavisnih proizvođača i EFI aplikacije. |
|
Microsoft UEFI CA 2011* |
Jun 2026. |
Microsoft Option ROM CA 2023 |
Uskladišteno u DB |
Potpisi opcije nezavisnih proizvođača ROM-ove |
*Tokom obnavljanja certifikata microsoft Corporation UEFI CA 2011, dva certifikata zasebno potpisivanje opterećenja za pokretanje od opcije ROM potpisivanja. Ovo omogućava preciznije kontrole nad poverenjem sistema. Na primer, sistemi kojima je potrebna pouzdana opcija ROM-ovi mogu da dodaju Microsoft Option ROM UEFI CA 2023 bez dodavanja poverenja za učitavače pokretanja nezavisnih proizvođača.
Microsoft je izdao ažurirane certifikate kako bi osigurao kontinuitet zaštite bezbednog pokretanja na Windows uređajima. Microsoft će upravljati procesom ažuriranja za ove nove certifikate na značajnom delu Windows uređaja. Pored toga, ponudićemo detaljna uputstva za organizacije koje upravljaju sopstvenim ispravkama uređaja.
Vaћno Kada 2011.CA isteknu, Windows uređaji koji nisu imali nove certifikate iz 2023. više ne mogu da primaju bezbednosne ispravke za komponente pre pokretanja koje sklanjaju bezbednost windows pokretanja.
Poziv na radnju
Možda ćete morati da preduzmete radnju da biste se uverili da vaš Windows uređaj ostaje bezbedan kada certifikati isteknu 2026. godine. I UEFI DB za bezbedno pokretanje i KEK treba da se ažuriraju odgovarajućim novim verzijama certifikata za 2023. Više informacija o novim certifikatima potražite u članku Kreiranje ključa za bezbedno pokretanje operativnog sistema Windows i uputstva za upravljanje.
Vaћno Bez ispravki, Windows uređaji omogućeni za bezbedno pokretanje rizikuju da ne primaju bezbednosne ispravke ili da imaju poverenja u nove opterećenja za pokretanje, što će ugroziti servisnost i bezbednost.
Radnje će se razlikovati u zavisnosti od tipa Windows uređaja koji imate. Izaberite iz menija sa leve strane za tip uređaja i određenu radnju koju treba da preduzmete.
