Ursprungligt publiceringsdatum: den 26 juni 2025
KB-ID: 5062710
Vad är Säker start?
Säker start är en säkerhetsfunktion i UEFI-baserad inbyggd programvara (Unified Extensible Firmware Interface) som säkerställer att endast betrodd programvara körs under en enhets startsekvens (start). Det fungerar genom att verifiera den digitala signaturen för programvara före start mot en uppsättning betrodda digitala certifikat (kallas även certifikatutfärdare eller CERTIFIKATUTFÄRDARE) som lagras i enhetens inbyggda programvara. Som branschstandard definierar UEFI Secure Boot hur plattformens inbyggda programvara hanterar certifikaten, autentiserar inbyggd programvara och hur operativsystemet samverkar med den här processen. Mer information om UEFI och Säker start finns i Säker start.
Säker start introducerades först i Windows 8 för att skydda mot framväxande skadlig kod före start (kallas även bootkit) vid den tidpunkten. Som en del av plattformsinitisering autentiserar Säker start moduler före körning. Modulerna omfattar drivrutiner för inbyggd UEFI-programvara (t.ex. alternativ-ROM), startinläsningsprogram och program. Som det sista steget i processen för säker start verifierar den inbyggda programvaran om Säker start litar på startinläsningsprogrammet. Sedan överför den inbyggda programvaran kontrollen till startinläsaren, som i sin tur verifierar, läser in i minnet och startar Windows-operativsystemet.
Säker start definierar betrodd kod via en principuppsättning för inbyggd programvara under tillverkning. Ändringar av den här principen, till exempel att lägga till eller återkalla certifikat, styrs av en hierarki med nycklar. Den här hierarkin börjar med plattformsnyckeln (PK), som vanligtvis ägs av maskinvarutillverkaren, följt av KEK (Key Enrollment Key) (kallas även Key Exchange Key), som kan innehålla en Microsoft KEK och andra KEK för OEM. Db (Allowed Signature Database) och DBX (Disallowed Signature Database) avgör vilken kod som kan köras i UEFI-miljön innan operativsystemet startas. DB innehåller certifikat som hanteras av Microsoft och OEM-tillverkaren, medan DBX uppdateras av Microsoft med de senaste återkallelserna. Alla enheter med en KEK kan uppdatera DB och DBX.
Windows Secure Boot-certifikat upphör att gälla 2026
Sedan Windows introducerade stöd för säker start har alla Windows-baserade enheter samma uppsättning Microsoft-certifikat i KEK och DB. De här ursprungliga certifikaten närmar sig förfallodatumet och din enhet påverkas om den har någon av de listade certifikatversionerna. Om du vill fortsätta att köra Windows och få regelbundna uppdateringar för konfigurationen säker start måste du uppdatera dessa certifikat.
Terminologi
-
KEK: Nyckelregistreringsnyckel
-
CA: Certifikatutfärdare
-
DB: Databas för säker startsignatur
-
DBX: Säker start återkallad signaturdatabas
|
Certifikat som upphör att gälla |
Förfallodatum |
Nytt certifikat |
Lagringsplats |
Avsikt |
|
Microsoft Corporation KEK CA 2011 |
Juni 2026 |
Microsoft Corporation KEK CA 2023 |
Lagrad i KEK |
Signerar uppdateringar av DB och DBX. |
|
Microsoft Windows Production PCA 2011 |
Oktober 2026 |
Windows UEFI CA 2023 |
Lagrad i DB |
Används för signering av Windows-startinläsningsprogrammet. |
|
Microsoft UEFI CA 2011* |
Juni 2026 |
Microsoft UEFI CA 2023 |
Lagrad i DB |
Signerar startinläsningsprogram från tredje part och EFI-program. |
|
Microsoft UEFI CA 2011* |
Juni 2026 |
Microsoft Option ROM CA 2023 |
Lagrad i DB |
Signerar alternativ-ROM för tredje part |
*Under förnyelsen av Microsoft Corporation UEFI CA 2011-certifikatet skiljer två certifikat separat startinläsningssignering från alternativ ROM-signering. Detta ger bättre kontroll över systemets förtroende. Till exempel kan system som behöver lita på alternativ ROM lägga till Microsoft Option ROM UEFI CA 2023 utan att lägga till förtroende för startinläsningsprogram från tredje part.
Microsoft har utfärdat uppdaterade certifikat för att säkerställa kontinuitet i skyddet för säker start på Windows-enheter. Microsoft hanterar uppdateringsprocessen för dessa nya certifikat på en betydande del av Windows-enheter. Dessutom kommer vi att erbjuda detaljerad vägledning för organisationer som hanterar sina egna enhetsuppdateringar.
Viktigt! När 2011-certifikatutfärdarna upphör kan Windows-enheter som inte har nya 2023-certifikat inte längre få säkerhetskorrigeringar för komponenter före start som äventyrar windows-startsäkerheten.
Åtgärd krävs
Du kan behöva vidta åtgärder för att säkerställa att din Windows-enhet förblir säker när certifikaten går ut 2026. Både UEFI Secure Boot DB och KEK måste uppdateras med motsvarande nya 2023-certifikatversioner. Mer information om de nya certifikaten finns i Skapande och hanteringsvägledning för säker startnyckel för Windows.
Viktigt! Utan uppdateringar riskerar windows-enheter med säker start att inte ta emot säkerhetsuppdateringar eller lita på nya startinläsningsprogram, vilket försämrar både användbarheten och säkerheten.
Dina åtgärder varierar beroende på vilken typ av Windows-enhet du har. Välj i menyn till vänster för den typ av enhet och specifik åtgärd du behöver vidta.
