Uppdateringar av certifikat för säker start: Vägledning för IT-tekniker och organisationer

Förfallodatum för certifikat för säker start

Konfigurationen av certifikatutfärdare (CAs), även kallat certifikat som tillhandahålls av Microsoft som en del av infrastrukturen för säker start, har förblivit densamma sedan Windows 8 och Windows Server 2012. Certifikaten lagras i variablerna Signaturdatabas (DB) och KEK (Key Exchange Key) i den inbyggda programvaran. Microsoft har tillhandahållit samma tre certifikat i oem-ekosystemet (Original Equipment Manufacturer) som ska ingå i enhetens inbyggda programvara. Dessa certifikat stöder Säker start i Windows och används också av operativsystem från tredje part. Följande certifikat tillhandahålls av Microsoft:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

Vad förändras?

Aktuella Microsoft Secure Boot-certifikat (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) börjar gälla från och med juni 2026 och löper ut i oktober 2026. 

Nya 2023-certifikat distribueras för att upprätthålla säkerhet och kontinuitet i säker start. Enheter måste uppdateras till 2023-certifikaten innan 2011-certifikaten upphör att gälla, annars kommer de att vara utan säkerhetsefterlevnad och i riskzonen.  

Windows-enheter som tillverkats sedan 2012 kan ha utgångna versioner av certifikat, som måste uppdateras. 

Terminologi

Certifikaten

Verifiera status för säker start i hela flottan: Är Säker start aktiverat? 

De flesta enheter som tillverkats sedan 2012 har stöd för Säker start och levereras med Säker start aktiverat. Om du vill kontrollera att en enhet har Säker start aktiverat gör du något av följande: 

• GUI-metod: Gå till Start > Settings > Privacy & Security > Windows-säkerhet > Device Security. Under Enhetssäkerhet ska avsnittet Säker start ange att Säker start är aktiverat.

• Kommandoradsmetod: Skriv Confirm-SecureBootUEFI i en upphöjd kommandotolk i PowerShell och tryck sedan på Retur. Kommandot ska returnera True som anger att Säker start är aktiverat.

I storskaliga distributioner för en flotta av enheter måste hanteringsprogrammet som används av IT-proffs tillhandahålla en kontroll för säker start-aktivering. 

Metoden för att kontrollera läget Säker start på Microsoft Intune-hanterade enheter är till exempel att skapa och distribuera ett anpassat Intune-efterlevnadsskript. Inställningarna för Intune-efterlevnad omfattas av Använda anpassade efterlevnadsinställningar för Linux- och Windows-enheter med Microsoft Intune.  

Hur uppdateringar distribueras

Det finns flera sätt att rikta in enheter mot certifikatuppdateringar för säker start. Distributionsinformation, inklusive inställningar och händelser, diskuteras senare i det här dokumentet. När du riktar en enhet mot uppdateringar görs en inställning på enheten för att ange att enheten ska börja tillämpa de nya certifikaten. En schemalagd aktivitet körs på enheten var 12:e timme och identifierar att enheten har riktats mot uppdateringarna. En översikt över vad aktiviteten gör är följande:

1. Windows UEFI CA 2023 tillämpas på DB.

2. Om enheten har Microsoft Corporation UEFI CA 2011 i DB används Microsoft Option ROM UEFI CA 2023 och Microsoft UEFI CA 2023 för DB.

3. Aktiviteten lägger sedan till Microsoft Corporation KEK 2K CA 2023.

4. Slutligen uppdaterar den schemalagda aktiviteten Windows-starthanteraren till den som signerats av Windows UEFI CA 2023. Windows upptäcker att en omstart krävs innan starthanteraren kan användas. Uppdateringen av starthanteraren fördröjs tills omstarten sker på naturlig väg (t.ex. när månatliga uppdateringar tillämpas) och sedan försöker Windows tillämpa uppdateringen av starthanteraren igen.

Vart och ett av stegen ovan måste slutföras innan den schemalagda aktiviteten flyttas till nästa steg. Under den här processen är händelseloggar och annan status tillgängliga för stöd vid övervakning av distributionen. Mer information om övervaknings- och händelseloggar finns nedan.  

När du uppdaterar certifikat för säker start möjliggörs en framtida uppdatering av 2023 Boot Manager, som är säkrare. Specifika uppdateringar för Boot Manager kommer att finnas i framtida versioner.

Distributionssteg 

• Förberedelse: Lager- och testenheter.

• Att tänka på när det gäller inbyggd programvara

• Övervakning: Kontrollera övervakningen och baslinjen för din flotta.

• Distribution: Målenheter för uppdateringar, med början i små delmängder och expanderande baserat på lyckade tester.

• Åtgärd: Undersöka och lösa eventuella problem med loggar och leverantörssupport.

Förberedelse 

Lagermaskinvara och inbyggd programvara. Skapa ett representativt urval av enheter baserat på systemtillverkare, systemmodell, BIOS-version/datum, BaseBoard-produktversion osv. och testa uppdateringar av dessa exempel före omfattande distribution.  Dessa parametrar är allmänt tillgängliga i systeminformation (MSINFO32). 

Exempel på PowerShell-kommandon för att samla in informationen är:

Att tänka på när det gäller inbyggd programvara

För att kunna distribuera de nya certifikaten för säker start till din enhetsflotta krävs att enhetens inbyggda programvara spelar en roll när uppdateringen slutförs. Även om Microsoft förväntar sig att den mesta inbyggda programvaran fungerar som förväntat krävs noggrann testning innan de nya certifikaten distribueras.

Granska din maskinvaruinventering och skapa ett litet, representativt urval av enheter baserat på följande unika kriterier, till exempel: 

• Tillverkare

• Modellnummer

• Version av inbyggd programvara

• Oem Baseboard-version o.s.v.

Innan du distribuerar brett till enheter i din flotta rekommenderar vi att du testar certifikatuppdateringarna på representativa exempelenheter (som definieras av faktorer som tillverkare, modell, version av inbyggd programvara) för att säkerställa att uppdateringarna bearbetas korrekt. Rekommenderad vägledning för antalet provenheter som ska testas för varje unik kategori är 4 eller fler.

Detta kommer att bidra till att skapa förtroende för din distributionsprocess och bidra till att undvika oväntade effekter på din bredare flotta. 

I vissa fall kan det krävas en uppdatering av den inbyggda programvaran för att kunna uppdatera certifikaten för säker start. I sådana fall rekommenderar vi att du kontrollerar med enhets-OEM-tillverkaren om det finns uppdaterad inbyggd programvara.

Windows i virtualiserade miljöer

För Windows som körs i en virtuell miljö finns det två metoder för att lägga till de nya certifikaten i variablerna säker start av inbyggd programvara:  

• Skaparen av den virtuella miljön (AWS, Azure, Hyper-V, VMware osv.) kan tillhandahålla en uppdatering för miljön och inkludera de nya certifikaten i den virtualiserade inbyggda programvaran. Det här fungerar för nya virtualiserade enheter.

• För Windows som körs på lång sikt i en virtuell dator kan uppdateringarna tillämpas via Windows på samma sätt som andra enheter, om den virtualiserade inbyggda programvaran har stöd för uppdateringar för säker start.

Övervakning och distribution 

Vi rekommenderar att du påbörjar enhetsövervakningen före distributionen för att säkerställa att övervakningen fungerar korrekt och att du har god känsla för tillståndet i flottan i förväg. Övervakningsalternativen diskuteras nedan. 

Microsoft tillhandahåller flera metoder för distribution och övervakning av certifikatuppdateringar för säker start.

Automatiska distributionsstöd 

Microsoft tillhandahåller två distributionsstöd. Dessa stöd kan vara användbara vid distributionen av de nya certifikaten till er flotta. Båda stöden kräver diagnostikdata.

• Alternativ för kumulativa uppdateringar med konfidensbucketar: Microsoft kan automatiskt ta med enhetsgrupper med högt förtroende i månatliga uppdateringar baserat på diagnostikdata som hittills delats, till förmån för system och organisationer som inte kan dela diagnostikdata. Det här steget kräver inte att diagnostikdata aktiveras.

  • För organisationer och system som kan dela diagnostikdata ger det Microsoft synlighet och förtroende för att enheter kan distribuera certifikaten. Mer information om hur du aktiverar diagnostikdata finns i: Konfigurera Windows-diagnostikdata i din organisation. Vi skapar "buckets" för varje unik enhet (enligt definitionen i attribut som omfattar tillverkare, moderkortsversion, tillverkare av inbyggd programvara, version av inbyggd programvara och ytterligare datapunkter). För varje bucket övervakar vi framgångsbevis över flera enheter. När vi har sett tillräckligt många lyckade uppdateringar och inga fel kommer vi att betrakta bucketen som "högkonfidens" och inkludera dessa data i de månatliga kumulativa uppdateringarna. När månatliga uppdateringar tillämpas på en enhet i en bucket med högt förtroende tillämpar Windows automatiskt certifikaten på variablerna för säker start av UEFI i inbyggd programvara.

  • Med buckets med hög konfidens kan du ta med enheter som bearbetar uppdateringarna på rätt sätt. Naturligtvis kommer inte alla enheter att tillhandahålla diagnostikdata, och det kan begränsa Microsofts förtroende för en enhets förmåga att bearbeta uppdateringarna på rätt sätt.

  • Den här assistansen är aktiverad som standard för enheter med högt förtroende och kan inaktiveras med en enhetsspecifik inställning. Mer information kommer att delas i framtida Windows-versioner.

• Cfr (Controlled Feature Rollout):  Registrera dig för enheter som hanteras av Microsoft om diagnostikdata är aktiverade.

  • CFR (Controlled Feature Rollout) kan användas med klientenheter i organisationens flottor. Detta kräver att enheter skickar obligatoriska diagnostikdata till Microsoft och har signalerat att enheten väljer att tillåta CFR på enheten. Information om hur du anmäler dig beskrivs nedan.

  • Microsoft hanterar uppdateringsprocessen för dessa nya certifikat på Windows-enheter där diagnostikdata är tillgängliga och enheterna deltar i CFR (Controlled Feature Rollout). Cfr kan hjälpa till med distributionen av de nya certifikaten, men organisationer kan inte förlita sig på CFR för att åtgärda sina flottor – det kommer att krävas att följa de steg som beskrivs i det här dokumentet i avsnittet om distributionsmetoder som inte täcks av automatiska assistans.

  • Begränsningar: Det finns några anledningar till att CFR kanske inte fungerar i din miljö. Till exempel:

    • Inga diagnostikdata är tillgängliga eller så kan diagnostikdata inte användas som en del av CFR-distributionen.

    • Enheter finns inte på klientversioner som stöds av Windows 11 och Windows 10 med utökade säkerhetsuppdateringar (ESU).

Distributionsmetoder som inte omfattas av automatiska assistans

Välj den metod som passar din miljö. Undvik blandningsmetoder på samma enhet: 

• Registernycklar: Kontrollera distribution och övervaka resultat.
  Det finns flera registernycklar för att styra distributionen av certifikaten och för att övervaka resultaten. Dessutom finns det två nycklar för att välja in och ut ur de distributionshjälpmedel som beskrivs ovan. Mer information om registernycklarna finns i Registernyckel Uppdateringar för Säker start – Windows-enheter med IT-hanterade uppdateringar.

• grupprincip Objects (GPO): Hantera inställningar, övervaka via register- och händelseloggar.
  Microsoft tillhandahåller support för hantering av uppdateringar för säker start med grupprincip i en kommande uppdatering. Observera att eftersom grupprincip är för inställningar måste övervakning av enhetens status utföras med alternativa metoder, inklusive övervakning av registernycklar och händelseloggposter.

• WinCS (Windows Configuration System) CLI: Använd kommandoradsverktyg för domänanslutna klienter.
  Domänadministratörer kan också använda Windows Configuration System (WinCS) som ingår i Windows OS-uppdateringar för att distribuera uppdateringar för säker start mellan domänanslutna Windows-klienter och -servrar. Den består av en serie kommandoradsverktyg (både en traditionell körbar och en PowerShell-modul) för att fråga och tillämpa konfigurationer för säker start lokalt på en dator. Mer information finns i Api:er för Windows Configuration System (WinCS) för Säker start.

• Microsoft Intune/Configuration Manager: Distribuera PowerShell-skript. En konfigurationstjänstleverantör (CSP) kommer att tillhandahållas i en kommande uppdatering för att tillåta distribution med Intune.

Övervaka händelseloggar

Två nya händelser tillhandahålls för att underlätta distributionen av certifikatuppdateringar för säker start. Dessa händelser beskrivs i detalj i händelser för säker start av DB- och DBX-variabla uppdateringar: 

• Händelse-ID: 1801
  Den här händelsen är en felhändelse som anger att de uppdaterade certifikaten inte har tillämpats på enheten. Den här händelsen ger viss information som är specifik för enheten, inklusive enhetsattribut, som hjälper till att korrelera vilka enheter som fortfarande behöver uppdateras.

• Händelse-ID: 1808
  Den här händelsen är en informationshändelse som anger att enheten har de nya certifikat för säker start som krävs för enhetens inbyggda programvara.

Distributionsstrategier 

För att minimera risken distribuerar du uppdateringar för säker start i steg i stället för alla på en gång. Börja med en liten delmängd av enheterna, verifiera resultaten och expandera sedan till ytterligare grupper. Vi föreslår att du börjar med delmängder av enheter och, när du får förtroende för dessa distributioner, lägger till ytterligare delmängder av enheter. Flera faktorer kan användas för att avgöra vad som går in i en delmängd, inklusive testresultat på exempelenheter och organisationsstruktur, etc. 

Du bestämmer vilka enheter du distribuerar. Några möjliga strategier anges här. 

• Stor enhetsflotta: börja med att förlita dig på de hjälpmedel som beskrivs ovan för de vanligaste enheterna som du hanterar. Parallellt fokuserar du på de mindre vanliga enheterna som hanteras av din organisation. Testa små exempelenheter och distribuera till resten av enheterna av samma typ om testningen lyckas. Om testningen ger upphov till problem undersöker du orsaken till problemet och bestämmer åtgärdssteg. Du kanske också vill överväga klasser av enheter som har högre värde i din flotta och börja testa och distribuera för att säkerställa att dessa enheter har uppdaterat skyddet tidigt.

• Liten flotta, stor variation: Om flottan du hanterar innehåller en stor mängd olika maskiner där testning av enskilda enheter skulle vara oöverkomligt, överväga att förlita sig starkt på de två assistans som beskrivs ovan, särskilt för enheter som sannolikt är vanliga enheter på marknaden. Fokusera först på enheter som är nödvändiga för den dagliga åtgärden, testa och distribuera sedan. Fortsätt att flytta ned listan över högprioriterade enheter, testa och distribuera samtidigt som du övervakar flottan för att bekräfta att assistansen hjälper till med resten av enheterna.

Anmärkningar 

• Var uppmärksam på äldre enheter, särskilt enheter som tillverkaren inte längre stöder. Även om den inbyggda programvaran bör utföra uppdateringsåtgärderna korrekt, kanske vissa inte gör det. I de fall då den inbyggda programvaran inte fungerar korrekt och enheten inte längre stöds kan du överväga att byta ut enheten för att säkerställa skydd mot säker start i hela flottan.

• Nya enheter som tillverkats under de senaste 1–2 åren kanske redan har de uppdaterade certifikaten på plats, men kanske inte har den signerade starthanteraren för Windows UEFI CA 2023 tillämpad på systemet. Att använda den här starthanteraren är ett viktigt sista steg i distributionen för varje enhet.

• När en enhet har valts för uppdateringar kan det ta en stund innan uppdateringarna är slutförda. Uppskatta 48 timmar och en eller flera omstarter för att certifikaten ska tillämpas.

Vanliga problem och rekommendationer

I den här guiden beskrivs hur uppdateringsprocessen för certifikat för säker start fungerar och innehåller några steg för att felsöka om det uppstår problem under distributionen till enheter. Uppdateringar i det här avsnittet läggs till efter behov.

Stöd för distribution av certifikat för säker start 

Som stöd för uppdateringar av certifikat för säker start har Windows en schemalagd aktivitet som körs en gång var 12:e timme. Uppgiften söker efter bitar i registernyckeln AvailableUpdates som behöver bearbetas. De bitar av intresse som används för att distribuera certifikaten finns i följande tabell. Kolumnen Order anger i vilken ordning bitar bearbetas.

Varje bit bearbetas av den schemalagda händelsen i den ordning som anges i tabellen ovan.

Förloppet genom bitarna bör se ut så här: 

1. Start: 0x5944

2. 0x0040 → 0x5904 (Tillämpat Windows UEFI CA 2023 utan problem)

3. 0x0800 → 0x5104 (Microsoft UEFI CA 2023 används om det behövs)

4. 0x1000 → 0x4104 (Microsoft Option ROM UEFI CA 2023 används om det behövs)

5. 0x0004 → 0x4100 (Tillämpas på Microsoft Corporation KEK 2K CA 2023)

6. 0x0100 → 0x4000 (Tillämpad den signerade starthanteraren för Windows UEFI CA 2023)

Anmärkningar

• När åtgärden som är kopplad till en bit har slutförts rensas den biten från nyckeln AvailableUpdates .

• Om någon av dessa åtgärder misslyckas loggas en händelse och åtgärden görs på nytt nästa gång den schemalagda aktiviteten körs.

• Om bit 0x4000 har angetts rensas den inte. När alla andra bitar har bearbetats anges registernyckeln AvailableUpdates till 0x4000.

Problem 1: KEK-uppdatering Fel: Enheten uppdaterar certifikat till SÄKER start DB, men fortsätter inte med distributionen av det nya nyckelcertifikatet för Exchange-nyckel till KEK för säker start. 

Obs! För närvarande när det här problemet inträffar loggas ett händelse-ID: 1796 (se Händelser för säker start av DB- och DBX-variabla uppdateringar). En ny händelse kommer att tillhandahållas i senare versioner för att indikera det här specifika problemet. 

Registernyckeln AvailableUpdates på en enhet är inställd på 0x4104 och rensar inte den 0x0004 biten, även efter flera omstarter och det har gått lång tid. 

Problemet kan vara att det inte finns en KEK signerad av OEM-tillverkarens PK för enheten. OEM-tillverkaren kontrollerar enhetens PK och ansvarar för att signera det nya Microsoft KEK-certifikatet och skicka tillbaka det till Microsoft så att det kan inkluderas i de månatliga kumulativa uppdateringarna. 

Om du stöter på det här felet kontrollerar du med OEM-tillverkaren att de har följt stegen som beskrivs i Skapande och hanteringsvägledning för Windows-säker startnyckel.  

Problem 2: Fel i inbyggd programvara: När certifikatuppdateringarna tillämpas lämnas certifikaten till den inbyggda programvaran för att tillämpas på variablerna Säker start DB eller KEK. I vissa fall returnerar den inbyggda programvaran ett fel. 

När det här problemet uppstår loggar Säker start ett händelse-ID: 1795. Mer information om den här händelsen finns i Secure Boot DB- och DBX-uppdateringshändelser. 

Vi rekommenderar att du kontrollerar med OEM-tillverkaren om det finns en uppdatering av den inbyggda programvaran för enheten för att lösa problemet.