การหมดอายุของใบรับรองการบูตแบบปลอดภัยของ Windows และการอัปเดต CA

การบูตแบบปลอดภัยคืออะไร

การบูตแบบปลอดภัยเป็นฟีเจอร์ความปลอดภัยในเฟิร์มแวร์ Unified Extensible Firmware Interface (UEFI) ที่ช่วยให้แน่ใจว่าซอฟต์แวร์ที่เชื่อถือได้เท่านั้นที่ทํางานระหว่างลําดับการบูต (เริ่ม) ของอุปกรณ์ ซึ่งทํางานโดยการตรวจสอบลายเซ็นดิจิทัลของซอฟต์แวร์ก่อนการเริ่มต้นระบบกับชุดใบรับรองดิจิทัลที่เชื่อถือได้ (หรือที่เรียกว่าผู้ให้บริการออกใบรับรองหรือ CA) ที่เก็บไว้ในเฟิร์มแวร์ของอุปกรณ์ ตามมาตรฐานอุตสาหกรรม UEFI Secure Boot จะกําหนดวิธีที่เฟิร์มแวร์ของแพลตฟอร์มจัดการใบรับรอง รับรองความถูกต้องของเฟิร์มแวร์ และวิธีการที่อินเทอร์เฟสของระบบปฏิบัติการ (OS) กับกระบวนการนี้ สําหรับรายละเอียดเพิ่มเติมเกี่ยวกับ UEFI และการบูตแบบปลอดภัย โปรดดู การบูตแบบปลอดภัย

การบูตแบบปลอดภัยถูกนํามาใช้เป็นครั้งแรกใน Windows 8 เพื่อป้องกันมัลแวร์ก่อนการบูตที่เกิดขึ้นใหม่ (หรือที่เรียกว่า bootkit) ในเวลานั้น ในฐานะที่เป็นส่วนหนึ่งของการเตรียมใช้งานแพลตฟอร์ม Secure Boot จะรับรองความถูกต้องของโมดูลเฟิร์มแวร์ก่อนดําเนินการ โมดูลเหล่านี้รวมถึงโปรแกรมควบคุมเฟิร์มแวร์ UEFI (เช่น Option ROMs) ตัวโหลดการบูต และแอปพลิเคชัน ในขั้นตอนสุดท้ายของกระบวนการบูตแบบปลอดภัย เฟิร์มแวร์จะตรวจสอบว่า Secure Boot เชื่อถือตัวโหลดการบูตหรือไม่ จากนั้น เฟิร์มแวร์จะผ่านการควบคุมไปยังตัวโหลดการบูต ซึ่งจะตรวจสอบ โหลดลงในหน่วยความจํา และเริ่มระบบปฏิบัติการ Windows

Secure Boot กําหนดรหัสที่เชื่อถือได้ผ่านการตั้งค่านโยบายเฟิร์มแวร์ในระหว่างการผลิต การเปลี่ยนแปลงนโยบายนี้ เช่น การเพิ่มหรือการยกเลิกใบรับรอง จะถูกควบคุมโดยลําดับชั้นของคีย์ ลําดับชั้นนี้เริ่มต้นด้วยคีย์แพลตฟอร์ม (PK) ซึ่งโดยทั่วไปแล้วเป็นของผู้ผลิตฮาร์ดแวร์ ตามด้วยคีย์การลงทะเบียนคีย์ (KEK) (หรือที่เรียกว่าคีย์ Exchange Key) ซึ่งอาจรวมถึง Microsoft KEK และ OEM KEK อื่นๆ ฐานข้อมูลลายเซ็นที่อนุญาต (DB) และ ฐานข้อมูลลายเซ็นที่ไม่ได้รับอนุญาต (DBX) จะกําหนดโค้ดที่สามารถเรียกใช้ในสภาพแวดล้อม UEFI ก่อนที่ระบบปฏิบัติการจะเริ่ม DB มีใบรับรองที่จัดการโดย Microsoft และ OEM ในขณะที่ DBX ได้รับการอัปเดตโดย Microsoft ด้วยการยกเลิกล่าสุด เอนทิตีใดๆ ที่มี KEK สามารถอัปเดต DB และ DBX ได้

ใบรับรองการบูตแบบปลอดภัยของ Windows ที่หมดอายุในปี 2026

เนื่องจาก Windows เปิดตัวการสนับสนุนการบูตแบบปลอดภัย อุปกรณ์ที่ใช้ Windows ทั้งหมดมีใบรับรองของ Microsoft ชุดเดียวกันใน KEK และ DB ใบรับรองเดิมเหล่านี้ใกล้ถึงวันหมดอายุของอุปกรณ์แล้ว และอุปกรณ์ของคุณจะได้รับผลกระทบถ้ามีเวอร์ชันใบรับรองใดๆ ในรายการ เมื่อต้องการใช้งาน Windows ต่อไปและรับการอัปเดตเป็นประจําสําหรับการกําหนดค่าการบูตแบบปลอดภัย คุณจะต้องอัปเดตใบรับรองเหล่านี้

วิชาว่าด้วยคําศัพท์

• KEK: คีย์การลงทะเบียนคีย์

• CA: ผู้ออกใบรับรอง

• DB: ฐานข้อมูลลายเซ็นการบูตแบบปลอดภัย

• DBX: การบูตแบบปลอดภัยถูกเพิกถอนฐานข้อมูลลายเซ็น

Microsoft ได้ออกใบรับรองที่อัปเดตแล้วเพื่อให้มั่นใจว่าการป้องกันการบูตแบบปลอดภัยบนอุปกรณ์ Windows มีความต่อเนื่อง Microsoft จะจัดการกระบวนการอัปเดตสําหรับใบรับรองใหม่เหล่านี้ในส่วนที่สําคัญของอุปกรณ์ Windows นอกจากนี้ เราจะเสนอคําแนะนําโดยละเอียดสําหรับองค์กรที่จัดการการอัปเดตอุปกรณ์ของตนเอง

สำคัญ เมื่อ 2011 CAs หมดอายุ อุปกรณ์ Windows ที่ไม่มีใบรับรอง 2023 ใหม่จะไม่สามารถรับการแก้ไขข้อบกพร่องด้านความปลอดภัยสําหรับคอมโพเนนต์ก่อนการบูตที่มีความเสี่ยงกับความปลอดภัยของการบูตของ Windows อีกต่อไป

กระตุ้นให้ดำเนินการ

คุณอาจต้องดําเนินการเพื่อให้แน่ใจว่าอุปกรณ์ Windows ของคุณยังคงปลอดภัยเมื่อใบรับรองหมดอายุในปี 2026 ทั้ง UEFI Secure Boot DB และ KEK ต้องได้รับการอัปเดตด้วยใบรับรองเวอร์ชัน 2023 ใหม่ที่เกี่ยวข้อง สําหรับข้อมูลเพิ่มเติมเกี่ยวกับใบรับรองใหม่ โปรดดู การสร้างคีย์การบูตแบบปลอดภัยของ Windows และ คําแนะนําการจัดการ 

สำคัญ หากไม่มีการอัปเดต อุปกรณ์ Windows ที่เปิดใช้งานการบูตแบบปลอดภัยจะเสี่ยงต่อการรับการอัปเดตความปลอดภัยหรือการเชื่อถือตัวโหลดการบูตใหม่ซึ่งจะส่งผลต่อความสามารถในการให้บริการและความปลอดภัย

การดําเนินการของคุณจะแตกต่างกันไปตามประเภทของอุปกรณ์ Windows ที่คุณมี เลือกจากเมนูทางด้านซ้ายสําหรับชนิดของอุปกรณ์และการดําเนินการเฉพาะที่คุณจําเป็นต้องดําเนินการ