การหมดอายุของใบรับรองการบูตแบบปลอดภัยของ Windows และการอัปเดต CA
นำไปใช้กับ
วันที่เผยแพร่ต้นฉบับ: วันที่ 26 มิถุนายน 2568
KB ID: 5062710
|
เปลี่ยนวันที่ |
เปลี่ยนคําอธิบาย |
|---|---|
|
วันที่ 3 กุมภาพันธ์ 2569 |
|
|
วันที่ 10 พฤศจิกายน 2568 |
แก้ไขการพิมพ์ผิดสองตัวภายใต้ "ใบรับรองใหม่":
|
การบูตแบบปลอดภัยคืออะไร
การบูตแบบปลอดภัยเป็นฟีเจอร์ความปลอดภัยในเฟิร์มแวร์ Unified Extensible Firmware Interface (UEFI) ที่ช่วยให้แน่ใจว่าซอฟต์แวร์ที่เชื่อถือได้เท่านั้นที่ทํางานระหว่างลําดับการบูต (เริ่ม) ของอุปกรณ์ ซึ่งทํางานโดยการตรวจสอบลายเซ็นดิจิทัลของซอฟต์แวร์ก่อนการเริ่มต้นระบบกับชุดใบรับรองดิจิทัลที่เชื่อถือได้ (หรือที่เรียกว่าผู้ให้บริการออกใบรับรองหรือ CA) ที่เก็บไว้ในเฟิร์มแวร์ของอุปกรณ์ ตามมาตรฐานอุตสาหกรรม UEFI Secure Boot จะกําหนดวิธีที่เฟิร์มแวร์ของแพลตฟอร์มจัดการใบรับรอง รับรองความถูกต้องของเฟิร์มแวร์ และวิธีการที่อินเทอร์เฟสของระบบปฏิบัติการ (OS) กับกระบวนการนี้ สําหรับรายละเอียดเพิ่มเติมเกี่ยวกับ UEFI และการบูตแบบปลอดภัย โปรดดู การบูตแบบปลอดภัย
การบูตแบบปลอดภัยถูกนํามาใช้เป็นครั้งแรกใน Windows 8 เพื่อป้องกันมัลแวร์ก่อนการบูตที่เกิดขึ้นใหม่ (หรือที่เรียกว่า bootkit) ในเวลานั้น ในฐานะที่เป็นส่วนหนึ่งของการเตรียมใช้งานแพลตฟอร์ม Secure Boot จะรับรองความถูกต้องของโมดูลเฟิร์มแวร์ก่อนดําเนินการ โมดูลเหล่านี้รวมถึงโปรแกรมควบคุมเฟิร์มแวร์ UEFI (เช่น Option ROMs) ตัวโหลดการบูต และแอปพลิเคชัน ในขั้นตอนสุดท้ายของกระบวนการบูตแบบปลอดภัย เฟิร์มแวร์จะตรวจสอบว่า Secure Boot เชื่อถือตัวโหลดการบูตหรือไม่ จากนั้น เฟิร์มแวร์จะผ่านการควบคุมไปยังตัวโหลดการบูต ซึ่งจะตรวจสอบ โหลดลงในหน่วยความจํา และเริ่มระบบปฏิบัติการ Windows
Secure Boot กําหนดรหัสที่เชื่อถือได้ผ่านการตั้งค่านโยบายเฟิร์มแวร์ในระหว่างการผลิต การเปลี่ยนแปลงนโยบายนี้ เช่น การเพิ่มหรือการยกเลิกใบรับรอง จะถูกควบคุมโดยลําดับชั้นของคีย์ ลําดับชั้นนี้เริ่มต้นด้วยคีย์แพลตฟอร์ม (PK) ซึ่งโดยทั่วไปแล้วเป็นของผู้ผลิตฮาร์ดแวร์ ตามด้วยคีย์การลงทะเบียนคีย์ (KEK) (หรือที่เรียกว่าคีย์ Exchange Key) ซึ่งอาจรวมถึง Microsoft KEK และ OEM KEK อื่นๆ ฐานข้อมูลลายเซ็นที่อนุญาต (DB) และ ฐานข้อมูลลายเซ็นที่ไม่ได้รับอนุญาต (DBX) จะกําหนดโค้ดที่สามารถเรียกใช้ในสภาพแวดล้อม UEFI ก่อนที่ระบบปฏิบัติการจะเริ่ม DB มีใบรับรองที่จัดการโดย Microsoft และ OEM ในขณะที่ DBX ได้รับการอัปเดตโดย Microsoft ด้วยการยกเลิกล่าสุด เอนทิตีใดๆ ที่มี KEK สามารถอัปเดต DB และ DBX ได้
ผลกระทบของการหมดอายุของใบรับรองการบูตแบบปลอดภัย
Microsoft กําลังอัปเดตใบรับรองการบูตแบบปลอดภัยซึ่งแต่เดิมออกให้ในปี 2554 เพื่อให้แน่ใจว่าอุปกรณ์ Windows ยังคงตรวจสอบซอฟต์แวร์การบูตที่เชื่อถือได้ ใบรับรองรุ่นเก่าเหล่านี้จะเริ่มหมดอายุในเดือนมิถุนายน 2026 อุปกรณ์ที่ไม่ได้รับใบรับรอง 2023 รุ่นที่ใหม่กว่าจะยังคงเริ่มต้นและทํางานได้ตามปกติ และการอัปเดต Windows มาตรฐานจะยังคงติดตั้งต่อไป อย่างไรก็ตาม อุปกรณ์เหล่านี้จะไม่สามารถรับการป้องกันความปลอดภัยใหม่สําหรับกระบวนการเริ่มต้นระบบก่อนใครรวมถึงการอัปเดต Windows Boot Manager, ฐานข้อมูลการบูตแบบปลอดภัย รายการการยกเลิก หรือการลดช่องโหว่ระดับการเริ่มต้นระบบที่พบใหม่
เมื่อเวลาผ่านไป การดําเนินการนี้จะจํากัดการป้องกันของอุปกรณ์จากภัยคุกคามที่เกิดขึ้นใหม่ และอาจส่งผลต่อสถานการณ์ที่อาศัยความน่าเชื่อถือของ Secure Boot เช่น การทําให้ BitLocker แข็งขึ้นหรือตัวโหลดเริ่มต้นระบบของบริษัทอื่น อุปกรณ์ Windows ส่วนใหญ่จะได้รับใบรับรองที่อัปเดตแล้วโดยอัตโนมัติ และ OEM จํานวนมากจะมีการอัปเดตเฟิร์มแวร์เมื่อจําเป็น การรักษาให้อุปกรณ์ของคุณทันสมัยอยู่เสมอด้วยการอัปเดตเหล่านี้จะช่วยให้แน่ใจว่าอุปกรณ์นั้นจะได้รับการป้องกันความปลอดภัยทั้งชุดที่ Secure Boot ออกแบบมาเพื่อให้
ใบรับรองการบูตแบบปลอดภัยของ Windows ที่หมดอายุในปี 2026
เนื่องจาก Windows เปิดตัวการสนับสนุนการบูตแบบปลอดภัย อุปกรณ์ที่ใช้ Windows ทั้งหมดมีใบรับรองของ Microsoft ชุดเดียวกันใน KEK และ DB ใบรับรองเดิมเหล่านี้ใกล้ถึงวันหมดอายุของอุปกรณ์แล้ว และอุปกรณ์ของคุณจะได้รับผลกระทบถ้ามีเวอร์ชันใบรับรองใดๆ ในรายการ เมื่อต้องการใช้งาน Windows ต่อไปและรับการอัปเดตเป็นประจําสําหรับการกําหนดค่าการบูตแบบปลอดภัย คุณจะต้องอัปเดตใบรับรองเหล่านี้
คำ ศัพท์
-
KEK: คีย์การลงทะเบียนคีย์
-
Ca: ผู้ออกใบรับรอง
-
Db: ฐานข้อมูลลายเซ็นการบูตแบบปลอดภัย
-
DBX: การบูตแบบปลอดภัยถูกเพิกถอนฐานข้อมูลลายเซ็น
|
ใบรับรองที่หมดอายุ |
วันหมดอายุ |
ใบรับรองใหม่ |
การจัดเก็บตําแหน่งที่ตั้ง |
วัตถุ ประสงค์ |
|
Microsoft Corporation KEK CA 2011 |
มิถุนายน 2026 |
Microsoft Corporation KEK 2K CA 2023 |
เก็บไว้ใน KEK |
ลงชื่ออัปเดต DB และ DBX |
|
Microsoft Windows Production PCA 2011 |
ต.ค. 2569 |
Windows UEFI CA 2023 |
เก็บไว้ใน DB |
ใช้สําหรับเซ็นชื่อตัวโหลดการบูตของ Windows |
|
Microsoft UEFI CA 2011* |
มิถุนายน 2026 |
Microsoft UEFI CA 2023 |
เก็บไว้ใน DB |
เซ็นชื่อในตัวโหลดการบูตของบริษัทอื่นและแอปพลิเคชัน EFI |
|
Microsoft UEFI CA 2011* |
มิถุนายน 2026 |
Microsoft Option ROM UEFI CA 2023 |
เก็บไว้ใน DB |
เซ็นชื่อในตัวเลือกรอมของบริษัทอื่น |
*ในระหว่างการต่ออายุใบรับรอง Microsoft Corporation UEFI CA 2011 ใบรับรองสองใบแยกตัวโหลดการบูตจากตัวเลือกการเซ็นชื่อ ROM ซึ่งช่วยให้สามารถควบคุมความเชื่อถือของระบบได้ดียิ่งขึ้น ตัวอย่างเช่น ระบบที่ต้องเชื่อถือตัวเลือก ROMs สามารถเพิ่ม Microsoft Option ROM UEFI CA 2023 โดยไม่ต้องเพิ่มความเชื่อถือสําหรับตัวโหลดการบูตของบริษัทอื่น
Microsoft ได้ออกใบรับรองที่อัปเดตแล้วเพื่อให้มั่นใจว่าการป้องกันการบูตแบบปลอดภัยบนอุปกรณ์ Windows มีความต่อเนื่อง Microsoft จะจัดการกระบวนการอัปเดตสําหรับใบรับรองใหม่เหล่านี้ในส่วนที่สําคัญของอุปกรณ์ Windows นอกจากนี้ เราจะเสนอคําแนะนําโดยละเอียดสําหรับองค์กรที่จัดการการอัปเดตอุปกรณ์ของตนเอง
กระตุ้นให้ดำเนินการ
คุณอาจต้องดําเนินการเพื่อให้แน่ใจว่าอุปกรณ์ Windows ของคุณยังคงปลอดภัยเมื่อใบรับรองหมดอายุในปี 2026 ทั้ง UEFI Secure Boot DB และ KEK ต้องได้รับการอัปเดตด้วยใบรับรองเวอร์ชัน 2023 ใหม่ที่เกี่ยวข้อง สําหรับข้อมูลเพิ่มเติมเกี่ยวกับใบรับรองใหม่ โปรดดู การสร้างคีย์การบูตแบบปลอดภัยของ Windows และ คําแนะนําการจัดการ
การดําเนินการของคุณจะแตกต่างกันไปตามประเภทของอุปกรณ์ Windows ที่คุณมี เลือกจากเมนูทางด้านซ้ายสําหรับชนิดของอุปกรณ์และการดําเนินการเฉพาะที่คุณจําเป็นต้องดําเนินการ
ต้องการความช่วยเหลือเพิ่มเติมหรือไม่
ต้องการตัวเลือกเพิ่มเติมหรือไม่
สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ
ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย
