Güvenli Önyükleme Sertifikası güncelleştirmeleri: BT uzmanları ve kuruluşları için rehberlik

Güvenli Önyükleme sertifikası süre sonu

Microsoft tarafından Güvenli Önyükleme altyapısının bir parçası olarak sağlanan ve sertifika olarak da adlandırılan sertifika yetkililerinin (CA) yapılandırması, Windows 8 ve Windows Server 2012 beri aynı kalmıştır. Bu sertifikalar, üretici yazılımındaki İmza Veritabanı (DB) ve Anahtar Değişim Anahtarı (KEK) değişkenlerinde depolanır. Microsoft, orijinal donanım üreticisi (OEM) ekosisteminde cihazın üretici yazılımına dahil etmek için aynı üç sertifikayı sağlamıştır. Bu sertifikalar Windows'ta Güvenli Önyükleme'yi destekler ve üçüncü taraf işletim sistemleri (işletim sistemi) tarafından da kullanılır. Aşağıdaki sertifikalar Microsoft tarafından sağlanır:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

Ne değişiyor?

Geçerli Microsoft Güvenli Önyükleme sertifikaları (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) Haziran 2026'dan itibaren sona ermeye başlayacak ve Ekim 2026'da sona erecektir. 

Güvenli Önyükleme güvenliğini ve sürekliliğini korumak için yeni 2023 sertifikaları dağıtılıyor. Cihazların 2011 sertifikalarının süresi dolmadan önce 2023 sertifikalarına güncelleştirilmeleri gerekir, aksi takdirde güvenlik uyumluluğu tükenir ve risk altında olur.  

2012'den bu yana üretilen Windows cihazlarında sertifikaların süresi dolan sürümleri olabilir ve bu sürümlerin güncelleştirilmiş olması gerekir. 

Terminoloji

Sertifika

Filonuzda Güvenli Önyükleme durumunu doğrulama: Güvenli Önyükleme etkinleştirildi mi? 

2012'den bu yana üretilen cihazların çoğu Güvenli Önyükleme desteğine sahiptir ve Güvenli Önyükleme etkin olarak gönderilir. Bir cihazda Güvenli Önyükleme'nin etkin olduğunu doğrulamak için aşağıdakilerden birini yapın: 

• GUI Yöntemi: Başlangıç >Ayarları > Gizlilik & Güvenlik >Windows Güvenliği > Cihaz Güvenliği'ne gidin. Cihaz güvenliği'nin altında Güvenli önyükleme bölümü Güvenli Önyükleme'nin açık olduğunu göstermelidir.

• Komut Satırı yöntemi: PowerShell'de yükseltilmiş bir komut isteminde Confirm-SecureBootUEFI yazıp Enter tuşuna basın. Komutun, Güvenli Önyükleme'nin açık olduğunu belirten True değerini döndürmesi gerekir.

Bir cihaz filosu için büyük ölçekli dağıtımlarda, BT uzmanları tarafından kullanılan yönetim yazılımının Güvenli Önyükleme etkinleştirmesi için bir denetim sağlaması gerekir. 

Örneğin, Microsoft Intune tarafından yönetilen cihazlarda Güvenli Önyükleme durumunu denetleme yöntemi, bir Intune özel uyumluluk betiği oluşturmak ve dağıtmaktır. Intune uyumluluk ayarları, Microsoft Intune ile Linux ve Windows cihazları için özel uyumluluk ayarlarını kullanma bölümünde ele alınmıştır.  

Güncelleştirmeler nasıl dağıtılır?

Güvenli Önyükleme sertifika güncelleştirmeleri için cihazları hedeflemenin birden çok yolu vardır. Ayarlar ve olaylar da dahil olmak üzere dağıtım ayrıntıları bu belgenin ilerleyen bölümlerinde ele alınacaktır. Bir cihazı güncelleştirmeler için hedeflediğinizde, cihazda cihazın yeni sertifikaları uygulama işlemine başlaması gerektiğini belirten bir ayar yapılır. Zamanlanmış bir görev cihazda 12 saatte bir çalışır ve cihazın güncelleştirmeler için hedeflendiğini algılar. Görevin yaptığı işin ana hattı aşağıdaki gibidir:

1. Windows UEFI CA 2023, DB'ye uygulanır.

2. Cihazda Db'de Microsoft Corporation UEFI CA 2011 varsa, görev DB'ye Microsoft Option ROM UEFI CA 2023 ve Microsoft UEFI CA 2023'ü uygular.

3. Görev daha sonra Microsoft Corporation KEK 2K CA 2023 ekler.

4. Son olarak, zamanlanan görev Windows önyükleme yöneticisini Windows UEFI CA 2023 tarafından imzalanan görevle güncelleştirir. Windows, önyükleme yöneticisinin uygulanabilmesi için önce yeniden başlatma gerektiğini algılar. Önyükleme yöneticisi güncelleştirmesi, yeniden başlatma doğal olarak gerçekleşene kadar (örneğin, aylık güncelleştirmeler uygulandığında) gecikir ve windows önyükleme yöneticisi güncelleştirmesini yeniden uygulamayı dener.

Zamanlanmış görev sonraki adıma geçmeden önce yukarıdaki adımların her birinin başarıyla tamamlanması gerekir. Bu işlem sırasında, dağıtımın izlenmesine yardımcı olmak için olay günlükleri ve diğer durumlar kullanılabilir. İzleme ve olay günlükleri hakkında daha fazla ayrıntı aşağıda verilmiştir.  

Güvenli Önyükleme Sertifikalarının güncelleştirilmesi, daha Güvenli olan 2023 Önyükleme Yöneticisi'nin gelecekteki bir güncelleştirmesine olanak tanır. Önyükleme Yöneticisi'ndeki belirli güncelleştirmeler gelecek sürümlerde olacaktır.

Dağıtım adımları 

• Hazırlık: Envanter ve test cihazları.

• Üretici yazılımıyla ilgili dikkat edilmesi gerekenler

• İzleme: İzlemenin çalıştığını doğrulayın ve filonuzun temelini belirleyin.

• Dağıtım: Küçük alt kümelerden başlayıp başarılı testlere göre genişleterek güncelleştirmeler için cihazları hedefleyin.

• Düzeltme: Günlükleri ve satıcı desteğini kullanarak sorunları araştırın ve çözün.

Hazırlık 

Envanter donanımı ve üretici yazılımı. Sistem Üreticisi, Sistem Modeli, BIOS Sürümü/Tarihi, BaseBoard Ürün sürümü vb. temelinde cihazların temsili bir örneğini oluşturun ve geniş dağıtımdan önce bu örneklerde güncelleştirmeleri test edin.  Bu parametreler sistem bilgilerinde (MSINFO32) yaygın olarak kullanılabilir. 

Bilgileri toplamak için örnek PowerShell komutları şunlardır:

Üretici yazılımıyla ilgili dikkat edilmesi gerekenler

Yeni Güvenli Önyükleme sertifikalarının cihaz filonuza dağıtılması için cihaz üretici yazılımının güncelleştirmenin tamamlanmasında rol oynaması gerekir. Microsoft çoğu cihaz üretici yazılımının beklendiği gibi performans göstermesini beklese de, yeni sertifikaları dağıtmadan önce dikkatli bir test yapılması gerekir.

Donanım envanterinizi inceleyin ve aşağıdaki benzersiz ölçütlere göre küçük, temsili bir cihaz örneği oluşturun: 

• Üretici

• Model Numarası

• Üretici Yazılımı Sürümü

• OEM Baseboard sürümü vb.

Filonuzdaki cihazlara genel olarak dağıtmadan önce, güncelleştirmelerin başarıyla işlendiğinden emin olmak için sertifika güncelleştirmelerini temsili örnek cihazlarda (üretici, model, üretici yazılımı sürümü gibi faktörler tarafından tanımlandığı şekilde) test etmenizi öneririz. Her benzersiz kategori için test etmek üzere örnek cihaz sayısıyla ilgili önerilen kılavuz 4 veya daha fazladır.

Bu, dağıtım sürecinizde güven oluşturmaya yardımcı olur ve daha geniş filonuz üzerinde tahmin edilmeyen etkileri önlemeye yardımcı olur. 

Bazı durumlarda, Güvenli Önyükleme sertifikalarını başarıyla güncelleştirmek için bir üretici yazılımı güncelleştirmesi gerekebilir. Bu gibi durumlarda, güncelleştirilmiş üretici yazılımının kullanılabilir olup olmadığını görmek için cihazınızın OEM'sine başvurun.

Sanallaştırılmış ortamlarda Windows

Sanal ortamda çalışan Windows için, Yeni sertifikaları Güvenli Önyükleme üretici yazılımı değişkenlerine eklemek için iki yöntem vardır:  

• Sanal ortamın oluşturucusu (AWS, Azure, Hyper-V, VMware vb.) ortam için bir güncelleştirme sağlayabilir ve yeni sertifikaları sanallaştırılmış üretici yazılımına ekleyebilir. Bu, yeni sanallaştırılmış cihazlar için işe yarayacaktı.

• Vm'de uzun süreli çalışan Windows için, sanallaştırılmış üretici yazılımı Güvenli Önyükleme güncelleştirmelerini destekliyorsa güncelleştirmeler diğer cihazlar gibi Windows aracılığıyla da uygulanabilir.

İzleme ve dağıtım 

İzlemenin doğru çalıştığından ve filonun durumu konusunda önceden iyi bir anlayışa sahip olduğunuzdan emin olmak için dağıtımdan önce cihaz izlemeye başlamanızı öneririz. İzleme seçenekleri aşağıda ele alınmaktadır. 

Microsoft, Güvenli Önyükleme sertifika güncelleştirmelerini dağıtmak ve izlemek için birden çok yöntem sağlar.

Otomatik dağıtım yardımcıları 

Microsoft iki dağıtım yardımı sağlamaktadır. Bu yardımlar, yeni sertifikaların filonuza dağıtılmasında yararlı olabilir. Her iki yardım için de tanılama verileri gerekir.

• Güvenilirlik demetleri içeren toplu güncelleştirmeler seçeneği: Microsoft, tanılama verilerini paylaşamayan sistemlere ve kuruluşlara fayda sağlamak için, bugüne kadar paylaşılan tanılama verilerine dayalı aylık güncelleştirmelere otomatik olarak yüksek güvenilirlikli cihaz grupları dahil edebilir. Bu adım, tanılama verilerinin etkinleştirilmesini gerektirmez.

  • Tanılama verilerini paylaşabilen kuruluşlar ve sistemler için, Microsoft'a cihazların sertifikaları başarıyla dağıtabileceğine ilişkin görünürlük ve güven sağlar. Tanılama verilerini etkinleştirme hakkında daha fazla bilgi için bkz. Kuruluşunuzda Windows tanılama verilerini yapılandırma. Her benzersiz cihaz için "demetler" oluşturuyoruz (üretici, anakart sürümü, üretici yazılımı üreticisi, üretici yazılımı sürümü ve ek veri noktalarını içeren öznitelikler tarafından tanımlandığı şekilde). Her demet için, başarı kanıtlarını birden çok cihaz üzerinden izliyoruz. Yeterince başarılı güncelleştirme gördük ve hiçbir hata görmedikten sonra, "yüksek güvenilirlik" demetini dikkate alacaktır ve bu verileri aylık toplu güncelleştirmelere ekleyeceğiz. Yüksek güvenilirlik demetinde bir cihaza aylık güncelleştirmeler uygulandığında, Windows sertifikaları otomatik olarak üretici yazılımındaki UEFI Güvenli Önyükleme değişkenlerine uygular.

  • Yüksek güvenilirlik demetleri, güncelleştirmeleri doğru işleyen cihazları içerir. Doğal olarak, tüm cihazlar tanılama verileri sağlamaz ve bu, Microsoft'un bir cihazın güncelleştirmeleri doğru işleyebilmesine olan güvenini sınırlayabilir.

  • Bu yardım, yüksek güvenilirlikli cihazlar için varsayılan olarak etkindir ve cihaza özgü bir ayar ile devre dışı bırakılabilir. Gelecek Windows sürümlerinde daha fazla bilgi paylaşılacaktır.

• Denetimli Özellik Dağıtımı (CFR):  Tanılama verileri etkinse cihazları Microsoft tarafından yönetilen dağıtım için kabul edin.

  • Denetimli Özellik Dağıtımı (CFR), kuruluş filolarındaki istemci cihazlarla kullanılabilir. Bu, cihazların gerekli tanılama verilerini Microsoft'a göndermesini ve cihazın cihazda CFR'ye izin vermek için kabul ettiğinin sinyalini vermesini gerektirir. Kabul etme ile ilgili ayrıntılar aşağıda açıklanmıştır.

  • Microsoft, tanılama verilerinin kullanılabildiği ve cihazların Denetimli Özellik Dağıtımına (CFR) katıldığı Windows cihazlarında bu yeni sertifikalar için güncelleştirme işlemini yönetecektir. CFR, yeni sertifikaların dağıtımına yardımcı olabilir ancak kuruluşlar filolarını düzeltmek için CFR'ye güvenemez; otomatik yardımların kapsamına alınmayan Dağıtım yöntemleri bölümünde bu belgede açıklanan adımların izlenmesi gerekir.

  • Sınırlama: CFR'nin ortamınızda çalışmaması için birkaç neden vardır. Örneğin:

    • Kullanılabilir tanılama verisi yok veya tanılama verileri CFR dağıtımının bir parçası olarak kullanılamaz.

    • Cihazlar, genişletilmiş güvenlik güncelleştirmelerine (ESU) sahip Windows 11 ve Windows 10 desteklenen istemci sürümlerinde değildir.

Otomatik yardımlar kapsamında olmayan dağıtım yöntemleri

Ortamınıza uygun yöntemi seçin. Aynı cihazda yöntemleri karıştırmaktan kaçının: 

• Kayıt defteri anahtarları: Dağıtımı denetleyin ve sonuçları izleyin.
  Sertifikaların dağıtımının davranışını denetlemek ve sonuçları izlemek için kullanılabilen birden çok kayıt defteri anahtarı vardır. Ayrıca, yukarıda açıklanan dağıtım yardımlarını kabul etmek ve devre dışı bırakmanız için iki anahtar vardır. Kayıt defteri anahtarları hakkında daha fazla bilgi için bkz. Güvenli Önyükleme için Kayıt Defteri Anahtarı Güncelleştirmeler - BT tarafından yönetilen güncelleştirmelere sahip Windows cihazları.

• grup ilkesi Nesneleri (GPO):Ayarları yönetme; kayıt defteri ve olay günlükleri aracılığıyla izleme.
  Microsoft, gelecekteki bir güncelleştirmede grup ilkesi kullanarak Güvenli Önyükleme güncelleştirmelerini yönetmek için destek sağlayacaktır. grup ilkesi ayarlar için olduğundan, kayıt defteri anahtarlarını ve olay günlüğü girdilerini izleme gibi alternatif yöntemler kullanılarak cihaz durumunu izlemenin yapılması gerektiğini unutmayın.

• WinCS (Windows Yapılandırma Sistemi) CLI: Etki alanına katılmış istemciler için komut satırı araçlarını kullanın.
  Etki alanı yöneticileri, Güvenli Önyükleme güncelleştirmelerini etki alanına katılmış Windows istemcileri ve sunucuları arasında dağıtmak için alternatif olarak Windows işletim sistemi güncelleştirmelerinde bulunan Windows Yapılandırma Sistemi'ni (WinCS) kullanabilir. Güvenli Önyükleme yapılandırmalarını bir makineye yerel olarak sorgulamak ve uygulamak için bir dizi komut satırı yardımcı programı (hem geleneksel yürütülebilir dosya hem de PowerShell modülü) oluşur. Daha fazla bilgi için bkz. Güvenli Önyükleme için Windows Yapılandırma Sistemi (WinCS) API'leri.

• Microsoft Intune/Configuration Manager: PowerShell betiklerini dağıtma. Intune kullanarak dağıtıma izin vermek için gelecek bir güncelleştirmede bir Yapılandırma Hizmet Sağlayıcısı (CSP) sağlanacaktır.

Olay Günlüklerini İzleme

Güvenli Önyükleme sertifika güncelleştirmelerinin dağıtılmasına yardımcı olmak için iki yeni olay sağlanıyor. Bu olaylar Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları bölümünde ayrıntılı olarak açıklanmıştır: 

• Olay Kimliği: 1801
  Bu olay, güncelleştirilmiş sertifikaların cihaza uygulanmadığını gösteren bir hata olayıdır. Bu olay, hangi cihazların hala güncelleştirilmesi gerektiğini ilişkilendirmeye yardımcı olacak cihaz öznitelikleri de dahil olmak üzere cihaza özgü bazı ayrıntılar sağlar.

• Olay Kimliği: 1808
  Bu olay, cihazın üretici yazılımına gerekli yeni Güvenli Önyükleme sertifikalarının uygulandığını gösteren bilgilendirici bir olaydır.

Dağıtım stratejileri 

Riski en aza indirmek için Güvenli Önyükleme güncelleştirmelerini tek seferde değil aşamalı olarak dağıtın. Cihazların küçük bir alt kümesiyle başlayın, sonuçları doğrulayın ve ardından ek gruplara genişletin. Cihazların alt kümeleriyle başlamanızı ve bu dağıtımlara güven kazandıkça ek cihaz alt kümeleri eklemenizi öneririz. Örnek cihazlarda test sonuçları ve kuruluş yapısı vb. dahil olmak üzere bir alt kümeye nelerin gireceğini belirlemek için birden çok faktör kullanılabilir. 

Hangi cihazları dağıttığınıza karar vermek size bağlı. Bazı olası stratejiler burada listelenmiştir. 

• Büyük cihaz filosu: Yönettiğiniz en yaygın cihazlar için yukarıda açıklanan yardımlara güvenerek başlayın. Paralel olarak, kuruluşunuz tarafından yönetilen daha az yaygın cihazlara odaklanın. Küçük örnek cihazları test edin ve test başarılı olursa, aynı türdeki cihazların geri kalanına dağıtın. Test sorun oluşturursa sorunun nedenini araştırın ve düzeltme adımlarını belirleyin. Ayrıca filonuzda daha yüksek değere sahip cihaz sınıflarını göz önünde bulundurmak ve bu cihazların önceden güncelleştirilmiş korumaya sahip olduğundan emin olmak için test etmeye ve dağıtmaya başlamak isteyebilirsiniz.

• Küçük filo, çok çeşitli: Yönettiğiniz filo, tek tek cihazları test etme işleminin engelleyici olacağı çok çeşitli makineler içeriyorsa, özellikle de pazardaki yaygın cihazlar olması muhtemel cihazlar için yukarıda açıklanan iki yardımı yoğun bir şekilde kullanmayı göz önünde bulundurun. Başlangıçta günlük işlem için kritik olan cihazlara odaklanın, test edin ve dağıtın. Yardımların cihazların geri kalanına yardımcı olduğunu doğrulamak için filoyu izlerken yüksek öncelikli cihazlar listesini aşağı taşımaya, test etmeye ve dağıtmaya devam edin.

Notlar 

• Eski cihazlara, özellikle de üretici tarafından artık desteklenmeyen cihazlara dikkat edin. Üretici yazılımının güncelleştirme işlemlerini doğru gerçekleştirmesi gerekirken, bazıları gerçekleştirmeyebilir. Üretici yazılımının düzgün çalışmadığı ve cihazın artık desteklenmediği durumlarda, filonuzda Güvenli Önyükleme koruması sağlamak için cihazı değiştirmeyi göz önünde bulundurun.

• Son 1-2 yıl içinde üretilen yeni cihazlarda güncelleştirilmiş sertifikalar zaten mevcut olabilir ancak sisteme Windows UEFI CA 2023 imzalı önyükleme yöneticisi uygulanmamış olabilir. Bu önyükleme yöneticisinin uygulanması, her cihaz için dağıtımda kritik bir son adımdır.

• Güncelleştirmeler için bir cihaz seçildikten sonra, güncelleştirmelerin tamamlanması biraz zaman alabilir. Sertifikaların uygulanması için 48 saat ve bir veya daha fazla yeniden başlatma tahmini yapın.

Yaygın sorunlar ve öneriler

Bu kılavuz, Güvenli Önyükleme sertifika güncelleştirme işleminin nasıl çalıştığı hakkında ayrıntılı bilgi verir ve cihazlara dağıtım sırasında sorunlarla karşılaşılırsa sorunları gidermek için bazı adımlar sunar. Bu bölüme Güncelleştirmeler gerektiğinde eklenecektir.

Güvenli Önyükleme sertifikası dağıtım desteği 

Güvenli Önyükleme sertifika güncelleştirmelerini desteklemek için Windows, 12 saatte bir çalışan zamanlanmış bir görev tutar. Görev , AvailableUpdates kayıt defteri anahtarında işlenmesi gereken bitleri arar. Sertifikaları dağıtırken kullanılan ilgi çekici bitler aşağıdaki tabloda yer alır. Order sütunu, bitlerin işlenme sırasını gösterir.

Bitlerin her biri, zamanlanmış olay tarafından yukarıdaki tabloda verilen sırayla işlenir.

Bitler arasında ilerleme şu şekilde görünmelidir: 

1. Başlangıç: 0x5944

2. 0x0040 → 0x5904 (Windows UEFI CA 2023 başarıyla uygulandı)

3. 0x0800 → 0x5104 (Gerekirse Microsoft UEFI CA 2023'e uygulanır)

4. 0x1000 → 0x4104 (Gerekirse Microsoft Option ROM UEFI CA 2023 uygulanır)

5. 0x0004 → 0x4100 (Microsoft Corporation KEK 2K CA 2023'e uygulandı)

6. 0x0100 → 0x4000 (Windows UEFI CA 2023 imzalı önyükleme yöneticisi uygulandı)

Notlar

• Bir bit ile ilişkili işlem başarıyla tamamlandıktan sonra, bu bit AvailableUpdates anahtarından temizlenir.

• Bu işlemlerden biri başarısız olursa, bir olay günlüğe kaydedilir ve zamanlanan görev bir sonraki çalıştırıldığında işlem yeniden denenür.

• Bit 0x4000 ayarlanırsa temizlenmez. Diğer tüm bitler işlendikten sonra AvailableUpdates kayıt defteri anahtarı 0x4000 olarak ayarlanır.

Sorun 1: KEK güncelleştirme Hatası: Cihaz sertifikaları Güvenli Önyükleme DB'ye güncelleştirir, ancak yeni Anahtar Değişim Anahtarı sertifikasını Güvenli Önyükleme KEK'sine dağıtma işleminin üzerinden geçilmez. 

Not Şu anda bu sorun oluştuğunda, bir Olay Kimliği: 1796 günlüğe kaydedilir (bkz. Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları). Bu sorunu belirtmek için sonraki sürümde yeni bir olay sağlanacaktır. 

Bir cihazdaki AvailableUpdates kayıt defteri anahtarı 0x4104 olarak ayarlanır ve birden çok yeniden başlatma ve önemli bir süre geçtikten sonra bile 0x0004 bitini temizlemez. 

Sorun, OEM'in PK'sinin cihaz için imzaladığı bir KEK olmaması olabilir. OEM, cihazın PK'sini denetler ve yeni Microsoft KEK sertifikasını imzalamaktan ve aylık toplu güncelleştirmelere eklenebilmesi için bu sertifikayı Microsoft'a geri göndermekle sorumludur. 

Bu hatayla karşılaşırsanız, Windows Güvenli Önyükleme Anahtarı Oluşturma ve Yönetim Kılavuzu'nda açıklanan adımları izlediklerini doğrulamak için OEM'nize başvurun.  

Sorun 2: Üretici yazılımı hataları: Sertifika güncelleştirmeleri uygulanırken, sertifikalar Güvenli Önyükleme DB veya KEK değişkenlerine uygulamak için üretici yazılımına teslim edilir. Bazı durumlarda üretici yazılımı bir hata döndürür. 

Bu sorun oluştuğunda, Güvenli Önyükleme bir Olay Kimliği: 1795'i günlüğe kaydeder. Bu olay hakkında bilgi için bkz. Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları. 

Bu sorunu çözmek için cihaz için kullanılabilir bir üretici yazılımı güncelleştirmesi olup olmadığını görmek için OEM ile kontrol etmenizi öneririz.