Windows Secure Boot certificate expiration and CA updates

Khởi động An toàn là gì?

Khởi động An toàn là một tính năng bảo mật trong vi chương trình dựa trên Unified Extensible Firmware Interface (UEFI) giúp đảm bảo rằng chỉ phần mềm đáng tin cậy chạy trong chuỗi khởi động (bắt đầu) của thiết bị. Cách này hoạt động bằng cách xác minh chữ ký số của phần mềm trước khi khởi động dựa trên một tập hợp các chứng chỉ kỹ thuật số đáng tin cậy (còn được gọi là cơ quan cấp chứng chỉ hoặc CA) được lưu trữ trong vi chương trình của thiết bị. Là một tiêu chuẩn ngành, Khởi động An toàn UEFI xác định cách vi chương trình nền tảng quản lý các chứng chỉ, xác thực vi chương trình và cách giao diện hệ điều hành (HĐH) với quy trình này. Để biết thêm chi tiết về UEFI và Khởi động An toàn, vui lòng xem Khởi động an toàn.

Khởi động An toàn lần đầu tiên được giới thiệu trong Windows 8 để bảo vệ chống lại các phần mềm có hại trước khi khởi động (còn được gọi là một bootkit) vào thời điểm đó. Là một phần của quá trình khởi tạo nền tảng, Khởi động An toàn xác thực mô-đun vi chương trình trước khi thực thi. Các mô-đun này bao gồm trình điều khiển vi chương trình UEFI (chẳng hạn như ROM Tùy chọn), bộ nạp khởi động và ứng dụng. Là bước cuối cùng của quá trình Khởi động An toàn, vi chương trình kiểm tra xem Khởi động An toàn có tin cậy bộ nạp khởi động hay không. Sau đó, vi chương trình chuyển quyền điều khiển cho bộ nạp khởi động, lần lượt xác minh, tải vào bộ nhớ và khởi động HĐH Windows.

Khởi động An toàn xác định mã đáng tin cậy thông qua bộ chính sách vi chương trình trong quá trình sản xuất. Những thay đổi đối với chính sách này, chẳng hạn như thêm hoặc thu hồi chứng chỉ, được kiểm soát bởi cấu trúc phân cấp gồm các khóa. Cấu trúc phân cấp này bắt đầu bằng Khóa Nền tảng (PK), thường thuộc sở hữu của nhà sản xuất phần cứng, tiếp theo là Khóa Đăng ký Khóa (KEK) (còn được gọi là Khóa Trao đổi Khóa), có thể bao gồm Microsoft KEK và CÁC KEK OEM khác. Cơ sở dữ liệu Chữ ký Được phép (DB) và Cơ sở dữ liệu Chữ ký Không cho phép (DBX) xác định mã nào có thể chạy trong môi trường UEFI trước khi khởi động HĐH. DB bao gồm các chứng chỉ do Microsoft và OEM quản lý, trong khi DBX được cập nhật bởi Microsoft với các thu hồi mới nhất. Bất kỳ thực thể nào có KEK đều có thể cập nhật DB và DBX.

Ảnh hưởng của việc hết hạn chứng chỉ Khởi động An toàn

Microsoft đang cập nhật chứng chỉ Khởi động An toàn ban đầu được phát hành vào năm 2011 để đảm bảo các thiết bị Windows tiếp tục xác minh phần mềm khởi động đáng tin cậy. Các chứng chỉ cũ hơn này bắt đầu hết hạn vào tháng 6 năm 2026. Các thiết bị chưa nhận được chứng chỉ 2023 mới hơn sẽ tiếp tục khởi động và hoạt động bình thường và các bản cập nhật Windows tiêu chuẩn sẽ tiếp tục cài đặt. Tuy nhiên, các thiết bị này sẽ không còn có thể nhận được các biện pháp bảo vệ bảo mật mới cho quá trình khởi động sớm, bao gồm các bản cập nhật cho Trình quản lý Khởi động Windows, cơ sở dữ liệu Khởi động An toàn, danh sách thu hồi hoặc biện pháp giảm nhẹ cho các lỗ hổng mức khởi động mới được phát hiện. 

Theo thời gian, điều này sẽ giới hạn khả năng bảo vệ của thiết bị trước các mối đe dọa đang xuất hiện và có thể ảnh hưởng đến các trường hợp dựa trên độ tin cậy Khởi động An toàn, chẳng hạn như khóa cứng BitLocker hoặc trình tải khởi động của bên thứ ba. Hầu hết các thiết bị Windows sẽ tự động nhận được chứng chỉ được cập nhật và nhiều OEM cung cấp bản cập nhật vi chương trình khi cần. Việc duy trì cập nhật cho thiết bị của bạn với các bản cập nhật này sẽ giúp đảm bảo thiết bị có thể tiếp tục nhận được toàn bộ các biện pháp bảo vệ bảo mật mà Khởi động An toàn được thiết kế để cung cấp.

Chứng chỉ Khởi động An toàn của Windows hết hạn vào năm 2026

Kể từ khi Windows giới thiệu hỗ trợ Khởi động An toàn, tất cả các thiết bị dựa trên Windows đã mang theo cùng một bộ chứng chỉ Microsoft trong KEK và DB. Các chứng chỉ gốc này sắp đến ngày hết hạn và thiết bị của bạn sẽ bị ảnh hưởng nếu có bất kỳ phiên bản chứng chỉ được liệt kê nào. Để tiếp tục chạy Windows và nhận các bản cập nhật thường xuyên cho cấu hình Khởi động An toàn, bạn sẽ cần cập nhật các chứng chỉ này.

Thuật ngữ

• KEK: Khóa Đăng ký Khóa

• CA: Cơ quan Cấp chứng chỉ

• DB: Cơ sở dữ liệu Chữ ký Khởi động An toàn

• DBX: Cơ sở dữ liệu chữ ký bị thu hồi khởi động an toàn

Microsoft đã cấp các chứng chỉ được cập nhật để đảm bảo tính liên tục của tính năng Chống Khởi động An toàn trên các thiết bị Windows. Microsoft sẽ quản lý quá trình cập nhật cho các chứng chỉ mới này trên một phần quan trọng của thiết bị Windows. Ngoài ra, chúng tôi sẽ cung cấp hướng dẫn chi tiết cho các tổ chức quản lý các bản cập nhật thiết bị của riêng họ.

Gọi hành động

Bạn có thể cần phải hành động để đảm bảo rằng thiết bị Windows của bạn vẫn an toàn khi chứng chỉ hết hạn vào năm 2026. Cả UEFI Secure Boot DB và KEK đều cần được cập nhật với các phiên bản chứng chỉ 2023 mới tương ứng. Để biết thêm thông tin về các chứng chỉ mới, hãy xem Hướng dẫn Tạo và Quản lý Khóa Khởi động Bảo mật của Windows. 

Các hành động của bạn sẽ khác nhau tùy thuộc vào loại thiết bị Windows mà bạn có. Chọn từ menu bên trái cho loại thiết bị và hành động cụ thể mà bạn cần thực hiện.