Microsoft вместе с партнёрами из экосистемы приступает к постепенному внедрению замены сертификатов, которые станут новыми якорями доверия для функции Secure Boot в системе Unified Extensible Firmware Interface (UEFI). С конца февраля 2024 года пользователи могут ожидать фазовые обновления базы данных Secure Boot, включающие новые сертификаты Key Exchange Key (KEK) и базы доверенных ключей (DB). Эти обновления важны для будущей безопасности всех устройств с включенной функцией Secure Boot и направлены на подготовку системы к истечению срока действия существующих сертификатов в 2026 году. Secure Boot представляет собой критически важный механизм защиты, встроенный в UEFI, который отвечает за проверку цифровых подписей программного обеспечения на этапе загрузки компьютера. Цель функции — разрешать выполнение только доверенного кода, что препятствует проникновению вредоносных программ ещё до запуска операционной системы.
Secure Boot был впервые внедрён в Windows 8 и с тех пор постоянно развивается как часть общей архитектуры защитной загрузки Windows. Технология проверяет подписи таких компонентов, как драйверы UEFI, загрузчики, системные приложения и встроенное ПО (Option ROMs), а затем передаёт управление действительному загрузчику Windows при подтверждении его подлинности. Благодаря этому уменьшается риск атак, нацеленных на ранние этапы загрузки ОС, таких как загрузочные руткиты и другие формы предзагрузочного вредоносного ПО. Доверие к компонентам Secure Boot создаётся с помощью инфраструктуры публичных ключей (PKI) — системы, основанной на сертификатах и цифровых ключах, которые выпускаются и управляются доверенными удостоверяющими центрами (CA). В иерархии доверия ключи Platform Key (PK) находятся на вершине и обычно контролируются производителем оборудования.
Они подписывают обновления KEK, которые в свою очередь подписывают изменения в списках разрешённых и запрещённых сертификатов в базах DB и DBX. В течение последних лет конфигурация ключей Secure Boot для устройств Windows оставалась неизменной с момента выпуска Windows 8. Каждое устройство должно содержать три ключевых сертификата, управляемых Microsoft: корневой KEK CA 2011, сертификат Microsoft Windows Production PCA 2011, подписывающий загрузчик Windows, и Microsoft UEFI CA 2011, который используется для подписания стороннего программного обеспечения и драйверов. Все эти три сертификата выйдут из строя в 2026 году, и поэтому Microsoft приступила к созданию и внедрению новых сертификатов. В начале 2024 года планируется выпустить обновление базы данных, которое добавит в неё сертификат Microsoft Windows UEFI CA 2023.
Этот сертификат будет использоваться для подписания компонентов загрузки Windows после истечения срока действия старого Production CA 2011. Обновление является необязательным в фазе предварительных и февральских обновлений, после чего начнётся его постепенное внедрение для всех устройств в апреле 2024 года. План обновления также включает замену сертификатов Microsoft UEFI CA 2011 и Microsoft Corporation KEK CA 2011, что ожидается в конце 2024 года и будет проходить по похожему сценарию контролируемого развертывания. Такой подход позволяет Microsoft тщательно проверять совместимость обновлений с прошивкой и избежать ситуаций, когда системы перестанут загружаться из-за несовместимости обновленных ключей. В случае обнаружения ошибок устройства с такими проблемами приостанавливаются от получения обновлений, пока не будет выпущено исправление.
Для крупных организаций и пользователей, желающих удостовериться в работоспособности обновлений в своей IT-среде, Microsoft подготовила официальную процедуру ручной установки обновлений базы данных Secure Boot. В первую очередь рекомендуется убедиться, что версия UEFI прошивки — самая свежая, предложенная поставщиком устройства. Дополнительно крайне важно позаботиться о резервном копировании ключей BitLocker, если данный шифровальщик дисков используется на устройстве. Это позволит избежать потери доступа к данным в случае сбоев во время обновления. Инструкция по сохранению ключей BitLocker включает сохранение в облако Azure AD или Microsoft Account, либо сохранение на внешнем носителе в надёжном месте для локальных аккаунтов.
Сам процесс установки обновления предусматривает получение актуального февральского обновления безопасности Windows, последующий запуск команды для изменения параметров в реестре Secure Boot, выполнение специальной задачи планировщика Windows и двойную перезагрузку компьютера для успешного применения изменений. После завершения рекомендуется проверить успешность обновления при помощи команды PowerShell, которая подтверждает присутствие нового сертификата Windows UEFI CA 2023 в базе данных Secure Boot. Обновления Secure Boot играют ключевую роль в поддержании высокого уровня защиты устройств от эволюционирующих угроз безопасности. Постоянное обновление доверенных ключей и процедур подтверждения легитимности компонентов загрузки помогает предотвратить возможности загрузки вредоносного кода до запуска ОС. Microsoft и партнёры демонстрируют ответственное отношение и предусмотрительность в развертывании этих изменений, чтобы обеспечить безболезненный и надежный переход на новую систему сертификатов для пользователей по всему миру.
Таким образом, в ближайшие годы владельцы устройств на Windows могут рассчитывать на сохранение целостности и защищённости процессов загрузки благодаря обновлениям Secure Boot. Регулярное применение рекомендуемых обновлений и применение рекомендаций Microsoft поможет администраторам и конечным пользователям сохранить безопасность своих систем и избежать проблем, связанных с истечением срока действия ключевых сертификатов. Заключение об обновлении ключей Secure Boot от Microsoft подчеркивает важность постоянных улучшений в области кибербезопасности аппаратных платформ и согласованности работы производителей, поставщиков ПО и конечных пользователей в поддержании защиты на современном уровне.
