Sekite ZDNET: Pridėkite mus kaip pageidaujamą šaltinį „Google“.
Pagrindiniai ZDNET pasiūlymai
- Secure Boot apsaugo šiuolaikinius Windows ir Linux kompiuterius.
- „Microsoft Secure Boot“ sertifikatai nuo 2011 m. baigiasi 2026 m. birželio mėn.
- Dauguma kompiuterių savininkų yra gerai, jei įdiegia naujausius naujinimus.
Praėjusių metų „Windows 10“ palaikymo pabaigos terminas buvo didelis išbandymas ir vartotojams, ir IT profesionalams. Gera žinia ta, kad visi praėjo! Blogos naujienos yra tai, kad už kampo yra dar vienas svarbus galiojimo laikas.
Kiekvienas Windows kompiuteris, sukurtas ir sukurtas nuo 2011 m., palaiko funkciją, vadinamą saugiu įkrovimu. Ši funkcija, kuri pagal numatytuosius nustatymus įjungta naujuose kompiuteriuose, parduodamuose su „Windows 10“ ir „Windows 11“, veikia kaip vartų sargas, leidžiantis paleisties metu paleisti tik patikimą programinę įrangą. Jei kas nors bando sugadinti operacinę sistemą arba paleisti iš alternatyvaus įrenginio, saugus įkrovimas blokuoja šį bandymą.
Taip pat: kaip nemokamai atnaujinti „nesuderinamą“ „Windows 10“ kompiuterį į „Windows 11“.
Visos šiuo metu palaikomos „Windows“ versijos palaiko saugų įkrovą, kaip ir vis daugiau „Linux“ platinimų, įskaitant „Ubuntu“, „Fedora“, „Linux Mint“, „OpenSUSE“ ir daugybę kitų.
Kaip veikia saugus įkrovimas
Saugus įkrovimas remiasi kriptografinių sertifikatų grandine, kuri patikrina kiekvieno įkrovos komponento parašą. Vienas iš svarbiausių sertifikatų yra raktų mainų raktas (KEK), kuris yra UEFI programinėje įrangoje ir veikia su patikimos platformos moduliu (TPM), kad valdytų patikimų įkrovos įkroviklių sąrašą, kuris yra leistino parašo duomenų bazėje (DB) ir uždrausto parašo duomenų bazėje (DBX).
„Microsoft“ išduoti gamybos sertifikatų tarnybos (CA) ir UEFI CA sertifikatai taip pat yra būtini saugaus įkrovos veikimui, todėl juos taip pat reikia atnaujinti.
Jei įsigijote kompiuterį per pastaruosius 15 metų, jame beveik neabejotinai yra Microsoft išduoti KEK ir UEFI CA sertifikatai nuo 2011 m. galioja iki 2026 m. birželio mėn. Norėdami atnaujinti tuos sertifikatus, turite pasiekti pasitikėjimo šaknį – platformos raktą, kurį valdo aparatinės įrangos OĮG.
Taip pat: Nustačius „Windows 11“, šie 9 veiksmai man yra nediskutuotini
Pasibaigus saugaus įkrovos sertifikatų galiojimui, jiems nebeleidžiama patvirtinti įkrovos programinės įrangos. Kompiuteris vis tiek pradės veikti ir veiks normaliai, bet nebegalės gauti Windows įkrovos tvarkyklės, saugaus įkrovos duomenų bazių ir atšaukimų sąrašų naujinimų bei naujai aptiktų įkrovos grandinės spragų pataisymų.
Galite išjungti saugų įkrovimą, bet tai reiškia, kad negalėsite pasiekti diskų, užšifruotų naudojant BitLocker, nepateikę atkūrimo rakto.
„Microsoft“ atkreipia dėmesį į tai, kad scenarijai, pagrįsti saugiu įkrovimu (pvz., „BitLocker“ sugriežtinimas, įkrovos lygio kodo vientisumas arba trečiųjų šalių įkrovos įkrovikliai ir „Option ROM“), taip pat gali būti paveikti, jei jiems reikia atnaujinti saugaus įkrovos patikimumą.
2023 m. „Microsoft“ išleido šių saugaus įkrovos sertifikatų pakaitalus. Tačiau visa Saugaus įkrovos sertifikato modelio esmė ta, kad tuos sertifikatus nėra lengva pakeisti – jei taip būtų, kiekvienas kenkėjiškų programų kūrėjas pasaulyje sutelktų energiją būtent tai ir sukurtų kenkėjiškus šaknų rinkinius, kurie veikia paleidžiant ir negali būti lengvai aptinkami.
Siekdamos pasiruošti šiam masiniam išnykimo įvykiui, „Microsoft“ ir jos aparatinės įrangos partneriai dirba jau kelerius metus, derindami pasaulinę naujinimų seriją, skirtą pakeisti tuos pasenusius sertifikatus 2023 m. versija. „Microsoft“ dokumentavo pažangą naujame tinklaraščio įraše:
Mūsų ekosistemų partneriai atlieka svarbų vaidmenį pereinant prie naujų saugaus įkrovos sertifikatų. OEM gamintojai teikia atnaujintus sertifikatus naujiems įrenginiams ir daugeliui naujesnių kompiuterių, pagamintų nuo 2024 m., o beveik visi 2025 m. pristatyti įrenginiai jau turi sertifikatus ir nereikalauja jokių veiksmų iš klientų. OĮG partneriai taip pat glaudžiai bendradarbiavo su mūsų inžinierių komandomis, siekdami užtikrinti, kad rinkoje esantys įrenginiai galėtų sklandžiai pritaikyti naujinimus, ir pateikė savo gaires, kad padėtų klientams pasiruošti perėjimui. Dėl šių bendrų pastangų netrukus galite pamatyti programinės aparatinės įrangos naujinį, kuris perkels jūsų kompiuterio saugos branduolį į šiuolaikinę erą, o sertifikato galiojimo laikas pailgins dar dešimtmetį ar daugiau.
Daugumai žmonių šis procesas turėtų būti nepastebimas. Galbūt jau įdiegėte reikiamus naujinimus to nesuvokdami.
Šiam įrašui sudariau dažnai užduodamų klausimų sąrašą ir autoritetingus atsakymus.
Kodėl baigiasi šių sertifikatų galiojimo laikas?
Penkiolika metų yra ilgas laikas. Saugos standartai kasmet smarkiai tobulėja, todėl normalu panaikinti senus sertifikatus ir pakeisti juos naujai išduotais sertifikatais, atitinkančiais šiuolaikinius saugumo standartus, o ne tapti pažeidžiamumu.
Ar mano kompiuteryje baigiasi saugaus įkrovos sertifikatų galiojimas?
Jei jūsų kompiuteris buvo sukurtas ir pagamintas po 2011 m., jame yra saugaus įkrovos sertifikatai. Bet kuris įrenginys, sukurtas ir pagamintas iki 2024 m., tikriausiai turi 2011 m. sertifikatą, kurio galiojimas netrukus baigsis.
„Microsoft“ teigimu, jos OEM partneriai naujuose įrenginiuose teikia atnaujintus sertifikatus nuo 2024 m. Jei turite palyginti naują įrenginį, greičiausiai jame jau yra naujausi sertifikatai. „Copilot+“ asmeniniuose kompiuteriuose, sukurtuose 2025 m. ar vėliau, jau yra 2023 m. sertifikatai ir jų nereikia atnaujinti.
Taip pat: „OneDrive“ atsarginė kopija ką tik smarkiai pasikeitė į gerąją pusę – kaip ji veikia dabar
Norėdami sužinoti, ar jūsų kompiuteryje yra atnaujinti sertifikatai, atidarykite „PowerShell“ langą naudodami administratoriaus kredencialus, tada nukopijuokite šią komandą ir įklijuokite ją „PowerShell“ komandų eilutėje:
((System.Text.Encoding)::ASCII.GetString((Get-SecureBootUEFI db).bytes) -atitinka „Windows UEFI CA 2023“)
Jei atsakymas yra „Tiesa“, esate atnaujintas. Jei atsakymas yra klaidingas, jums reikia atnaujinti programinę įrangą.
Ar automatiškai gausiu atnaujintą sertifikatą?
Jei jūsų kompiuterį sukūrė ir sukūrė pagrindinis OĮG („Lenovo“, HP, „Dell“, ASUS, „Surface“), o jūs naudojate palaikomą „Windows“ versiją, reikiamą naujinimą turėtumėte gauti automatiškai.
„Microsoft“ teigimu, „daugumai asmenų ir įmonių, leidžiančių Microsoft valdyti kompiuterių naujinimus, nauji sertifikatai bus automatiškai įdiegti per įprastą mėnesinį Windows naujinimo procesą, nereikalaujant jokių papildomų veiksmų“.
Taip pat: „Windows 11“ turi 1 milijardą vartotojų – ir jie įsiutę
Šie naujinimai bus pateikti beveik visuose kompiuteriuose, kuriuose veikia „Windows 11“, ir kompiuteriuose, kuriuose veikia „Windows 10“ su išplėstinių saugos naujinimų prenumerata. Gali prireikti atskiro kompiuterio gamintojo programinės įrangos naujinimo, kad būtų galima įdiegti atnaujintus sertifikatus.
„Microsoft“ teigia, kad ji pateiks pranešimus apie sertifikato atnaujinimo būseną „Windows“ saugos programoje.
Jei naudojate specializuotus kompiuterius, pvz., serverius ir daiktų interneto įrenginius, gali tekti atsisiųsti ir įdiegti naujinimą iš įrenginio gamintojo.
Kas nutiks, jei neatnaujinsiu tų sertifikatų?
Anot Microsoft, „Kai baigiasi 2011 m. CA galiojimo laikas, Windows įrenginiai, neturintys naujų 2023 sertifikatų, nebegalės gauti prieš įkrovą susijusių komponentų saugos pataisų, o tai kelia pavojų Windows įkrovos saugai… Be naujinimų Windows įrenginiai, kuriuose įgalintas saugus įkrovimas, rizikuoja negauti saugos naujinimų arba pasitikėti naujais įkrovos įkrovikliais, o tai pakenks aptarnavimui ir saugai.
Turiu Mac. Ar man reikia dėl to nerimauti?
Nr.
Turiu kompiuterį, kuriame veikia Linux. Ar man reikia dėl to nerimauti?
Jei naudojate dvejopo paleidimo „Linux“ su „Windows“, „Microsoft“ teigia, kad atnaujins sertifikatus, kuriais remiasi „Linux“.
Jei visiškai išvalėte „Windows“, gali būti, kad automatiškai negausite naujausių saugos naujinimų. Galite susisiekti su jūsų kompiuterį sukūrusia įmone, kad sužinotumėte, ar yra rankinis naujinimas, arba galite išjungti saugų įkrovą. Be baisios raudonos spynos įkrovos ekrane, visa kita veiks taip, kaip tikėtasi.
Sukūriau savo kompiuterį. Kur yra mano atnaujinimai?
Pasikalbėkite su pagrindinės plokštės gamintoju. Gali būti naujinimų, tačiau, atsižvelgiant į jūsų kompiuterio amžių, pagrindinės plokštės gamintojas gali jo nepasiūlyti. Galite išjungti saugų įkrovimą ir Windows vis tiek bus paleistas. Jei BitLocker įjungtas, gali reikėti pateikti atkūrimo raktą, kad galėtumėte pasiekti tame diske esančius duomenis.
Taip pat: kaip rasti „BitLocker“ atkūrimo raktą ir išsaugoti saugią atsarginę kopiją, kol dar ne vėlu
Kada baigsis naujų sertifikatų galiojimas?
2023 m. sertifikatų galiojimo laikas baigiasi 15 metų vėliau, 2038 m. Vienintelė išimtis yra „Windows UEFI CA 2023“, kurios galiojimas baigsis 2035 m. birželį. Tai reiškia, kad po dešimtmečio turėsime vėl pradėti šį šokį.
Kur galėčiau gauti daugiau informacijos ar pagalbos?
Oficialus „Microsoft“ DUK puslapis yra čia: DUK apie saugaus įkrovos sertifikato naujinimą. Jei kyla problemų dėl nevaldomo kompiuterio namuose ar mažame biure, kreipkitės į kompiuterio gamintoją arba susisiekite su „Microsoft“ pagalbos. Įmonių administratoriai gali naudotis komercinio palaikymo kanalais.
