系统极客一直在努力
专注操作系统及软件使用技能

2024 年 Windows 安全启动证书更新,你准备好了吗?

安全

Microsoft 在本周的一则公告中表示,将与原始设备制造商(OEM)合作伙伴一起,在今年,对配备了统一可扩展固件接口(UEFI)的电脑进行「安全启动」功能更新。

安全启动」是 PC 行业的一个 UEFI 安全功能,最早在 Windows 8 设备上推出。它的设计初衷是在电脑启动前,防止 rootkit 和 bootkit 这类恶意软件篡改系统。如果这些 bootkits 植入成功,很可能会逃过反恶意软件的侦测。Microsoft 要求 OEM 厂商在其销售的 Windows PC 上预装三个由 Microsoft 管理的证书,这样才能启用安全启动功能。

这三个安全启动证书包括:密钥交换密钥(Key Exchange Key, KEK)、允许的签名数据库(Allowed Signature Database, DB)和禁止的签名数据库(Disallowed Signature Database, DBX),都将在 2026 年到期。

为了提前应对证书到期,Microsoft 及其 OEM合作伙伴将发布「替换证书」,为未来建立新的 UEFI 证书权威(CA)信任基础。虽然 Microsoft 也会定期更新 DBX,但此次的安全启动密钥更新将是有史以来最大规模的一次。

此次证书更新的目标是:修补固件实现中的漏洞,这些漏洞可能导致系统无法启动或无法响应数据库更新。为了保证兼容性,Microsoft 计划分阶段推出这些新证书,并在整个过程中进行测试。具体安排如下:

  • 在「2024 年 2 月的服务和预览更新」中(2 月 13 日),推出 Windows UEFI CA 2023 版可选更新,用以取代目前的 2021 版。在「2024 年 4 月的服务和预览更新」中全面推出 Windows UEFI CA 2023 版。
  • 在 2024 年年底开始实施对 UEFI CA 2011(也称为第三方 UEFI CA)和 Microsoft Corporation KEK CA 2011 的更新。

如果要通过 PowerShell 手动更新证书,具体操作步骤和注意事项在公告文章中都有说明。比如,如果你的 Windows 开启了 BitLocker 加密,在更新证书之前,最好先备份一下密钥,以防不测。

赞(1) 赞赏

评论 抢沙发

微信赞赏