Kaip atnaujinti „Secure Boot“ sertifikatus sistemoje „Windows“ ir išvengti saugumo problemų

Informatec Digital » Ištekliai » Kaip atnaujinti „Secure Boot“ sertifikatus sistemoje „Windows“ ir išvengti saugumo problemų

Jei naudojate „Windows 10“ arba „Windows 11“ ir turite Saugus įkrovimas įjungtasJus tiesiogiai paveiks sertifikatų pakeitimai, kuriuos „Microsoft“ ir kompiuterių gamintojai atliks nuo dabar iki 2026 m. birželio mėn. Tai nėra teorinis klausimas: kalbame apie komponentą, kuris patvirtina, ką galima paleisti jūsų kompiuteryje nuo maitinimo mygtuko paspaudimo, ir kurio originalių sertifikatų galiojimo laikas netrukus baigsis.

Metų metus laikėme savaime suprantamu dalyku, kad sistema yra apsaugota nuo pat pradžių, bet dabar laikas patikrinti, ar viskas paruošta. Saugaus įkrovimo sertifikato atnaujinimas„Microsoft“, originalios įrangos gamintojai (pvz., „Acer“) ir sistemų administratoriai jau pradėjo dirbti ties tuo, todėl verta suprasti, kas vyksta, kokios neveiklumo pasekmės ir kokių praktinių veiksmų galite imtis, nesvarbu, ar esate namų vartotojas, ar valdote įrenginių parką įmonėje.

Kodėl „Secure Boot“ sertifikatai nustoja galioti ir ką tai reiškia?

Metodas UEFI pagrindu sukurtas saugus įkrovimas Jis remiasi skaitmeniniais sertifikatais, saugomais programinėje įrangoje, kad nuspręstų, kuris kodas yra patikimas paleidžiant sistemą: įkrovos įkrovikliai, programinės įrangos tvarkyklės, svarbiausi komponentai prieš operacinę sistemą ir kt. Šis modelis buvo sukurtas atsižvelgiant į raktų hierarchija kuri sukuria pasitikėjimo grandinę nuo programinės įrangos iki „Windows“.

Toje hierarchijoje randame, pavyzdžiui, Platformos raktas (PK) kuris paprastai yra iš originalios įrangos gamintojo (pvz., „Acer“), Key Exchange Keys (KEK) iš „Microsoft“ ir gamintojo, ir dvi esminės duomenų bazės: DB (leidžiami parašai) ir DBX (atšaukti parašai). DB apima patikimus sertifikatus ir parašus, o DBX atnaujinama elementais, kurie turi būti blokuojami, nes yra nesaugūs arba buvo pažeisti.

Pirmieji „Acer“ ir „Microsoft“ bendrai išduoti „Secure Boot“ sertifikatai datuojami ... 2011ir buvo suprojektuoti apytiksliai 15 metų tarnavimo laikui. Tai reiškia, kad nuo 2026 m. Birželio mėn Šie pradiniai sertifikatai artėja prie galiojimo pabaigos datos. Jei jūsų įrenginio programinė įranga vis dar jais naudojasi ir nebuvo atnaujinta į naujus 2023 m. sertifikatus, įkrovos apsauga taps nebeaktuali.

Net ir pasibaigus sertifikatų galiojimo laikui, kompiuteris vis tiek gali įsijungti ir normaliai paleisti „Windows“, tačiau svarbiausia yra tai, kad „Microsoft“ negalės tinkamai pritaikyti naujų švelninimo priemonių apie įkrovos aplinką. Tai apima apsaugą nuo kenkėjiškų programų, kurios paleidžiamos prieš sistemą, bandymų apeiti „BitLocker“ ir kitų atakų prieš pradinę pasitikėjimo grandinę.

Senesnėse mašinose arba sistemose, kurios nebepalaikomos (pvz., „Windows 10“ diegimuose be ESU), kyla rizika, kad įkrovos aplinka veiks, bet bus... atakos paviršius padidėja nes jis negauna tų pačių saugos atnaujinimų ir negali pasinaudoti šiuolaikiniais DBX atšaukimais.

Kontekstas: „Windows 10“ palaikymo pabaiga, „Windows 11“ iškilimas ir priklausomybė nuo „Secure Boot“

Pranešimas apie „Windows 10“ gyvavimo pabaiga Tai paskatino milijonus vartotojų atnaujinti sistemą į „Windows 11“, kad neprarastų saugos pataisų. Šiandien rinkos dalis akivaizdžiai pasislinko „Windows 11“ naudai – apie 63 %, palyginti su 35 % „Windows 10“, daugiausia dėl spaudimo nutraukti palaikymą.

Nors vis dar yra „Windows 10“ diegimų su specialiais kanalais, tokiais kaip LTSC arba programas Išplėstiniai saugos naujinimai (ESU)Realybė tokia, kad dauguma žmonių, norėdami išlikti gerai apsaugoti, turės gyventi su „Windows 11“ arba bent jau su „Linux“ distribucijomis. Tačiau tai nereiškia, kad „Windows 11“ yra neįveikiama: dabar... Saugaus įkrovimo sertifikatų galiojimas.

„Windows 11“ sistemoje saugus įkrovimas nėra užgaida, o įrengimo reikalavimas daugumoje palaikomų scenarijų. „Microsoft“ reikalauja, kad jis būtų aktyvus ne tik dėl bendro saugumo, bet ir dėl to, kad daugelis apsaugos priemonių remiasi būtent šia pasitikėjimo grandine. Net žaidimų pasaulyje vis dažniau šiuolaikiniai žaidimai (pvz., „Battlefield“ serija ir kiti AAA žaidimai) reikalauja, kad... Saugus įkrovimas įjungtas kad būtų įvykdytas mirties bausmė.

Naujausia „Windows 11“ saugos naujinimų partija apima būtent tai, kas Saugaus įkrovimo sertifikato rotacija kurie nustoja galioti 2026 m. birželio mėn. Didelė dalis vartotojų šiuos sertifikatus gaus automatiškai per „Windows Update“, jiems nereikės rankiniu būdu ieškoti failų ar paketų.

Stalinių arba nešiojamųjų kompiuterių, įsigytų nuo 2024 iki 2025 m., atveju originalios įrangos gamintojai (OEM) jau tiesiogiai įtraukia UEFI CA 2023 sertifikatai jų programinės įrangos versijose, todėl šie kompiuteriai iš gamyklos atkeliauja jau paruošti, ir jums tereikia nuolat atnaujinti „Windows“ ir be jokios priežasties neišjungti saugaus įkrovimo.

Kas nutiks, jei neatnaujinsite „Secure Boot“ sertifikatų?

Labai dažnas klausimas yra, ar kompiuteris nustos paleisti, kai pasieks jo galiojimo datą. Daugumai vartotojų atsakymas yra teigiamas. Jis ir toliau įsijungs ir veiks Kaip įprasta. Galėsite atidaryti programas, naršyti internete ir naudoti operacinę sistemą taip pat, kaip ir dabar.

Tikroji problema yra subtilesnė: komanda su pasibaigusio galiojimo saugaus įkrovimo sertifikatai Sistema gali nebegauti arba netinkamai taikyti tam tikrų atnaujinimų, kuriems reikalinga ši nauja pasitikėjimo grandinė. Gali nebūti įdiegti kai kurie svarbūs įkrovos lygio saugos patobulinimai, todėl gali atsirasti pažeidžiamumų, kuriais galėtų pasinaudoti užpuolikai.

Be to, šie sertifikatų atnaujinimai skirti spręsti šiuolaikiniai pažeidžiamumai prieš operacinės sistemos diegimą. Jei sertifikatų bazė neatnaujinama, kompiuteris gali tapti lengvesniu taikiniu įkrovos rinkinių kenkėjiškoms programoms, nuolatiniams rootkitams arba įrankiams, skirtiems apeiti tokius mechanizmus kaip „BitLocker“ pačioje ankstyvoje paleidimo stadijoje.

Yra ir kitas scenarijus, į kurį reikia atsižvelgti: kai kurios programos, ypač korporacinėje arba didelio saugumo aplinkoje, gali reikalauti, kad „Secure Boot“ veiktų ir būtų atnaujintaJei vidiniai patikrinimai aptinka pasibaigusio galiojimo sertifikatus, jie gali atsisakyti vykdyti arba apriboti funkcionalumą, o tai turi įtakos produktyvumui.

Todėl „Microsoft“ rekomendacija aiški: visada palaikykite Saugus įkrovimas įjungtas ir atnaujintasĮdiekite naujausius „Windows 11“ naujinimus arba, jei naudojate „Windows 10“ su ESU, pritaikykite visus saugos pataisymus ir įsitikinkite, kad kiekviename kompiuteryje turite naujausią programinės įrangos / BIOS versiją.

Kaip patikrinti saugaus paleidimo sertifikatų būseną sistemoje „Windows“

Norėdami sužinoti, ar jūsų įrenginys jau pritaikė nauji saugaus įkrovimo sertifikataiGalite atlikti greitą patikrinimą naudodami „PowerShell“. „Microsoft“ siūlo komandą, kuri tikrina „Secure Boot“ parašų duomenų bazės (db) turinį ir konkrečiai ieško, ar joje yra „Windows UEFI CA 2023“.

Atidarę „PowerShell“ su administratoriaus teisėmis, galite paleisti kažką panašaus į:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

Jei komanda grąžina TiesaTai reiškia, kad įrenginys jau naudoja naująjį 2023 m. UEFI sertifikatą ir yra apsaugotas nuo originalių 2011 m. sertifikatų galiojimo pabaigos. Tokiu atveju jums nereikėtų rūpintis, išskyrus tai, kad ir toliau diegsite įprastus „Windows“ ir programinės įrangos atnaujinimus, kai jie bus prieinami.

Ir atvirkščiai, jei išraiška grąžina KlaidingasĮrenginys vis dar naudoja sertifikatus, kurių galiojimas baigiasi 2026 m. birželio mėn. Tokiu atveju patartina pirmiausia patikrinti, ar BIOS / UEFI įjungtas saugus įkrovimas, o tada priverstinai arba palengvinti reikiamų naujinimų gavimą per „Windows Update“ arba per atitinkamą konfigūraciją valdomose aplinkose.

Norėdami patvirtinti, kad saugi įkrovimo funkcija įjungta, galite naudoti sistemos informacijos įrankį su komanda msinfo32Atsidariusiame lange pažymėkite laukelį, atitinkantį „Saugaus įkrovimo būsena“: jei rodoma „Įjungta“, funkcija veikia; jei rodoma „Išjungta“ arba „Nepalaikoma“, norėdami ją įjungti, turėsite įvesti pagrindinės plokštės arba nešiojamojo kompiuterio UEFI, jei aparatinė įranga tai leidžia.

Jei patikrinus msinfo32 ir „PowerShell“ komandą vis tiek nematote 2023 m. sertifikato, kitas loginis žingsnis yra "Windows" naujinimoTikrinami laukiantys atnaujinimai, ypač tie, kurie priskiriami saugos arba programinės įrangos atnaujinimams. Daugelyje kompiuterių tiesiog įdiegus šiuos paketus ir paleidus iš naujo, sertifikatas bus automatiškai atnaujintas.

Rankinis saugaus paleidimo sertifikatų atnaujinimas atskiruose kompiuteriuose

Pasitaiko atvejų, kai, nepaisant įjungto saugaus įkrovimo ir veikiančio „Windows Update“, sertifikatų bazės atnaujinimas netaikomas automatiškai. Tokiais atvejais „Microsoft“ aprašo būdą, kaip tai padaryti priverstinio atnaujinimo signalizacija per „Windows“ registrą.

Standartinė procedūra apima vertės sukūrimą arba pakeitimą Galimi atnaujinimai registro šakoje, skirtoje saugiam įkrovimui. „PowerShell“ su administratoriaus teisėmis galite naudoti tokią komandą:

reg add HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Svarbu atkreipti dėmesį, kad įklijuojant šią komandą į „PowerShell“, registro kelyje esančius brūkšnius „/“ turite pakeisti į standartiniai „Windows“ atgaliniai brūkšniai Kad komanda veiktų tinkamai, sukūrus arba pakoregavus šią reikšmę, „Windows“ turėtų aptikti, kad yra galimų sertifikatų atnaujinimų, ir juos taikyti po kito „Windows“ naujinimo ciklo bei paleisti iš naujo.

Prieš modifikuojant registrą, patartina įsitikinti, kad sistema atitinka pagrindinius reikalavimus: Saugus įkrovimas įjungtas BIOS, palaikoma „Windows“ versija (daugiausia „Windows 11“ arba „Windows 10“ su ESU) ir veikianti „Windows Update“ paslauga. Bet kokie neteisingi registro pakeitimai gali sukelti problemų, todėl patartina turėti atsarginę kopiją arba atkūrimo tašką.

Kai procesas bus baigtas ir po vieno ar kelių paleidimų iš naujo, galite dar kartą paleisti „PowerShell“ komandą, kuri ieškos „Windows UEFI CA 2023“ saugios įkrovos duomenų bazėje. Jei šį kartą atsakymas yra „True“, kompiuteris dabar veikia su atnaujinti sertifikatai ir būsimus paleidimo mažinimo veiksmus galima taikyti be kliūčių.

Išplėstinė stebėsena: įvykiai, registravimas ir WMI administratoriams

Įmonių aplinkoje „Microsoft“ rekomenduoja neapsiriboti rankiniu patikrinimu, naudojant kelias komandas. Norint suprasti kiekvienos komandos poziciją Saugaus įkrovimo sertifikato atnaujinimasSvarbu peržiūrėti sistemos įvykius ir rinkti išsamią informaciją naudojant „PowerShell“, registravimą ir WMI/CIM užklausas.

Pirmas žingsnis – apžiūrėti saugaus paleidimo įvykiai Naujausi įvykiai, ypač tie, kurių identifikatoriai yra 1801 ir 1808, dokumentuojami kaip žurnalų, susijusių su saugaus įkrovimo duomenų bazės (db) ir atšaukimo duomenų bazės (DBX) atnaujinimais, dalis. Šių naujausių įvykių analizė padeda nustatyti, ar yra laukiančių atnaujinimų, programos klaidų ar sėkmingų būsenų.

Be to, siūloma atlikti išsamus įrenginių inventorius visoje organizacijoje. „PowerShell“ scenarijai gali būti naudojami parametrams, pvz., kompiuterio pavadinimui (pvz., „$env:COMPUTERNAME“) ir rinkimo datai bei laikui („Get-Date“), rinkti, kad būtų gautas aiškus įrangos parko vaizdas konkrečiu momentu.

Registre yra keli ypač svarbūs raktai. Pirma, pagrindinis „Secure Boot“ raktas HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBootTai leidžia įvertinti tokias reikšmes kaip „SecureBootEnabled“, „HighConfidenceOptOut“ ir „AvailableUpdates“. Šie duomenys rodo, ar aktyvus „Secure Boot“ režimas, ar įrenginys pasirinko tam tikras pasitikėjimo strategijas ir ar yra sertifikatų atnaujinimų.

Kita vertus, yra techninės priežiūros skyrius. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\ServicingTai apima tokius parametrus kaip „UEFICA2023Status“, „WindowsUEFICA2023Capable“ ir „UEFICA2023Error“. Šios reikšmės nurodo, ar įrenginys gali priimti naujus „UEFI CA 2023“ sertifikatus, ar jie buvo pritaikyti ir ar proceso metu įvyko klaidų.

Įrenginio atributų skyrius taip pat naudingas: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributesČia saugomi tokie duomenys kaip „OEMManufacturerName“, „OEMModelSystemFamily“, „OEMModelNumber“, „FirmwareVersion“, „FirmwareReleaseDate“, „OSArchitecture“ ir „CanAttemptUpdateAfter“. Ši informacija padeda susieti programinės įrangos suderinamumą su „Secure Boot“ naujinimų būsena.

Kalbant apie įvykių žurnalus, patartina rinkti tokius rodiklius kaip Naujausio įvykio ID Susiję su saugiu įkrovimu, iš įvykių 1801/1808 išgaunami „BucketID“ ir patikimumo lygis, taip pat iš skaitiklių „Event1801Count“ ir „Event1808Count“. Naudodamos šią telemetriją, IT komandos gali aptikti modelius, pasikartojančias klaidas arba įrenginius, kurie niekada sėkmingai neatnaujina sertifikatų.

Galiausiai, per WMI/CIM užklausos Gaunama papildoma sistemos informacija: „Windows“ versija („Get-CimInstance Win32_OperatingSystem“, skirta „OSVersion“ ir „LastBootTime“), pagrindinės plokštės gamintojas ir produktas („Get-CimInstance Win32_BaseBoard“), kompiuterio gamintojas ir modelis („Get-CIMINstance Win32_ComputerSystem“.Manufacturer ir .Model“) ir BIOS duomenys („Get-CIMINstance Win32_BIOS“, skirta aprašymui ir išleidimo datai). Visa tai leidžia susieti programinės įrangos versijas, aparatinę įrangą ir saugaus paleidimo būseną viename inventoriuje.

„Intune“ valdomos aplinkos ir IT valdomi įrenginiai

Organizacijoms, kurios naudoja „Intune“ arba kiti MDM sprendimai Norint valdyti „Windows“ įrenginius, pagrindinis klausimas yra tai, ar pakanka tiesiog leisti „Windows Update“ atlikti savo darbą, ar iki 2026 m. reikia imtis papildomų veiksmų. „Microsoft“ nurodė, kad valdomose aplinkose, jei tik diagnostikos duomenys Jei jie įjungti bent „Privalomuoju“ lygiu, būtini atnaujinimai bus pristatyti automatiškai.

Praktiškai tai reiškia, kad jei jūsų „Intune“ strategijos jau leidžia telemetriją ir jūsų atnaujinimo parinktys yra tinkamai sukonfigūruotos, galite būti ramūs. Nepaisant to, daugelis administratorių svarsto, ar jie turėtų rankiniu būdu kurti tam tikrus registro raktus, pvz., „MicrosoftUpdateManagedOptIn“, ar jie konfigūruojami automatiškai, kai įrenginys atitinka reikalavimus.

„Microsoft“ paskelbė konkrečius dokumentus, kuriuose nurodoma, kad raktas „Microsoft Update ManagedOptIn“, esantis aplanke HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot, įrenginiuose su IT valdomais atnaujinimais turi būti nustatytas į 1. automatinis sertifikatų atnaujinimas kad būtų atlikta teisingai. Kai kuriais atvejais šį raktą galima konfigūruoti automatiškai, tačiau kitais atvejais gali būti pageidautina jį priverstinai taikyti taikant strategijas.

Todėl rekomenduojama peržiūrėti „Intune“ diagnostikos ir atnaujinimų politiką, patikrinti tikrąją mašinų būseną naudojant inventoriaus scenarijus ir, jei reikia, įdiegti konfigūracijos politika tai užtikrina, kad „MicrosoftUpdateManagedOptIn“ reikšmė būtų tinkama ir kad aptarnavimo šakos atitiktų suderinamumą su UEFI CA 2023.

Lygiai taip pat svarbu aklai nemanyti, kad „2026 m. nieko nereikės daryti“. Nors „Microsoft“ automatizuoja didžiąją dalį proceso, kiekviena organizacija turi savo unikalių savybių: įrenginius su pasenusia programine įranga, kompiuterius, kurie nereguliariai prisijungia, ribojančias tinklo politikas arba įrenginius su atidėtais atnaujinimais. proaktyvus patvirtinimo planas išvengti paskutinės minutės netikėtumų.

Originalios įrangos gamintojų ir BIOS / programinės įrangos atnaujinimų vaidmuo

Kompiuterių ir pagrindinių plokščių gamintojai, tokie kaip „Acer“, atlieka esminį vaidmenį visame šiame procese. Jie kontroliuoja Platformos raktas (PK) ir KEK dalis kurie yra programinės įrangos versijoje, taip pat BIOS / UEFI versijos, kurios nustato, kaip įkeliamos ir tvarkomos „Secure Boot DB“ ir DBX duomenų bazės.

Pasak „Acer“, bendrovė planuoja išleisti specialūs BIOS atnaujinimai Nešiojamiesiems ir stacionariems kompiuteriams, kuriems tai paveikta 2026 m. pirmąjį ketvirtį. Šios versijos apima PK, KEK ir DB, atnaujintus su 2023 m. sertifikatais, todėl pritaikius BIOS kompiuteris bus suderintas su nauja „Secure Boot“ patikimumo grandine.

Kiti originalios įrangos gamintojai (OEM) laikysis panašios strategijos, todėl IT administratoriai ir patyrę vartotojai turėtų atkreipti dėmesį į jų gamintojų palaikymo pastabosDaugeliu atvejų procesas apims naujos BIOS atsisiuntimą iš originalios įrangos gamintojo (OEM) svetainės arba gavimą naudojant patentuotus įrankius (pvz., automatinio atnaujinimo programas) ir atnaujinimo įdiegimą laikantis standartinių instrukcijų.

Kompiuteriuose, išleistuose 2024 arba 2025 metais, BIOS paprastai būna iš anksto įdiegtas su 2023 m. BIOS raktais arba gauna tą atnaujinimą netrukus po įsigijimo. Jei kompiuterį įsigijote maždaug tuo metu, tikriausiai jau turite BIOS raktus. atnaujinti sertifikataiNepaisant to, „PowerShell“ patikrinimas visada yra gera idėja tai patvirtinti.

Paskirstytosios infrastruktūros, duomenų centrų ar didelių nešiojamųjų kompiuterių parkų atveju gali tekti koordinuoti veiksmus su originalios įrangos gamintojais (OEM). programinės įrangos etapinio diegimo planasTaip išvengiama kritinių BIOS atnaujinimų taikymo visiems įrenginiams vienu metu be išankstinio testavimo. Tai integruota į kriptografinį ir programinės įrangos gyvavimo ciklo valdymą, kurį jau įdiegia daugelis įmonių.

Geriausia kibernetinio saugumo praktika, susijusi su saugiu įkrovimu

„Secure Boot“ sertifikato atnaujinimas nėra pavienis įvykis, o dalis kriptovaliutų gyvavimo ciklo valdymas organizacijos. Raktų ir sertifikatų rotacijų planavimas, to, kas iš tikrųjų naudojama aplinkoje, auditas ir vientisumo kontrolės palaikymas programinėje įrangoje bei TPM sumažina tikimybę, kad kas nors neteisėtai pakeis sistemą pradiniuose paleidimo etapuose.

Šiuo atžvilgiu patartina derinti įkrovos valdiklius su kitais apsaugos sluoksniais: disko šifravimu naudojant "BitLocker"Aptikimo ir reagavimo sistemos (EDR/XDR), programinės-aparatinės įrangos ir konfigūracijos pakeitimų stebėjimas bei reguliari „Windows“ ir aparatinės įrangos saugos politikos peržiūra. Visa tai padeda užtikrinti, kad vienas vieno sluoksnio gedimas nepakenktų visai sistemai.

Kibernetinio saugumo ir įsiskverbimo testavimo įmonės gali padidinti vertę atlikdamos batų grandinės vertinimaiTai apima atakų prieš programinę-aparatinę įrangą, UEFI ir patį „Secure Boot“ modeliavimą ir patikrinimą, ar apsauga veikia taip, kaip tikėtasi. Šie tyrimai taip pat paprastai apima rekomendacijas, kaip automatizuoti ir organizuoti atnaujinimus.

Organizacijose, turinčiose labai paskirstytą infrastruktūrą, kurios naudojasi debesijos paslaugomis, tokiomis kaip Azure arba AWS Platinimo kanalų nustatymas ir centralizuotas naujinimų valdymas gali supaprastinti pataisų, sertifikatų ir programinės įrangos valdymą. Be to, naudojant ataskaitų suvestines „Power BI“ ir telemetrijos analizėje, galima nustatyti, kuriems įrenginiams reikia skubiai skirti dėmesio.

Įrankių naudojimas dirbtinis intelektas ir anomalijų aptikimas Sistemos, orientuotos į paleidimo įvykius ir programinės įrangos elgseną, tampa vis dažnesnės. Šios sistemos gali aptikti neįprastus modelius saugaus paleidimo žurnaluose, anomalius perkrovimus arba UEFI konfigūracijos pakeitimus, kurie gali rodyti bandymą atakuoti arba netinkamą konfigūraciją.

Operaciniu lygmeniu kelios pagrindinės rekomendacijos apima: reguliarų „Windows“ naujinimų ir saugos būsenų tikrinimą „Windows“ saugos centre, oficialios programinės įrangos, kuri neatnaujinama automatiškai, iš gamintojų prašymą, naujinimų testavimą laboratorijose prieš masinį diegimą ir jų palaikymą. atnaujintos atsargos ir pataisų valdymo sistemos gerai sukonfigūruotas.

Šių praktikų derinimas su tinkamu „Secure Boot“ sertifikatų atnaujinimu padeda išlaikyti tvirtą saugumo poziciją, sumažinant atskleidimo laikotarpius ir palengvinant būsimus auditus, tiek vidinius, tiek išorinius.

Trumpai tariant, „Secure Boot“ sertifikatų galiojimo pabaiga 2026 m. birželį verčia peržiūrėti, kaip mūsų sistemos yra konfigūruojamos ir atnaujinamos tiek namuose, tiek didelėse organizacijose: siekiant užtikrinti, kad Saugus įkrovimas aktyvus„Windows UEFI CA 2023“ buvimo patvirtinimas naudojant „PowerShell“, registro raktų ir įvykių tikrinimas, koordinavimas su originalios įrangos gamintojais (OEM), kad būtų įdiegta naujausia programinė įranga, ir „Intune“, WSUS, SCCM arba MDM sprendimų galimybių panaudojimas diegimo automatizavimui lemia skirtumą tarp aplinkos, kuri paleidimo metu lieka apsaugota nuo šiuolaikinių grėsmių, ir tokios, kuri, nors ir atrodo normali, kaupia tylias rizikas, kurias iš pirmo žvilgsnio sunku aptikti.