Kā atjaunot drošās sāknēšanas sertifikātus operētājsistēmā Windows un izvairīties no drošības problēmām

Informatec Digital » Resursi » Kā atjaunot drošās sāknēšanas sertifikātus operētājsistēmā Windows un izvairīties no drošības problēmām

Ja izmantojat operētājsistēmu Windows 10 vai Windows 11 un jums ir Droša sāknēšana ir iespējotaSertifikātu izmaiņas, ko Microsoft un datoru ražotāji veiks no šī brīža līdz 2026. gada jūnijam, jūs tieši ietekmē. Šis nav teorētisks jautājums: mēs runājam par komponentu, kas validē to, ko var palaist jūsu datorā, no brīža, kad nospiežat ieslēgšanas/izslēgšanas pogu, un kura sākotnējie sertifikāti drīz beigsies.

Gadiem ilgi mēs uzskatījām par pašsaprotamu, ka sistēma ir aizsargāta jau no paša sākuma, bet tagad ir pienācis laiks pārbaudīt, vai viss ir gatavs. Drošas sāknēšanas sertifikāta atjaunošanaMicrosoft, oriģinālā aprīkojuma ražotāji (piemēram, Acer) un sistēmu administratori jau ir sākuši strādāt pie tā, un ir vērts saprast, kas notiek, kādas ir bezdarbības sekas un kādus praktiskus pasākumus varat veikt neatkarīgi no tā, vai esat mājas lietotājs vai pārvaldāt ierīču parku uzņēmumā.

Kāpēc drošās sāknēšanas sertifikātu derīguma termiņš beidzas un ko tas nozīmē?

Mehānisms, UEFI balstīta drošā sāknēšana Tas balstās uz digitālajiem sertifikātiem, kas saglabāti programmaparatūrā, lai izlemtu, kurš kods ir uzticams sāknēšanas laikā: sāknēšanas ielādētāji, programmaparatūras draiveri, kritiski svarīgi operētājsistēmas pirmsoperācijas komponenti utt. Šis modelis tika izstrādāts, balstoties uz atslēgu hierarhija kas izveido uzticības ķēdi no programmaparatūras uz Windows.

Šajā hierarhijā mēs atrodam, piemēram, Platformas atslēga (PK) kas parasti ir no oriģinālā aprīkojuma ražotāja (piemēram, Acer), Atslēgu apmaiņas atslēgas (KEK) no Microsoft un ražotāja, kā arī divas būtiskas datubāzes: DB (atļautie paraksti) un DBX (atsauktie paraksti). DB ietver sertifikātus un parakstus, kas tiek uzskatīti par uzticamiem, savukārt DBX tiek atjaunināta ar vienumiem, kas ir jābloķē, jo tie ir nedroši vai ir apdraudēti.

Pirmie Acer un Microsoft kopīgi izdotie drošās sāknēšanas sertifikāti ir datējami ar ... 2011un tika projektēti ar aptuveno kalpošanas laiku 15 gadi. Tas nozīmē, ka no 2026. gada jūnijs Šie sākotnējie sertifikāti tuvojas derīguma termiņa beigām. Ja jūsu ierīces programmaparatūra joprojām ir atkarīga no tiem un nav atjaunināta uz jaunajiem 2023. gada sertifikātiem, sāknēšanas aizsardzība vairs nebūs nepieciešama.

Ar sertifikātiem, kas ir beigušies, dators joprojām var ieslēgties un normāli darbināt operētājsistēmu Windows, taču kritiski svarīgi ir tas, ka Microsoft nevarēs pareizi lietot jaunos mazināšanas pasākumus par sāknēšanas vidi. Tas ietver aizsardzību pret ļaunprogrammatūru, kas ielādējas pirms sistēmas, mēģinājumiem apiet BitLocker un citiem uzbrukumiem sākotnējai uzticības ķēdei.

Vecākās ierīcēs vai sistēmās, kas vairs netiek atbalstītas (piemēram, Windows 10 instalācijās bez ESU), pastāv risks, ka sāknēšanas vide darbojas, bet kuras uzbrukuma virsma palielinās jo tas nesaņem tos pašus drošības atjauninājumus, kā arī nevar izmantot modernās atsaukšanas priekšrocības DBX.

Konteksts: Windows 10 atbalsta beigas, Windows 11 popularitātes pieaugums un atkarība no drošās sāknēšanas

Paziņojums par Windows 10 dzīves cikla beigas Tas pamudināja miljoniem lietotāju jaunināt uz Windows 11, lai izvairītos no drošības ielāpu zaudēšanas. Šodien tirgus daļa ir nepārprotami mainījusies par labu Windows 11, aptuveni 63% salīdzinājumā ar 35% Windows 10, galvenokārt pateicoties atbalsta pārtraukšanas spiedienam.

Lai gan joprojām ir Windows 10 instalācijas ar īpašiem kanāliem, piemēram, LTSC vai programmas Paplašināti drošības atjauninājumi (ESU)Realitātē lielākajai daļai cilvēku būs jāsamierinās ar Windows 11 vai vismaz ar Linux distributīviem, ja viņi vēlas saglabāt labu aizsardzību. Taču tas nenozīmē, ka Windows 11 ir necaurredzama: tagad... Drošas sāknēšanas sertifikātu derīgums.

Operētājsistēmā Windows 11 drošā sāknēšana nav kaprīze, bet gan uzstādīšanas prasība vairumā atbalstīto scenāriju. Microsoft uzstāj, ka tas ir jātur aktīvs ne tikai vispārējas drošības labad, bet arī tāpēc, ka daudzi mazināšanas pasākumi balstās uz šo pašu uzticības ķēdi. Pat spēļu pasaulē arvien biežāk mūsdienu nosaukumiem (piemēram, Battlefield sērijai un citām AAA spēlēm) ir nepieciešams, lai tas būtu Droša sāknēšana ir iespējota lai tiktu sodīts ar nāvi.

Jaunākā Windows 11 drošības atjauninājumu pakete ietver tieši to, kas nepieciešams, lai Drošas sāknēšanas sertifikāta rotācija kuru derīguma termiņš beidzas 2026. gada jūnijā. Liela daļa lietotāju šos sertifikātus saņems automātiski, izmantojot Windows Update, bez nepieciešamības manuāli meklēt failus vai pakotnes.

Attiecībā uz galddatoriem vai klēpjdatoriem, kas iegādāti no 2024. līdz 2025. gadam, oriģinālā aprīkojuma ražotāji (OEM) jau ir tieši integrējuši UEFI CA 2023 sertifikāti to programmaparatūrās, tāpēc šie datori tiek piegādāti no rūpnīcas jau gatavi, un viss, kas jums jādara, ir atjaunināt Windows un bez iemesla neatspējot drošo sāknēšanu.

Kas notiek, ja neatjaunojat drošās sāknēšanas sertifikātus?

Ļoti bieži uzdots jautājums ir, vai dators pārtrauks startēšanu, kad sasniegs tā derīguma termiņu. Atbilde lielākajai daļai lietotāju ir apstiprinoša. Tas turpinās ieslēgties un darboties Kā parasti. Jūs varēsiet atvērt savas lietojumprogrammas, pārlūkot internetu un izmantot operētājsistēmu tāpat kā pašlaik.

Īstā problēma ir smalkāka: komanda ar derīguma termiņu beiguši drošās sāknēšanas sertifikāti Tas var pārtraukt saņemt vai pareizi lietot noteiktus atjauninājumus, kuriem nepieciešama šī jaunā uzticamības ķēde. Daži kritiski sāknēšanas līmeņa drošības uzlabojumi var netikt instalēti, radot ievainojamības, ko uzbrucēji varētu izmantot.

Turklāt šie sertifikātu atjaunošanas pasākumi ir paredzēti, lai risinātu mūsdienu ievainojamības pirms operētājsistēmas instalēšanas vidē. Ja sertifikātu bāze netiek atjaunināta, dators var kļūt par vieglāku mērķi sāknēšanas komplektu ļaunprogrammatūrai, pastāvīgiem rootkitiem vai rīkiem, kas paredzēti, lai apietu tādus mehānismus kā BitLocker pašās sākumposmā.

Jāapsver vēl viens scenārijs: dažas lietojumprogrammas, īpaši korporatīvās vai augstas drošības vidēs, var pieprasa, lai drošā sāknēšana darbotos un būtu atjauninātaJa iekšējās pārbaudes atklāj sertifikātu derīguma termiņa beigšanos, tās var atteikties palaist sertifikātus vai ierobežot to funkcionalitāti, tādējādi ietekmējot produktivitāti.

Tāpēc Microsoft ieteikums ir skaidrs: vienmēr uzturēt Droša sāknēšana ir iespējota un atjauninātaInstalējiet jaunākos Windows 11 atjauninājumus vai, ja izmantojat Windows 10 ar ESU, lietojiet visus drošības ielāpus un pārliecinieties, vai katram datoram ir pieejama jaunākā programmaparatūras/BIOS versija.

Kā pārbaudīt drošās sāknēšanas sertifikātu statusu operētājsistēmā Windows

Lai uzzinātu, vai jūsu ierīce jau ir pieņēmusi jauni drošās sāknēšanas sertifikātiVarat veikt ātru pārbaudi, izmantojot PowerShell. Microsoft piedāvā komandu, kas pārbauda drošās sāknēšanas parakstu datubāzes (db) saturu un īpaši meklē šādu elementu klātbūtni: Windows UEFI CA 2023.

Atverot PowerShell ar administratora privilēģijām, varat palaist kaut ko līdzvērtīgu:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

Ja komanda atgriež PatiessTas nozīmē, ka ierīce jau izmanto jauno 2023. gada UEFI sertifikātu un ir aizsargāta pret sākotnējo 2011. gada sertifikātu derīguma termiņa beigām. Tādā gadījumā jums nebūtu jāuztraucas par to, ka varat turpināt lietot parastos Windows un programmaparatūras atjauninājumus, kad tie kļūst pieejami.

Un otrādi, ja izteiksme atgriež NepatiessDators joprojām izmanto sertifikātus, kuru derīguma termiņš beidzas 2026. gada jūnijā. Šādā gadījumā ieteicams vispirms pārbaudīt, vai BIOS/UEFI ir iespējota drošā sāknēšana, un pēc tam piespiest vai veicināt nepieciešamo atjauninājumu saņemšanu, izmantojot Windows Update vai atbilstošu konfigurāciju pārvaldītās vidēs.

Lai apstiprinātu, ka drošā sāknēšana ir iespējota, varat izmantot sistēmas informācijas rīku ar komandu msinfo32Atvērtajā logā atzīmējiet lauku, kas atbilst “Secure Boot Status”: ja tas rāda “Enabled”, funkcija darbojas; ja tas rāda “Disabled” vai “Not supported”, jums būs jāievada mātesplates vai klēpjdatora UEFI, lai to iespējotu, ja aparatūra to atļauj.

Ja pēc msinfo32 un PowerShell komandas pārbaudes joprojām neredzat 2023 sertifikātu, nākamais loģiskais solis ir Windows UpdatePārbauda gaidāmos atjauninājumus, īpaši tos, kas klasificēti kā drošības vai programmaparatūras atjauninājumi. Daudzās ierīcēs, vienkārši instalējot šīs pakotnes un restartējot, sertifikāta atjaunošana tiks automātiski piemērota.

Manuāla drošās sāknēšanas sertifikātu atjaunināšana atsevišķos datoros

Ir gadījumi, kad, neskatoties uz iespējotu drošo sāknēšanu un palaistu Windows atjaunināšanu, sertifikātu bāzes atjauninājums netiek lietots automātiski. Šādos gadījumos Microsoft apraksta veidu, kā piespiedu atjaunināšanas signalizācija caur Windows reģistru.

Standarta procedūra ietver vērtības izveidi vai modificēšanu Pieejamie atjauninājumi reģistra filiālē, kas veltīta drošai sāknēšanai. PowerShell ar administratora privilēģijām varat izmantot šādu komandu:

reg add HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Ir svarīgi atzīmēt, ka, ielīmējot šo komandu programmā PowerShell, reģistra ceļā slīpsvītras “/” ir jāaizstāj ar standarta Windows atpakaļvērstās slīpsvītras Lai komanda darbotos pareizi, pēc šīs vērtības izveides vai pielāgošanas operētājsistēmai Windows ir jānosaka, ka tai ir pieejami sertifikātu atjauninājumi, un jāturpina to lietošana pēc nākamā Windows atjaunināšanas cikla un jārestartē sistēma.

Pirms reģistra modificēšanas ieteicams pārliecināties, ka sistēma atbilst pamatprasībām: Droša sāknēšana ir iespējota BIOS, atbalstītajā Windows versijā (galvenokārt Windows 11 vai Windows 10 ar ESU) un palaistajā Windows Update pakalpojumā. Jebkuras nepareizas reģistra izmaiņas var radīt problēmas, tāpēc ieteicams izveidot dublējumu vai atjaunošanas punktu.

Kad process ir pabeigts un pēc vienas vai vairākām restartēšanas reizēm varat vēlreiz palaist PowerShell komandu, kas drošās sāknēšanas datubāzē meklē “Windows UEFI CA 2023”. Ja šoreiz atbilde ir “True”, dators tagad darbojas ar atjaunoti sertifikāti un turpmākos startēšanas mazināšanas pasākumus var piemērot bez šķēršļiem.

Paplašināta uzraudzība: notikumi, reģistrēšana un WMI administratoriem

Uzņēmumu vidē Microsoft iesaka izmantot daudz plašākas iespējas nekā manuāla pārbaude, izmantojot tikai dažas komandas. Lai saprastu katras komandas pozīciju attiecībā pret Drošas sāknēšanas sertifikāta atjauninājumsIr svarīgi pārskatīt sistēmas notikumus un apkopot detalizētu informāciju, izmantojot PowerShell, reģistrēšanu un WMI/CIM vaicājumus.

Pirmais solis ir pārbaudīt, drošas palaišanas notikumi Jaunākie notikumi, īpaši tie, kuru identifikatori ir 1801 un 1808, tiek dokumentēti kā daļa no žurnāliem, kas saistīti ar drošās sāknēšanas datubāzes (db) un atsaukšanas datubāzes (DBX) atjauninājumiem. Šo jaunāko notikumu analīze palīdz noteikt, vai ir gaidāmi atjauninājumi, lietojumprogrammu kļūdas vai veiksmes stāvokļi.

Turklāt ieteicams veikt detalizēts ierīču inventārs visā organizācijā. PowerShell skriptus var izmantot, lai apkopotu parametrus, piemēram, datora nosaukumu (HostName, piemēram, $env:COMPUTERNAME) un apkopošanas datumu un laiku (Get-Date), lai iegūtu skaidru priekšstatu par iekārtu parku konkrētā brīdī.

Reģistrā ir vairākas īpaši svarīgas atslēgas. Pirmkārt, primārā drošās sāknēšanas atslēga HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBootTas ļauj novērtēt tādas vērtības kā SecureBootEnabled, HighConfidenceOptOut un AvailableUpdates. Šie dati norāda, vai drošā sāknēšana ir aktīva, vai ierīce ir izvēlējusies noteiktas uzticamības politikas un vai ir pieejami sertifikātu atjauninājumi.

No otras puses, ir apkopes filiāle. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\ServicingTas ietver tādus parametrus kā UEFICA2023Status, WindowsUEFICA2023Capable un UEFICA2023Error. Šīs vērtības norāda, vai ierīce spēj pieņemt jaunos UEFI CA 2023 sertifikātus, vai tie ir lietoti un vai procesa laikā ir radušās kļūdas.

Noderīga ir arī sadaļa “Ierīces atribūti”: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributesŠeit tiek glabāti tādi dati kā OEMManufacturerName, OEMModelSystemFamily, OEMModelNumber, FirmwareVersion, FirmwareReleaseDate, OSArchitecture un CanAttemptUpdateAfter. Šī informācija palīdz savstarpēji salīdzināt programmaparatūras saderību ar drošās sāknēšanas atjauninājumu statusu.

Attiecībā uz notikumu žurnāliem ieteicams apkopot tādus rādītājus kā Jaunākā notikuma ID Saistībā ar drošo sāknēšanu no notikumiem 1801/1808 tiek iegūts BucketID un uzticamības līmenis, kā arī skaitītāji Event1801Count un Event1808Count. Izmantojot šo telemetriju, IT komandas var noteikt modeļus, atkārtotas kļūdas vai ierīces, kas nekad veiksmīgi nepabeidz sertifikātu atjaunināšanu.

Visbeidzot, caur WMI/CIM vaicājumi Tiek iegūta papildu sistēmas informācija: Windows versija (Get-CimInstance Win32_OperatingSystem OSVersion un LastBootTime vajadzībām), mātesplates ražotājs un produkts (Get-CimInstance Win32_BaseBoard), datora ražotājs un modelis (Get-CIMINstance Win32_ComputerSystem).Manufacturer un .Model), kā arī BIOS dati (Get-CIMINstance Win32_BIOS aprakstam un izlaišanas datumam). Tas viss ļauj korelēt programmaparatūras versijas, aparatūru un drošās sāknēšanas statusu vienā inventārā.

Intune pārvaldītas vides un IT pārvaldītas ierīces

Organizācijām, kas izmanto Intune vai citi MDM risinājumi Lai pārvaldītu savas Windows ierīces, galvenais jautājums ir, vai pietiek ļaut Windows Update veikt savu darbu, vai arī līdz 2026. gadam ir jāveic papildu darbības. Microsoft ir norādījis, ka pārvaldītās vidēs, ja vien diagnostikas dati Ja tie ir iespējoti vismaz "Nepieciešamajā" līmenī, nepieciešamie atjauninājumi tiks piegādāti automātiski.

Praksē tas nozīmē, ka, ja jūsu Intune politikas jau atļauj telemetriju un atjaunināšanas opcijas ir pareizi konfigurētas, varat justies mierīgi. Tomēr daudzi administratori domā, vai viņiem manuāli jāizveido noteiktas reģistra atslēgas, piemēram, MicrosoftUpdateManagedOptIn, vai arī tās tiek konfigurētas automātiski, kad ierīce atbilst prasībām.

Microsoft ir publicējis īpašu dokumentāciju, kas norāda, ka atslēga MicrosoftUpdateManagedOptIn, kas atrodas HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot, ierīcēs ar IT pārvaldītiem atjauninājumiem ir jāiestata vērtība 1. sertifikātu automātiska atjaunošana lai tā tiktu izpildīta pareizi. Dažos gadījumos šo atslēgu var konfigurēt automātiski, bet citos var būt vēlams to ieviest, izmantojot politikas.

Tāpēc ieteikums ir pārskatīt Intune politikas, kas saistītas ar diagnostiku un atjauninājumiem, pārbaudīt datoru faktisko stāvokli, izmantojot inventarizācijas skriptus, un, ja nepieciešams, izvietot konfigurācijas politika kas nodrošina, ka MicrosoftUpdateManagedOptIn vērtība ir atbilstoša un ka apkalpošanas zari atspoguļo saderību ar UEFI CA 2023.

Tikpat svarīgi ir akli nepieņemt, ka “2026. gadā nekas nebūs jādara”. Lai gan Microsoft automatizē lielu daļu procesa, katrai organizācijai ir savas unikālas īpašības: ierīces ar novecojušu programmaparatūru, datori, kas regulāri neizveido savienojumu, ierobežojošas tīkla politikas vai iekārtas ar atliktu atjauninājumu veikšanu. proaktīvs validācijas plāns izvairieties no pēdējā brīža pārsteigumiem.

OEM un BIOS/programmatūras atjauninājumu loma

Datoru un mātesplates ražotājiem, piemēram, Acer, ir būtiska loma visā šajā procesā. Viņi kontrolē Platformas atslēga (PK) un daļa no KEK kas atrodas programmaparatūrā, kā arī BIOS/UEFI versijas, kas nosaka, kā tiek ielādētas un pārvaldītas Secure Boot DB un DBX datubāzes.

Saskaņā ar Acer teikto, uzņēmums plāno publicēt specifiski BIOS atjauninājumi Klēpjdatoriem un galddatoriem, kas skarti 2026. gada pirmajā ceturksnī. Šajās versijās ir iekļauti PK, KEK un DB, kas atjaunināti ar 2023. gada sertifikātiem, tāpēc pēc BIOS lietošanas dators tiks saskaņots ar jauno drošās sāknēšanas uzticamības ķēdi.

Citi oriģinālā aprīkojuma ražotāji (OEM) ievēros līdzīgu stratēģiju, tāpēc IT administratoriem un lietotājiem jāpievērš uzmanība atbalsta piezīmes no to ražotājiemDaudzos gadījumos process ietvers jaunas BIOS lejupielādi no oriģinālā aprīkojuma ražotāja (OEM) vietnes vai saņemšanu, izmantojot patentētus rīkus (piemēram, automātiskās atjaunināšanas utilītas), un atjauninājuma lietošanu, ievērojot standarta instrukcijas.

Datoriem, kas izlaisti 2024. vai 2025. gadā, BIOS parasti ir iepriekš instalēta ar 2023. gada BIOS atslēgām vai arī šis atjauninājums tiek saņemts neilgi pēc iegādes. Ja datoru iegādājāties ap to laiku, jums, iespējams, jau ir BIOS atslēgas. atjaunoti sertifikātiPat ja tā, PowerShell pārbaude vienmēr ir laba ideja, lai to apstiprinātu.

Izkliedētu infrastruktūru, datu centru vai lielu klēpjdatoru parku gadījumā var būt nepieciešams koordinēt darbības ar oriģinālā aprīkojuma ražotājiem (OEM). programmaparatūras pakāpeniskas izvietošanas plānsTas ļauj izvairīties no kritisku BIOS atjauninājumu vienlaicīgas lietošanas visās ierīcēs bez iepriekšējas testēšanas. Tas ir integrēts kriptogrāfijas un programmaparatūras dzīves cikla pārvaldībā, ko daudzi uzņēmumi jau ievieš.

Kiberdrošības paraugprakse saistībā ar drošu sāknēšanu

Drošas sāknēšanas sertifikāta atjaunošana nav atsevišķs notikums, bet gan daļa no kriptovalūtu dzīves cikla pārvaldība organizācijas. Atslēgu un sertifikātu rotācijas plānošana, vidē faktiski izmantotā satura auditēšana un integritātes kontroles uzturēšana programmaparatūrā un TPM samazina iespējamību, ka kāds sākotnēji varētu manipulēt ar sistēmu.

Šajā sakarā ieteicams apvienot sāknēšanas vadīklas ar citiem aizsardzības slāņiem: diska šifrēšanu, izmantojot BitLockerNoteikšanas un reaģēšanas sistēmas (EDR/XDR), programmaparatūras un konfigurācijas izmaiņu uzraudzība, kā arī regulāras Windows un aparatūras drošības politikas pārskatīšana. Tas viss palīdz nodrošināt, ka viena kļūme vienā slānī neapdraud visu sistēmu.

Uzņēmumi, kas specializējas kiberdrošībā un ielaušanās testēšanā, var sniegt pievienoto vērtību, veicot zābaku ķēdes novērtējumiTas ietver uzbrukumu simulāciju pret programmaparatūru, UEFI un pašu drošo sāknēšanu, kā arī pārbaudi, vai aizsardzības mehānismi darbojas, kā paredzēts. Šajos pētījumos parasti ir iekļauti arī ieteikumi atjauninājumu automatizēšanai un organizēšanai.

Organizācijās ar ļoti izkliedētu infrastruktūru, kas paļaujas uz mākoņpakalpojumiem, piemēram, Azure vai AWS Izplatīšanas kanālu iestatīšana un centralizēta atjauninājumu pārvaldība var vienkāršot ielāpu, sertifikātu un programmaparatūras kontroli. Turklāt informācijas paneļu izmantošana pakalpojumā Power BI un telemetrijas analītikā palīdz noteikt prioritātes ierīcēm, kurām nepieciešama steidzama uzmanība.

Instrumentu izmantošana mākslīgais intelekts un anomāliju atklāšana Arvien biežāk sastopamas sistēmas, kas koncentrējas uz sāknēšanas notikumiem un programmaparatūras darbību. Šīs sistēmas var atklāt neparastus drošās sāknēšanas žurnālos esošos modeļus, anomālu atkārtotu palaišanu vai UEFI konfigurācijas izmaiņas, kas varētu liecināt par uzbrukuma mēģinājumu vai nepareizu konfigurāciju.

Operacionālā līmenī daži pamata ieteikumi ietver: regulāru Windows atjauninājumu un drošības statusu pārbaudi Windows drošības centrā, oficiālas programmaparatūras pieprasīšanu no ražotājiem iekārtām, kas netiek atjauninātas automātiski, atjauninājumu testēšanu laboratorijās pirms masveida ieviešanas un uzturēšanu atjauninātas inventāra un ielāpu pārvaldības sistēmas labi konfigurēts.

Apvienojot šīs prakses ar pareizu drošās sāknēšanas sertifikātu atjaunošanu, tiek uzturēta spēcīga drošības situācija, samazinot riska periodus un atvieglojot turpmākas revīzijas gan iekšēji, gan ārēji.

Īsāk sakot, drošās sāknēšanas sertifikātu termiņa beigas 2026. gada jūnijā liek pārskatīt, kā mūsu sistēmas tiek konfigurētas un atjauninātas gan mājās, gan lielās organizācijās: lai nodrošinātu, ka Drošā sāknēšana ir aktīvaWindows UEFI CA 2023 klātbūtnes apstiprināšana no PowerShell, reģistra atslēgu un notikumu validēšana, koordinācija ar oriģinālā aprīkojuma ražotājiem (OEM) jaunākās programmaparatūras lietošanai un Intune, WSUS, SCCM vai MDM risinājumu iespēju izmantošana izvietošanas automatizēšanai rada atšķirību starp vidi, kas sāknēšanas laikā joprojām ir aizsargāta pret mūsdienu draudiem, un tādu, kas, lai gan šķietami normāla, uzkrāj klusus riskus, kurus no pirmā acu uzmetiena ir grūti atklāt.