До истечения срока действия оригинального сертификата Microsoft Secure Boot KEK 24 июня 2026 года осталось всего несколько дней. В Windows 11 теперь отображается статус сертификата в приложении «Безопасность Windows» с чёткими предупреждениями.
4 июня Microsoft провела вторую сессию вопросов и ответов в прямом эфире, чтобы ответить на многочисленные вопросы, поступающие от IT-администраторов и корпоративных клиентов. В состав участников вошли Арден Уайт (ведущий инженер по безопасности, Windows Servicing and Delivery), Кевин Салливан (экосистема Windows и коммерческое взаимодействие), Ричард Пауэлл (инженерная группа), Скотт Шелл (корпоративные вопросы и безопасность, архитектура и проектирование безопасной загрузки) и Джейсон Сэндис из группы продуктов Intune.
Самый насущный вопрос заключался в том, является ли 24 июня жёстким крайним сроком, после которого метод ручного развёртывания на основе реестра перестает работать. Шелл ответил, что нет. По его словам, 24 июня относится конкретно к истечению срока действия ключа KEK, а ключ базы данных, который является отдельным сертификатом, истекает только в октябре. Все уже подписанные пакеты обновлений — обновление базы данных, ключ реестра и механизм запланированных задач — будут продолжать работать точно так же, как и до этой даты. «Нет конечной даты, когда ключ реестра и обновление перестанут работать», — подтвердил Шелл.
Что изменится после 24 июня, так это возможность Microsoft подписывать новые пакеты DBX, которые представляют собой обновления отзыва, блокирующие скомпрометированные или вредоносные загрузчики. Если на устройстве не установлен новый KEK, оно может пропустить некоторые из этих будущих обновлений отзыва, а это означает, что устройство будет становиться менее безопасным со временем.
Ключ базы данных истекает только в октябре, поэтому Microsoft ожидает, что за это время подпишет этим ключом ещё несколько менеджеров загрузки. Так, июньское обновление повысит уровень безопасности подавляющего большинства распространённых устройств.
Одним из наиболее обнадеживающих моментов сессии стало то, что обновление Patch Tuesday в июне повлияет на покрытие устройств. Команда подтвердила, что после него подавляющее большинство систем, для которых у Microsoft есть диагностические данные, будут классифицированы как имеющие высокую степень достоверности.
Салливан добавил, что, когда Microsoft говорит о группах устройств, это не просто группировка по производителю и названию модели, а оценка достоверности зависит от версии и даты прошивки. Рекомендуемый способ узнать точное состояние устройств — это отчёт мониторинга Intune, обновлённый в середине мая. Джейсон отметил, что он показывает, находится ли устройство в группе с высокой степенью достоверности, было ли уже применено обновление и какие устройства могут потребовать ручного вмешательства. Отчёт и сопутствующий сценарий исправления PowerShell доступны, и они фактически выполняют одну и ту же работу двумя разными путями.
Ряд корпоративных клиентов на сессии сообщил, что их устройства застряли в статусе «временно приостановлено». Команда объясняет это тем, что этот статус всегда указывает на необходимость обновления прошивки от производителя. Механизм заключается в том, что система развёртывания Microsoft иногда обнаруживает проблему совместимости на уровне прошивки, которая делает применение сертификатов рискованным на конкретном устройстве. Вместо того чтобы рисковать неудачным обновлением, система приостанавливает его. Ожидается, что производитель выпустит обновление прошивки, которое устранит основную проблему. После применения этого апдейта оно переходит в новый статус, поскольку версия прошивки изменилась, и новая комбинация получает свою собственную классификацию.
Шелл показал, как это отслеживать в реальном времени из Intune или CSV-файла GitHub. На главной странице aka.ms/GetSecureBoot есть список страниц поддержки OEM-производителей, где можно найти обновления прошивки для большинства крупных компаний. Стоит сначала проверить эти данные, прежде чем пытаться вручную изменить настройки приостановленного устройства.
Один из самых советов, прозвучавших на сессии, был адресован администраторам, которые откладывали ручное развёртывание. Команда призвала больше не ждать.
Если устройство находится в категории high confidence, то Intune обработает его автоматически. Для таких девайсов не требуется никаких действий со стороны администратора. Но для всех остальных (например, white box machines, менее распространённых конфигураций OEM, старых серверов или устройств, для которых у Microsoft ограниченные данные телеметрии), рекомендуется установить значение реестра или эквивалентную политику каталога настроек Intune, чтобы принудительно запустить процесс обновления.
Описанный командой рабочий процесс для сред, управляемых Intune, включает в себя получение отчёта мониторинга, выявление устройств, на которые ещё не было применено обновление, выбор одного репрезентативного устройства каждой модели или варианта прошивки, применение политики и ожидание подтверждения успешного завершения перед расширением развёртывания. Шелл посоветовал отдавать приоритет активным и доступным устройствам, избегать выбора машин, принадлежащих удалённым сотрудникам, с которыми трудно связаться, и не выбирать устройства, которые могут быть выключены в течение недели без получения телеметрических данных.
Ранее Microsoft предупредила, что добавит новые сертификаты в прошивку устройств, обновит загрузчик системы и постепенно откажется от доверия к старым ключам. В компании уточняют, что новая папка Secure Boot в Windows 11 — это не ошибка, а часть обновления. Она используется системой для хранения криптографических файлов перед их записью в прошивку, и удалять её не требуется.
ссылка на оригинал статьи https://habr.com/ru/articles/1045736/