Microsoft hoiatab kriitilise probleemi eest: 2011. aastal väljastatud Secure Boot sertifikaadid aeguvad 2026. aasta juunis. Ilma uuenduseta jäävad miljonid Windows 10 ja Windows 11 seadmed bootkitide rünnakutele haavatavaks. Räägime, kuidas muudatusteks valmistuda ja oma süsteemi kaitsta.
G. Ostrov
Microsoft on avaldanud olulise hoiatuse kasutajatele ja organisatsioonidele: 2011. aastal väljastatud Secure Boot mehhanismi sertifikaadid aeguvad 2026. aasta juunis. See olukord võib tõsiselt mõjutada miljonite seadmete turvalisust üle maailma.
Mis on Secure Boot ja miks see on oluline
Secure Boot on kriitilise tähtsusega turvaohanism, mille Microsoft tutvustas 2012. aastal koos Windows 8-ga. Selle põhifunktsioon on kontrollida, et arvuti kasutab ainult kontrollitud püsivara ja usaldusväärset bootloader'it operatsioonisüsteemi käivitamisel.
Ilma Secure Boot'ita ei saa Windows 11 ametlikult installeerida, kuna see on üks süsteemi kohustuslikest nõuetest. Mehhanism kaitseb arvutit kõige varasemas käivitusfaasis, takistades pahavara käivitamist enne operatsioonisüsteemi laadimist.
Probleemi ulatus
Sertifikaatide aegumine mõjutab laia valikut seadmeid:
- Füüsilised ja virtuaalmasinad Windows 10-ga
- Seadmed Windows 11-ga
- Windows Server 2025, 2022, 2019, 2016, 2012 ja 2012 R2 serverid
Erandiks on ainult 2025. aastal väljastatud Copilot+ arvutid — need on juba varustatud ajakohaste sertifikaatidega.
Turvaohud
Ilma uuendatud sertifikaatideta ei saa Windows boot manager ja Secure Boot komponendid kriitiliselt olulisi turvaparandusi. See loob tõsise haavatavuse bootkitide rünnakuteks, nagu BlackLotus.
Bootkitid on eriti ohtlikud, kuna:
- Need käivituvad enne operatsioonisüsteemi laadimist
- Neid on äärmiselt raske tuvastada tavapärase viirusetõrje tarkvaraga
- Need saavad täieliku kontrolli süsteemi üle juba käivituse alguses
Microsofti soovitused
Ettevõte soovitab tungivalt kasutajatel ja organisatsioonidel:
- Uuendada 2023. aasta sertifikaatidele: Uued sertifikaadid on saadaval igakuiste kumulatiivsete uuenduste kaudu
- Registreerida Windows 10 seadmed: Laiendatud turvaüuenduste programmi (tavakasutajatele tasuta)
- Valmistuda uuenduste jaoks: Veenduda, et seadmed on internetiga ühendatud uuenduste saamiseks
Erijuhtumid
Internetist ja kohalvõrkudest füüsiliselt isoleeritud seadmete jaoks pakub Microsoft piiratud tuge. Selliste süsteemide omanikud peaksid pöörduma ettevõtte tugiteenuse poole individuaalsete soovituste saamiseks.
Samuti lubab Microsoft anda vajalikud sertifikaadid Linux süsteemidele, mis toetavad Windows'iga topeltlaadimist.
Kuidas kontrollida Secure Boot seisundit
Et teada saada, kas teie süsteemis on turvaline käivitus sisse lülitatud:
- Vajutage Win + R
- Sisestage käsk
msinfo32 - Leidke punkt "Turvalise käivituse seisund"
Seos hiljutiste haavatavustega
Sertifikaatide aegumise probleem omandab erilist aktuaalsust hiljuti avastatud Secure Boot mehhanismi haavatavuste taustal. Uurijad tuvastasid kriitilise probleemi (CVE-2025-3052), mis võimaldas ründajatel kaitset välja lülitada ja käivitada pahavara enne operatsioonisüsteemi laadimist.
Kokkuvõte
Secure Boot sertifikaatide aegumine on tõsine probleem, mis nõuab kõigi Windows kasutajate tähelepanu. Sertifikaatide õigeaegne uuendamine aitab säilitada süsteemi kõrge turvataseme ja kaitsta seadmeid kaasaegsete ohtude eest.
Probleemi kohta saab rohkem teada algses artiklis Habr'is.
Probleemide korral kirjutage meile, aitame kiiresti ja kvaliteetselt!