出典:Wachiwit via Alamy Stock Photo
Windows用の元のUnified Extensible Firmware Interface(UEFI)Secure Boot証明書は6月下旬から有効期限切れになります。マイクロソフトはIT担当者とセキュリティリーダーに対し、2024年以前に製造されたすべてのWindows PCに更新された証明書を適用して、セキュリティ更新プログラムを継続して受け取ることができるようにするよう促しています。
マイクロソフトはほぼ15年前にSecure BootをWindowsに追加しました。Unified Extensible Firmware Interface(UEFI)の機能として、Windowsが起動する前にPCを開始するソフトウェアです。Secure Bootは、オペレーティングシステムローダー、デバイスドライバー、ブートサーバーなど、適切に署名され承認されたファームウェアのみが起動時に読み込まれることを確認します。コンピューターのハードウェアベースの信頼の根源として機能するため、マイクロソフトはこれをWindowsオペレーティングシステムの「基礎的な信頼アンカー」と呼んでいます。
UEFI Bootkit(BlackLotus、FinSpy、MoonBounceなど、高度な権限を持つマルウェアの一種)からさらに保護するために、Secure Bootはオペレーティングシステムブートローダーの前に読み込まれます。このプロセスにより、オペレーティングシステムが起動する前の起動時に悪意のあるソフトウェアが読み込まれるのを防ぎます。
「これは許可されたキーのデータベースに対してブートコンポーネントの暗号化署名を検証し、ブートの最初の段階からシステムの整合性を保護するために、認可されていないまたは改ざんされたソフトウェアをブロックします」と述べました。カリフォルニア州ランチョサンタマルガリータに拠点を置くRichard M. Hicks Consultingの会長Richard Hicksです。
さらに、Windows 10およびWindows 11用に設計されたすべてのPCにはSecure Bootサポートが含まれています。これらのデバイスは元々2011年のマイクロソフトSecure Boot証明書で提供され、過去2年間に製造された新しいものは2023年の更新された証明書を備えています。自動パッチングに設定された古いシステム(通常は個人所有またはスモールビジネスで使用されるもの)は、最も可能性が高く2023年の更新された証明書を使用しています。
しかし、エンタープライズ環境ではWindows更新プログラムは通常自動化されていません。代わりに、システムとアプリケーションの安定性を保つために段階的に適用されます。新しいSecure Boot 2023更新プログラムは大きな機能変更をもたらしませんが、マイクロソフトは新しい証明書が信頼の根源を改善し、タスクをより効率的に割り当てると述べています。
新しい証明書はまた暗号化ツールを使用してソフトウェアに署名し、より長く有効です。マイクロソフトによると、これにより証明機関(CA)セグメンテーションの改善が提供されます。これはマイクロソフトとPC製造業者がブートプロセスを継続して安全に更新および監視できるようにするために設計されました。
マイクロソフトのWindowsサービス配信チームのプログラムマネージャーであるNuno Costaは、最近Secure Boot更新プログラムをWindowsエコシステム全体で実行される最大規模の調整されたセキュリティメンテナンス活動の1つとして説明しました。「Secure Boot証明書の更新は、最新のPCが起動時に依存する信頼基盤の世代交代をマークしています」とCostaはブログ投稿で述べました。
期限を逃す
システムの保護を継続するために、マイクロソフトは6月24日の失効期限前にSecure Boot証明書の更新を優先することを推奨しています。PCは元の証明書を使用しても機能し続けますが、更新に失敗すればマイクロソフトが提供しなくなる重要なセキュリティ機能強化を失うことになります。
Hicksは、組織がすべてのエンドポイントのSecure Boot証明書を更新するために今すぐ行動すべきだと述べています。「マイクロソフトのUEFI Secure Boot証明書が失効すると、UEFIデータベース(DBおよびDBX)への更新が失敗するため、エンドポイントは将来の潜在的な脅威に対して脆弱になります」と彼は警告しています。
この移行を容易にするため、マイクロソフトは今月 新しいインジケーターをリリースし始めました。これはデバイスセキュリティの監視をサポートするためWindows セキュリティアプリにあります。このインジケーターはPCのSecure Boot証明書のステータスを表示します。Windowsでは、管理者アクセス権を持つユーザーはオペレーティングシステムがデバイスセキュリティ > Secure Bootの下で更新された証明書を持つかどうかを確認できます。マイクロソフトはまた来月に通知と指示を提供する機能を追加します。
Hicksはこれが特にコンシューマーとスモールビジネスユーザーに役立つと述べています。「これまでのところ、どのシステムが最新であり、どのシステムがそうでないかについて多くの混乱がありました」と彼は言います。「検証チェックにはレジストリキーの確認や、私のGet-UEFICertificate PowerShellスクリプトなどのツールを使用してSecure Boot証明書の更新を検証することが含まれていました。UIに明確で簡潔な視覚的手がかりを持つことで、更新ステータスに関するあいまいさが排除されます」。
また、Windows 10に対するメインストリームサポートは昨年の秋に終了しましたが、マイクロソフトの拡張セキュリティ更新(ESU)プログラム内のWindows 10デバイス(サポートされていないバージョンのセキュリティ更新を提供する有料サービス)は新しいSecure Boot証明書を取得します。これらの証明書はコンピューターが信頼できるソフトウェアのみを起動することを確保するのに役立ちます。ただし、ESUプログラムに含まれていないWindows 10 PCは自動的に証明書を取得しません。古い2011年の証明書が失効すると、これらのPCは徐々にSecure Bootを使用する能力を失います。
マイクロソフトは、CISOと管理者がSecure Boot 2011証明書失効への準備に関するプレイブックを直ちに参照し、徹底的なインベントリを実施し、デプロイメント手順を確認し、OEMファームウェアの前提条件を確認することを促しています。質問し、継続的なセキュリティを確保するために今すぐ対策を講じてください。
