Microsoft Secure Boot Zertifikatsübergang (2023 CA) und BlackLotus-Minderung

Getac verpflichtet sich, widerstandsfähige Sicherheitslösungen für unsere robusten Computersysteme bereitzustellen. Diese Mitteilung skizziert unsere proaktive Strategie für den Übergang zur Microsoft Secure Boot-Zertifizierungsstelle (CA) 2023, um Systemintegrität, Compliance und kontinuierlichen Schutz vor sich entwickelnden Bedrohungen auf Boot-Ebene zu gewährleisten.

Wichtigkeit:

Microsoft verlangt den Abschluss des Microsoft Secure Boot Zertifikatsübergangs (2023 CA) vor Juni 2026. Das Versäumnis dieser Umstellung verhindert zwar nicht das Booten, jedoch können keine DBX-Updates empfangen werden, wodurch das System anfällig für widerrufene Binärdateien bleibt.

Bitte beachten Sie außerdem, dass von Getac vertriebene Software, mit oder ohne Getac-Markennamen (einschließlich, aber nicht beschränkt auf Systemsoftware), nicht durch die Garantie von Getac abgedeckt ist. Getac übernimmt keine Verantwortung für Ansprüche, Schäden, Kosten oder Ausgaben, die aus der Missachtung der Anweisungen im Zusammenhang mit dem Microsoft-Sicherheitsupdate entstehen.

1. Hintergrund und die Ursache: CVE-2023-24932

Der Übergang zur Secure Boot CA 2023 ist entscheidend für die langfristige Systemintegrität. Angetrieben durch das Ablaufdatum der KEK CA von 2011 im Juni 2026 und die Notwendigkeit, die BlackLotus UEFI Bootkit-Sicherheitslücke (CVE-2023-24932) zu beheben, stellt diese Maßnahme sicher, dass Geräte weiterhin den Microsoft-Sicherheitsstandards entsprechen und die Fähigkeit behalten, DBX-Updates nach 2026 zu erhalten.

2. Getacs Planung für die Bereitstellung der 2023 CA

Getac implementiert die neuen 2023 CA-Zertifikate in unserem Produktportfolio in zwei Phasen: Standardmäßig im BIOS für neue Plattformen und über Windows Update für bereits auf dem Markt befindliche Geräte.

Phase A: Neue Plattformen mit Windows 11 Pro (2023 CA standardmäßig im BIOS)

Projekte, die auf den folgenden Plattformen entwickelt wurden oder werden, haben die 2023 CA als Standardeinstellung im Werks-BIOS eingebettet:

Phase B: Bereits auf dem Markt befindliche Plattformen mit Windows 11 Pro (Windows Update)

Frühere Plattformen, die bereits auf dem Markt sind, erhalten das 2023 CA-Update über die Standard-Windows-Update-Mechanismen.

Technische Grundlage: Unter Nutzung der Microsoft-Richtlinien (Windows Secure Boot Key Creation and Management Guidance) werden Geräte, die sich bereits auf dem Markt befinden, die neue 2023 KEK CA über die Standard-Windows-Updates erhalten, um weiterhin wichtige DB/DBX-Updates nach 2026 erhalten zu können.

3. Erforderliche Maßnahmen & nicht unterstützte Plattformen

⚠️ Sicherheits- und Betriebshinweise

Obwohl die meisten Plattformen unterstützt werden, gilt: Um langfristige Systemsicherheit und Boot-Integrität zu gewährleisten, können Systeme, die das Zertifikatsupdate nicht rechtzeitig abschließen, nach 2026 keine DBX-Updates mehr erhalten.

• Wir empfehlen unseren Kunden dringend, die folgenden Maßnahmen zu ergreifen:

• BIOS aktualisieren: Halten Sie das BIOS Ihrer Plattform auf dem neuesten Stand, der von Getac bereitgestellt wird.

• Windows Update aktivieren: Stellen Sie sicher, dass Windows Update aktiviert und funktionsfähig ist, um die erforderlichen Zertifikatsupdates direkt von Microsoft zu erhalten.

• Secure Boot nicht zurücksetzen: Vermeiden Sie es vorsorglich, das BIOS auf die Standardeinstellungen zurückzusetzen oder Secure Boot zu deaktivieren.

• Verwaltung, Fehlerbehebung und Überprüfung: Überprüfen Sie, ob die DB erfolgreich über Microsoft-Support aktualisiert wurde:  How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932 - Microsoft Support

Wichtiger Hinweis zu Legacy- und Windows 10-Plattformen

• Windows 10-Geräte: Da Windows 10 sich dem Ende des Supports nähert, empfehlen wir dringend ein Upgrade auf Windows 11, um weiterhin Sicherheitsupdates zu erhalten.

• Nicht abgedeckte Plattformen: Geräte, die nicht durch den oben genannten Plan abgedeckt sind, müssen auf Windows 11 umsteigen oder am neuen Consumer-ESU-Programm (Extended Security Updates) teilnehmen, um die Sicherheitswartung eigenständig zu verwalten, da Windows 10 offiziell das Ende des Supports erreicht hat.

Disclaimer:
Getac Disclaimer: All content and other information mentioned in this statement or offered arising from the issue described herein are provided on an "as is" basis. Getac hereby expressly disclaims any warranties of any kind, express or implied, including without limitation warranties of merchantability, fitness for any particular purpose, non-infringement of intellectual property. All products, information, and figures specified are preliminary based on current expectations, and Getac reserves the right to change or update any content thereof at any time without prior notice. Getac assessments have been estimated or simulated using Getac internal analysis or architecture simulation or modeling and may not represent the actual risk to the users' local installation and individual environment. Users are recommended to determine the applicability of this statement to their specified environments and take appropriate actions. The use of this statement, and all consequences of such use, is solely at the user's own responsibility, risk, and expense thereof. In no event shall Getac or any of its affiliates be liable for any and all claims, damages, costs or expenses, including without limitation, loss of profits, loss of data, loss of business expectancy, compensatory, direct, indirect, consequential, punitive, special, or incidental damages or business interruption arising out of or in connection with related to the information contained herein or actions that the user decides to take based thereon. Getac reserves the right to interpret this disclaimer and update this disclaimer whenever necessary.