Microsoft 安全開機憑證過渡 (2023 CA) 與 BlackLotus 緩解措施
Getac 致力於為我們的強固型運算解決方案提供強大的安全性。本公告概述了我們過渡到 Microsoft 2023 安全開機憑證授權鏈 (CA) 的主動策略,以確保系統完整性、合規性以及持續防禦不斷演變的啟動層級威脅。
重要性:
Microsoft 要求在 2026 年 6 月之前完成 Microsoft 安全開機憑證過渡 (2023 CA)。未完成此過渡不會阻止系統啟動,但將無法接收 DBX 更新,因此未來可能會受到已撤銷的二進位文件的威脅。
另請注意,由 Getac 發布具有或不具 Getac 品牌名稱之軟體(包括但不限於系統軟體)不在 Getac 保固範圍內。對於未遵循 Microsoft 安全性更新相關指示所產生之任何索賠、損害、成本或支出,Getac 概不負責。
1. 背景與根本原因:CVE-2023-24932
過渡到 2023 年的安全開機憑證 (Secure Boot CA) 對於維持長期系統完整性至關重要。因應 2011 年 KEK 憑證授權 (CA) 將於 2026 年 6 月到期,並為緩解 BlackLotus UEFI Bootkit 漏洞 (CVE-2023-24932) ,此措施可確保設備持續符合 Microsoft 的安全標準,並在 2026 年後仍能接收 DBX 更新。
2. Getac 對 2023 CA 部署的規劃
Getac 正透過兩個階段在我們的產品組合中實施新的 2023 CA 憑證:新平台的 BIOS 預設,以及透過 Windows Update 為市場上的設備提供更新。
階段 A:搭載 Windows 11 Pro 的新平台(BIOS 中預設 2023 CA)
在以下平台上開發的專案及之後的專案,將在出廠 BIOS 中預設嵌入 2023 CA:
平台名稱 | 受影響的專案(範例) | 狀態 |
Raptor Lake | F110G7, K120G3, UX10G4(尚未推出) | BIOS 預設 |
Meteor Lake | S510 | BIOS 預設 |
Lunar Lake | B360G3 Plus, F120, UX10G5 | BIOS 預設 |
Arrow Lake | B360G3, S510 ARL, UX10G5 ARL, V120 | BIOS 預設 |
階段 B:市場上已有的 Windows 11 Pro 平台(Windows Update)
已在市場上的早期平台將透過標準的 Windows Update 機制接收 2023 CA 更新。
平台名稱 | 受影響的專案(範例) | 更新機制 |
Comet Lake | A140G2, V110G6, B360, UX10G2, S410G4 | Windows 11 更新 |
Tiger Lake | F110G6, K120G2, S410G4, X600 | Windows 11 更新 |
Alder Lake | B360G2, UX10G3, V110G7 | Windows 11 更新 |
Raptor Lake | S410G5, B360G2 RPL(專案基礎) | Windows 11 更新 |
技術基礎:根據 Microsoft 指導方針(Windows Secure Boot Key Creation and Management Guidance),市場上的設備將透過標準的 Windows Update 機制接收新的 2023 KEK CA,以維持 2026 年後的重要 DB/DBX 更新。
3. 必要行動與不適用平台
⚠️ 安全與操作建議
雖然大多數平台已涵蓋,但為確保長期系統安全性與啟動完整性:未能及時完成憑證更新的系統將無法在 2026 年後接收 DBX 更新。
我們強烈建議客戶採取以下行動:
更新 BIOS: 將您的平台 BIOS 更新至 Getac 提供的最新版本。
啟用 Windows Update: 確保 Windows Update 已啟用並正常運作,以直接從 Microsoft 接收必要的憑證更新。
避免重置 Secure Boot: 作為預防措施,避免將 BIOS 重置為預設設定或停用 Secure Boot。
管理、排除故障並驗證: 通過 Microsoft 支援檢查 DB 是否已成功更新: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932 - Microsoft Support
關於舊版與 Windows 10 平台的重要說明
Windows 10 設備: 隨著 Windows 10 接近服務終止,我們強烈建議升級至 Windows 11,以確保持續的安全性覆蓋。
不適用平台: 未涵蓋在上述計劃中的設備必須升級至 Windows 11,或註冊新的消費者延長安全更新 (ESU) 計劃,以自行管理安全維護,因為 Windows 10 已正式結束服務。
Disclaimer:
Getac Disclaimer: All content and other information mentioned in this statement or offered arising from the issue described herein are provided on an "as is" basis. Getac hereby expressly disclaims any warranties of any kind, express or implied, including without limitation warranties of merchantability, fitness for any particular purpose, non-infringement of intellectual property. All products, information, and figures specified are preliminary based on current expectations, and Getac reserves the right to change or update any content thereof at any time without prior notice. Getac assessments have been estimated or simulated using Getac internal analysis or architecture simulation or modeling and may not represent the actual risk to the users' local installation and individual environment. Users are recommended to determine the applicability of this statement to their specified environments and take appropriate actions. The use of this statement, and all consequences of such use, is solely at the user's own responsibility, risk, and expense thereof. In no event shall Getac or any of its affiliates be liable for any and all claims, damages, costs or expenses, including without limitation, loss of profits, loss of data, loss of business expectancy, compensatory, direct, indirect, consequential, punitive, special, or incidental damages or business interruption arising out of or in connection with related to the information contained herein or actions that the user decides to take based thereon. Getac reserves the right to interpret this disclaimer and update this disclaimer whenever necessary.