Änderungen von Dokument Secure Boot Zertifikate

Zusammenfassung

• Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
• Anhänge (0 geändert, 0 hinzugefügt, 2 gelöscht)
  • SecureBootStatus_VMware_01.png
  • SecureBootStatus_VMware_02.png

Details

Seiteneigenschaften

Inhalt

...	...	@@ -1,16 +1,13 @@
1		-{{error}}
2		-**Die Seite befindet sich noch im Aufbau!**
	1	+= Austausch der Secure Boot Zertifikate =
3	3
4		-Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr.
5		-{{/error}}
6		-
7	7	Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
8	8	Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
9	9
10	10	Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
11	11
12		-= Was bedeutet dies für mich? =
13	13
	9	+== Was bedeutet dies für mich? ==
	10	+
14	14	Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
15	15
16	16	Die bedeutet, dass bis Juni:
...	...	@@ -20,30 +20,15 @@
20	20	* Der Windows Bootloader aktualisiert werden muss.
21	21	* Das neue Zertifikat im Bootloader aktiviert werden müssen.
22	22
23		-Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
24		-Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
25		-
26	26	Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
27	27
28		-= Technischer Ablauf =
29	29
30		-== Aktuellen Secure Boot Status abfragen ==
	23	+== Technischer Ablauf ==
31	31
32		-Ausführen des Powershell Skriptes "SecureBootStatus.ps1" auf der Virtuellen Maschine in einer Elevated Shell.
	25	+=== VMware vSphere ===
33	33
34		-Die Ausgabe auf einem Host (Windows Server 2022), bei dem die Zertifikate fehlen:
	27	+==== Key Exchange Key (KEK) ====
35	35
36		-[[image:SecureBootStatus_VMware_01.png||height="366" width="700"]]
37		-
38		-== VMware vSphere ==
39		-
40		-(% class="box infomessage" %)
41		-(((
42		-**Den Tausch des KEK und PK übernimmt, **in Abstimmung mit den Verantwortlichen der virtuellen Maschine,** das Rechenzentrum!**
43		-)))
44		-
45		-=== Key Exchange Key (KEK) ===
46		-
47	47	* Virtuelle Maschine herunterfahren
48	48	* Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
49	49	* Entfernen der zur VM gehörigen .vnram vom Datastore
...	...	@@ -52,7 +52,7 @@
52	52	* Aktualisieren der VMware Tools
53	53	* Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
54	54
55		-=== Platform Key (PK) ===
	37	+==== Platform Key ====
56	56
57	57	* Virtuelle Maschine Herunterfahren.
58	58	* Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
...	...	@@ -67,77 +67,18 @@
67	67	* Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
68	68	* Virtuelle Maschine starten.
69	69
70		-=== Kontrolle ===
	52	+==== Kontrolle ====
71	71
72	72	Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
73	73
74	74	* Active authorized database: Certificate OK!"
75		-* Default authorized database:  Certificate OK!"
76		-* Key exchange keys:  Certificate OK!"
77		-* Platform key:  Certificate OK!"
	57	+* Default authorized database:
	58	+* Key exchange keys:
	59	+* Platform key
78	78
79		-== Windows ==
80	80
81		-Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
82	82
83		-* UEFI CA2023 Update-Status: Not startet!
84		-* Bootloader-Status: Updates failed!
	63	+=== Windows ===
85	85
86		-Aktualisieren der Signaturen des Bootloaders:
87		-
88		-* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
89		-** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
90		-** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
91		-* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
92		-* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
93		-
94		-{{code language="none"}}
95		-Flag: F33E0C8E
96		- Current Configuration: F33E0C8E001
97		- State: Disabled
98		- Pending Configuration: None
99		- Pending Action: None
100		- FwLink: https://aka.ms/getsecureboot
101		- Available Configurations:
102		- F33E0C8E002
103		- F33E0C8E001
104		-{{/code}}
105		-
106		-* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
107		-* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
108		-* Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!**
109		-
110		-=== **Kontrolle** ===
111		-
112		-Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben:
113		-
114		-* Active authorized database: Certificate OK!"
115		-* Default authorized database:  Certificate OK!"
116		-* Key exchange keys:  Certificate OK!"
117		-* Platform key:  Certificate OK!"
118		-* UEFI CA2023 Update-Status: Updated!
119		-* Bootloader-Status: Updated!
120		-
121		-Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
122		-
123		-
124		-= Ressourcen =
125		-
126		-[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]]
127		-
128		-[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
129		-
130		-[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]]
131		-
132		-[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
133		-
134		-
135		-[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]]
136		-
137		-[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]]
138		-
139		-[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]]
140		-
141		-[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]]
142		-
143		-
	65	+* Signatur des Bootloader Kontrollieren: In der Powershell "WinCsFlags.exe /query ~-~-key F33E0C8E002"
	66	+*

SecureBootStatus_VMware_01.png

Author

...	...	@@ -1,1 +1,0 @@
1		-xwiki:XWiki.seifertt

Größe

...	...	@@ -1,1 +1,0 @@
1		-34.3 KB

Inhalt

SecureBootStatus_VMware_02.png

Author

...	...	@@ -1,1 +1,0 @@
1		-xwiki:XWiki.seifertt

Größe

...	...	@@ -1,1 +1,0 @@
1		-24.7 KB

Inhalt