Änderungen von Dokument Secure Boot Zertifikate

Zusammenfassung

• Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Inhalt

...	...	@@ -1,86 +1,6 @@
1		-Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
2		-Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
	1	+= Austausch der Secure Boot Zertifikate =
3	3
4		-Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
	3	+Die von Microsoft im Jahr 2011 erstellten Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
	4	+Auf Client Systemen sollten die neuen Zertifikate bereits über Windows Update installiert sein.
5	5
6		-
7		-= Was bedeutet dies für mich? =
8		-
9		-Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
10		-
11		-Die bedeutet, dass bis Juni:
12		-
13		-* Das virtuelle UEFI getauscht werden muss.
14		-* Die aktuellen Secure Boot Zertifikate im UEFI hinterlegt werden müssen.
15		-* Der Windows Bootloader aktualisiert werden muss.
16		-* Das neue Zertifikat im Bootloader aktiviert werden müssen.
17		-
18		-Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
19		-
20		-
21		-= Technischer Ablauf =
22		-
23		-== VMware vSphere ==
24		-
25		-=== Key Exchange Key (KEK) ===
26		-
27		-* Virtuelle Maschine herunterfahren
28		-* Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
29		-* Entfernen der zur VM gehörigen .vnram vom Datastore
30		-* Beim erneuten Start VM wird eine neue, aktuelle .vnram erstellt. Diese enthält die aktuellen Zertifikate.
31		-* Starten der VM
32		-* Aktualisieren der VMware Tools
33		-* Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
34		-
35		-=== Platform Key ===
36		-
37		-* Virtuelle Maschine Herunterfahren.
38		-* Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
39		-* Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
40		-* VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
41		-* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
42		-** Select the PK file from disk
43		-** Review
44		-** Commit changes and exit
45		-* Virtuelle Maschine herunterfahren.
46		-* Die hinzugefügte VHD wieder aushängen.
47		-* Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
48		-* Virtuelle Maschine starten.
49		-
50		-=== Kontrolle ===
51		-
52		-Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
53		-
54		-* Active authorized database: Certificate OK!"
55		-* Default authorized database:  Certificate OK!"
56		-* Key exchange keys:  Certificate OK!"
57		-* Platform key:  Certificate OK!"
58		-
59		-== Windows ==
60		-
61		-Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.
62		-
63		-* UEFI CA2023 Update-Status: Not startet!
64		-* Bootloader-Status: Updates failed!
65		-
66		-Aktualisieren der Signaturen des Bootloaders
67		-
68		-* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
69		-*
70		-
71		-{{code language="none"}}
72		-Flag: F33E0C8E
73		- Current Configuration: F33E0C8E001
74		- State: Disabled
75		- Pending Configuration: None
76		- Pending Action: None
77		- FwLink: https://aka.ms/getsecureboot
78		- Available Configurations:
79		- F33E0C8E002
80		- F33E0C8E001
81		-{{/code}}
82		-
83		-Aktualisieren der Signatur: In der Powershell WinCsFlags.exe /apply ~-~-key "F33E0C8E002"
84		-
85		-
86		-
	6	+Auf Server-Sys