Microsoft 安全启动证书过渡 (2023 CA) 与 BlackLotus 缓解措施
Getac 致力于为我们的强固型计算解决方案提供强大的安全保障。本公告概述了我们过渡到 Microsoft 2023 安全启动证书授权链 (CA) 的主动策略,以确保系统完整性、合规性以及持续防御不断演变的启动级别威胁。
重要性:
Microsoft 要求在 2026 年 6 月之前完成 Microsoft 安全启动证书过渡 (2023 CA)。未完成此过渡不会阻止系统启动,但将无法接收 DBX 更新,因此未来可能会受到已撤销的二进制文件的威胁。
此外,请注意,由 Getac 分发的软件(无论是否带有 Getac 品牌名称,包括但不限于系统软件)不在 Getac 的保修范围内。对于因未遵循与 Microsoft 安全更新相关的指示而引起的任何索赔、损害、费用或开支,Getac 概不负责。
1. 背景与根本原因:CVE-2023-24932
过渡到 2023 年的安全启动证书 (Secure Boot CA) 对于维持长期系统完整性至关重要。此行动由 2011 年 KEK 证书授权 (CA) 将于 2026 年 6 月到期,以及需要缓解 BlackLotus UEFI Bootkit 漏洞 (CVE-2023-24932) 所驱动,确保设备持续符合 Microsoft 的安全标准,并在 2026 年后仍能接收 DBX 更新。
2. Getac 对 2023 CA 部署的规划
Getac 正通过两个阶段在我们的产品组合中实施新的 2023 CA 证书:新平台的 BIOS 默认设置,以及通过 Windows Update 为市场上的设备提供更新。
阶段 A:搭载 Windows 11 Pro 的新平台(BIOS 中默认 2023 CA)
在以下平台上开发的项目及之后的项目,将在出厂 BIOS 中默认嵌入 2023 CA:
| 平台名称 | 受影响的项目(示例) | 状态 |
| Raptor Lake | F110G7, K120G3, UX10G4(尚未推出) | BIOS 默认 |
| Meteor Lake | S510 | BIOS 默认 |
| Lunar Lake | B360G3 Plus, F120, UX10G5 | BIOS 默认 |
| Arrow Lake | B360G3, S510 ARL, UX10G5 ARL, V120 | BIOS 默认 |
阶段 B:市场上已有的 Windows 11 Pro 平台(Windows Update)
已在市场上的早期平台将通过标准的 Windows Update 机制接收 2023 CA 更新。
| 平台名称 | 受影响的项目(示例) | 更新机制 |
| Comet Lake | A140G2, V110G6, B360, UX10G2, S410G4 | Windows 11 更新 |
| Tiger Lake | F110G6, K120G2, S410G4, X600 | Windows 11 更新 |
| Alder Lake | B360G2, UX10G3, V110G7 | Windows 11 更新 |
| Raptor Lake | S410G5, B360G2 RPL(项目基础) | Windows 11 更新 |
技术基础:根据 Microsoft 指导方针(Windows Secure Boot Key Creation and Management Guidance),市场上的设备将通过标准的 Windows Update 机制接收新的 2023 KEK CA,以维持 2026 年后的重要 DB/DBX 更新。
3. 必要行动与不适用平台
⚠️ 安全与操作建议
虽然大多数平台已覆盖,但为确保长期系统安全性与启动完整性:未能及时完成证书更新的系统将无法在 2026 年后接收 DBX 更新。
我们强烈建议客户采取以下行动:
- 更新 BIOS: 将您的平台 BIOS 更新至 Getac 提供的最新版本。
- 启用 Windows Update: 确保 Windows Update 已启用并正常运行,以直接从 Microsoft 接收必要的证书更新。
- 避免重置 Secure Boot: 作为预防措施,避免将 BIOS 重置为默认设置或禁用 Secure Boot。
- 管理、排查故障并验证: 通过 Microsoft 支持检查 DB 是否已成功更新:How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932 - Microsoft Support
关于旧版与 Windows 10 平台的重要说明
- Windows 10 设备: 随着 Windows 10 接近服务终止,我们强烈建议升级至 Windows 11,以确保持续的安全性覆盖。
- 不适用平台: 未涵盖在上述计划中的设备必须升级至 Windows 11,或注册新的消费者延长安全更新 (ESU) 计划,以自行管理安全维护,因为 Windows 10 已正式结束服务。
Disclaimer:
Getac Disclaimer: All content and other information mentioned in this statement or offered arising from the issue described herein are provided on an "as is" basis. Getac hereby expressly disclaims any warranties of any kind, express or implied, including without limitation warranties of merchantability, fitness for any particular purpose, non-infringement of intellectual property. All products, information, and figures specified are preliminary based on current expectations, and Getac reserves the right to change or update any content thereof at any time without prior notice. Getac assessments have been estimated or simulated using Getac internal analysis or architecture simulation or modeling and may not represent the actual risk to the users' local installation and individual environment. Users are recommended to determine the applicability of this statement to their specified environments and take appropriate actions. The use of this statement, and all consequences of such use, is solely at the user's own responsibility, risk, and expense thereof. In no event shall Getac or any of its affiliates be liable for any and all claims, damages, costs or expenses, including without limitation, loss of profits, loss of data, loss of business expectancy, compensatory, direct, indirect, consequential, punitive, special, or incidental damages or business interruption arising out of or in connection with related to the information contained herein or actions that the user decides to take based thereon. Getac reserves the right to interpret this disclaimer and update this disclaimer whenever necessary.
