تخفيف انتهاء صلاحية شهادة التمهيد الآمن ل Microsoft
المقدمة
يوضح هذا المستند كيفية تخفيف الانتهاء القادم لشهادات التشغيل الآمن فيما يتعلق ببيئات Cisco UCS.
معلومات أساسية
التمهيد الآمن هي ميزة أمان أساسية مدمجة في واجهة البرامج الثابتة الموحدة القابلة للامتداد (UEFI) للخوادم وأجهزة الكمبيوتر الشخصية الحديثة. وينشئ سلسلة من الثقة خلال عملية التمهيد من خلال ضمان عدم السماح بتنفيذ إلا البرامج التي تم توقيعها رقميا والتحقق منها - أجهزة تحميل التمهيد، وحلب نظام التشغيل، وبرامج تشغيل UEFI. تحمي هذه الآلية الأنظمة من مجموعات معدات تمهيد التشغيل ومجموعات معدات الطعام وغيرها من تهديدات البرامج الضارة منخفضة المستوى.
في صميم "التمهيد الآمن" توجد مجموعة من شهادات التشفير الصادرة عن Microsoft. ويتم تضمين هذه الشهادات في البرنامج الثابت UEFI الخاص بكل خادم وجهاز كمبيوتر تم شحنه فعليا خلال العقد الماضي، بما في ذلك خوادم Cisco UCS (نظام الحوسبة الموحدة). فهي تخدم كمراكز ثقة تثبت شرعية أي جزء من برنامج وقت التمهيد.
كشفت Microsoft الآن عن أنه من المقرر انتهاء صلاحية شهادتي تمهيد التشغيل المؤمنتين الحاسمتين - Microsoft Windows Production PCA 2011 وMicrosoft UEFI CA 2011 - في 19 أكتوبر 2026. يؤثر انتهاء الصلاحية هذا على النظام البيئي للأجهزة بالكامل، وقد اعترفت Cisco بالتأثير على مجموعة خوادم UCS الخاصة بها ضمن معرف تصحيح الأخطاء من Cisco CSCwr45526
المشكلة
ما هي الشهادات التي تنتهي صلاحيتها؟
الشهادتان في مركز هذا إصدار:
| شهادة | دور | تاريخ انتهاء الصلاحية |
|---|---|---|
| Microsoft Windows Production PCA 2011 | توقيع أدوات تحميل التمهيد ل Microsoft Windows والتحقق من صحتها | 19 أكتوبر، 2026 م |
| Microsoft UEFI CA 2011 | الإشارة إلى برامج تشغيل UEFI من إنتاج جهة خارجية ووحدات ذاكرة القراءة فقط (ROM) الاختيارية ووحدات تحميل التمهيد غير التابعة لنظام Windows والتحقق من صحتها | 19 أكتوبر، 2026 م |
يتم تخزين هذه الشهادات في مخازن مفاتيح التمهيد الآمن للبرنامج الثابت UEFI:
- DB (قاعدة بيانات التوقيع) — يحتوي على شهادات موثوق بها تستخدم للتحقق من ثنائيات وقت التمهيد.
- KEK (مفتاح تبادل المفاتيح) — يأذن بتحديث قاعدة بيانات التوقيع.
- PK (مفتاح النظام الأساسي) — جذر الثقة، والذي عادة ما يكون مملوكا من قبل OEM (على سبيل المثال، Cisco).
لماذا تمثل هذه مشكلة لخوادم Cisco UCS؟
خوادم Cisco UCS — بما في ذلك الأنظمة الأساسية من الفئة B (الخوادم النصلية) والفئة C (المركبة على حامل) والفئة X (القابلة لإضافة وحدات أخرى) — يتم شحنها مع هذه الشهادات من Microsoft 2011 التي تم تحميلها مسبقا في البرامج الثابتة UEFI BIOS الخاصة بها. عند تمكين ميزة "التمهيد الآمن"، يستخدم BIOS هذه الشهادات في كل دورة تمهيد للتحقق من:
-
أداة تحميل التمهيد ل Windows Server (على سبيل المثال،
bootmgfw.efi) - موقعة من قبل PCA 2011 الخاص بإنتاج Windows. -
مكونات UEFI التابعة لجهات خارجية مثل:
- ROMs الخاصة بخيار Cisco VIC (بطاقة الواجهة الظاهرية)
- برامج تشغيل UEFI لوحدة تحكم التخزين (RAID)
- سماعات بدء تشغيل PXE لمهايئ الشبكة
- أي برنامج ثابت آخر من أجهزة PCIe يتم تحميله أثناء نشر مادة النشر
ويتم توقيع هذه الاتفاقيات عادة من قبل Microsoft UEFI CA 2011.
ماذا يحدث إذا لم يتخذ أي إجراء؟
بمجرد انتهاء صلاحية الشهادات، تكون سيناريوهات الفشل هذه ممكنة على خوادم Cisco UCS:
-
فشل Windows Server في التمهيد — يتعذر على البرامج الثابتة UEFI التحقق من صحة bootloader في Windows، مما يتسبب في قيام "التمهيد الآمن" بحظر تحميل نظام التشغيل. يؤثر ذلك على Windows Server 2016 و 2019 و 2022 و 2025.
-
تم رفض برامج تشغيل UEFI ورسائل ROM الاختيارية — قد تفشل مكونات الأجهزة التي تعتمد على برامج تشغيل UEFI الموقعة مع شهادة انتهاء الصلاحية في التهيئة أثناء الاختبار الذاتي. وقد يؤدي ذلك إلى فقدان إمكانية الوصول إلى وحدات تخزين RAID أو اتصال الشبكة أثناء تشغيل PXE أو وظائف الأجهزة الهامة الأخرى.
-
الأنظمة في حالة غير آمنة — يمكن إغراء المسؤولين لتعطيل التشغيل الآمن كحل بديل، مما يؤدي إلى التخلص من طبقة حساسة من الأمان على مستوى البرامج الثابتة ويمكن أن ينتهك سياسات التوافق التنظيمية (على سبيل المثال، NIST و PCI-DSS و HIPAA).
-
اضطراب تشغيلي واسع النطاق — في بيئات المؤسسات التي يوجد بها المئات أو الآلاف من خوادم UCS، قد يؤدي حدث فشل التمهيد المنسق إلى توقف كبير عن العمل في مراكز البيانات بالكامل.
قامت Cisco بتعقب هذه المشكلة رسميا تحت Cisco Bug ID CSCwr45526 
. ويعترف هذا الخلل بما يلي:
- يحتوي البرنامج الثابت UCS Server BIOS على شهادات التمهيد الآمن ل Microsoft 2011 التي انتهت صلاحيتها.
- يلزم تحديث نظام الإدخال والإخراج الأساسي (BIOS) لتقديم شهادات الاستبدال (شهادات Microsoft 2023) في مخازن المفاتيح الخاصة بالوحدات الأصلية (UEFI).
- دون إصلاح، تكون خوادم UCS التي تم تمكين "التمهيد الآمن" بها عرضة لفشل التمهيد بعد انتهاء الصلاحية.
الحل
وتتطلب معالجة هذه المشكلة نهجا منسقا ذا شقين — تحديث كل من البرنامج الثابت Cisco UCS (BIOS) و نظام التشغيل Microsoft Windows. ولا يكفي التحديث وحده؛ ولابد من تحديث كلا جانبي سلسلة الثقة في التمهيد الآمن.
1. تطبيق تحديثات Cisco UCS BIOS/البرامج الثابتة
برنامج ثابت محدث لنظام الإدخال والإخراج الأساسي (BIOS) للأنظمة الأساسية UCS المتأثرة التي تتضمن شهادات التمهيد الآمن الجديدة من Microsoft:
| شهادة جديدة | تستعاض |
|---|---|
| Microsoft Windows UEFI CA 2023 | Microsoft Windows Production PCA 2011 |
| Microsoft UEFI CA 2023 | Microsoft UEFI CA 2011 |
خطوات الإجراء:
- مدرب cisco بق id CSCwr45526 في أداة البحث عن الأخطاء من Cisco الخاصة بإصدارات البرامج الثابتة الثابتة والجداول الزمنية للإصدار.
- قم بتنزيل ونشر نظام الإدخال والإخراج الأساسي (BIOS) المحدث عند توفره ضمن النظام الأساسي UCS الخاص بك (B-Series و C-Series و X-Series).
- إستخدام أدوات الإدارة من Cisco للنشر:
- Cisco Intersight — للبيئات المدارة عبر السحابة، أستخدم سياسات إدارة البرامج الثابتة Intersight لتنسيق التحديثات على نطاق واسع.
- مدير Cisco UCS (UCSM) — للخوادم من السلسلة B و C المدارة بالمجال.
- Cisco IMC (وحدة التحكم في الإدارة المتكاملة) — للخوادم المستقلة من الفئة C المثبتة على حامل.
2. تطبيق تحديثات Microsoft Windows
تقوم Microsoft بإجراء تحديثات لشهادات التشغيل الآمن من خلال Windows Update بطريقة تدريجية:
| طور | الوصف | خط زمني |
|---|---|---|
| المرحلة 1 - التحضير | تتم إضافة شهادات جديدة لعام 2023 إلى قاعدة بيانات التمهيد الآمن. تبقى شهادات 2011 القديمة موثوق بها. توجد الشهادات القديمة والجديدة معا. | متوفرة الآن |
| المرحلة 2 - الانتقال | يتم نشر مديري تمهيد جدد موقعة بشهادات 2023. وتبدأ الأنظمة في إستخدام سلسلة جديدة من الثقة. | بدء التنفيذ التدريجي (2025-2026) |
| المرحلة 3 - الإنفاذ | تتم إضافة شهادات 2011 القديمة إلى DBX (قاعدة بيانات التوقيع المحظور)، مما يؤدي إلى إبطالها فعليا. الشهادات الجديدة فقط هي المضمونة. | بعد انتهاء الصلاحية |
خطوات الإجراء:
- تأكد من تثبيت أحدث التحديثات التراكمية على جميع خوادم UCS التي تشغل Windows Server.
- قم بإيلاء اهتمام خاص للتحديثات الآمنة المرتبطة بالتمهيد في ملاحظات إصدار Microsoft.
- لا تتخطى تحديثات المرحلة 1 والمرحلة 2 — فهي متطلبات أساسية للانتقال السلس.
3. التحقق من صحة البيئة
بعد تطبيق كل من تحديثات البرنامج الثابت ونظام التشغيل، تحقق من حالة التشغيل الآمن على كل خادم:
من Windows PowerShell:
# Confirm Secure Boot is active
Confirm-SecureBootUEFI
# Review Secure Boot certificate details
Get-SecureBootUEFI -Name db | Format-List
من Cisco IMC/Intersight:
- تحقق من أن إصدار BIOS يعكس البرنامج الثابت المحدث.
- تأكد أن التشغيل الآمن ما يزال ممكنا في نهج BIOS.
4 - الجدول الزمني الموصى به للإصلاح
| إطار زمني | الإجراء | أولوية |
|---|---|---|
| الآن - الربع الثاني 2026 | قم بجرد جميع خوادم UCS التي تم تمكين التمهيد الآمن لها. الاشتراك في التحديثات على معرف تصحيح الأخطاء من Cisco CSCwr45526 . |
عالي |
| الربع الثاني - الربع الثالث 2026 | إختبار البرنامج الثابت المحدث لنظام الإدخال والإخراج الأساسي (BIOS) في بيئة معملية/مرحلية. تطبيق تحديثات المرحلة الأولى والمرحلة الثانية من Windows. | عالي |
| الربع الثالث 2026 | ابدأ نشر تحديثات BIOS وتحديثات Windows عبر مجموعة UCS. | عالي |
| قبل 19 أكتوبر 2026 | إكمال كافة التحديثات. التحقق من حالة التمهيد الآمن عبر جميع الخوادم. | حرج |
| بعد انتهاء الصلاحية | المراقبة لتنفيذ المرحلة الثالثة. تأكد من عدم فقد أي أنظمة. | الوسيطة |
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
08-Apr-2026
|
الإصدار الأولي |
التعليقات