微软为 Windows 推出新的安全启动证书颁发机构
2024 年 2 月,微软公布了与安全启动功能相关的重要更新,该功能最初随 Windows 8 的推出而启动。此次更新涉及实施 2023 年安全启动证书颁发机构 (CA),它将取代 2011 年建立的 CA。
更新意义
此次推出尤为重要,因为 2011 年旧证书将于 2026 年到期,自其诞生以来已有 15 年。更新从 2 月补丁星期二开始(具体为 Windows 11 的更新 KB5034765 和 Windows 10 的更新 KB5034763),确保系统配备最新的安全措施。
使用新的 PowerShell 脚本解决漏洞
为了配合此次发布,微软发布了一个用于更新 Windows 可启动媒体的 PowerShell 脚本。此脚本对于系统与新的 Windows UEFI CA 2023 证书的兼容性至关重要,尤其是考虑到 CVE-2023-24932 标识的 Black Lotus 安全启动漏洞。
了解证书颁发机构
证书颁发机构 (CA) 在维护关键系统组件(包括引导加载程序、驱动程序、固件和各种应用程序)的完整性和真实性方面发挥着至关重要的作用。新 CA 的引入标志着加强围绕这些元素的安全框架的重要一步。
有关 PowerShell 脚本的详细信息
据微软介绍,新的 PowerShell 脚本名为Make2023BootableMedia.ps1。它旨在更新对 Windows 媒体的启动管理器支持,使它们能够与由新的“Windows UEFI CA 2023”证书签名的启动管理器一起运行。该脚本支持各种媒体类型进行更新:
- ISO CD/DVD 映像文件
- USB 闪存驱动器
- 本地驱动器路径
- 网络驱动器路径
本文介绍的 PowerShell 脚本可用于更新 Windows 可启动媒体,以便该媒体可以在信任“Windows UEFI CA 2023”证书的系统上使用它。
Make2023BootableMedia.ps1 PowerShell 脚本将 Windows 媒体上的启动管理器支持更新为由新“Windows UEFI CA 2023”证书签名的启动管理器。输入和输出可以是以下类型的可启动媒体:
用户须知
微软提供了用户在执行此更新时应考虑的几个重要指南:
最新的 Windows 评估和部署工具包 (Windows ADK) 可在下载并安装 Windows ADK 页面上找到,并且该工具包是此脚本正常运行所必需的。
- Make2023BootableMedia.ps1 脚本应从提升的 PowerShell 提示符运行。
- 您必须为脚本提供已应用最新服务更新的媒体源 (-MediaPath)。
更多信息
如需全面说明和其他详细信息,用户可以在此处访问 Microsoft 维护的完整支持文章,该文章涉及知识库文章 KB5053484。
如需进一步了解和探索相关内容,请访问此处的源链接。
发表回复 ▼