Êtes-vous prêt pour l’expiration du certificat CA Secure Boot Windows UEFI 2011 ? 

De nombreux administrateurs système ne sont peut-être pas encore conscients que l’Autorité de Certification (CA) utilisée pour signer le Windows Secure Boot Loader ainsi que les bases de données Secure Boot arrive prochainement à expiration et doit être remplacée par une nouvelle. De nombreuses informations circulent en ligne à ce sujet, mais la plupart sont incomplètes. C’est pourquoi nous souhaitons aborder cette problématique de manière complète, du point de vue d’un administrateur système. 

– KEK (Key Enrollment Key) : La CA stockée ici est utilisée pour signer les mises à jour de la DB active et de la DBX. La CA Microsoft de 2011 stockée ici expire en juin 2026. Une fois cette CA expirée, aucune modification supplémentaire ne pourra être signée dans la DB et la DBX. 
– Default DB : De nombreux OEM mettent à jour la CA qu’elle contient avec la CA Microsoft 2023. Cependant, cette Default DB n’est pas utilisée lors du démarrage, sauf si vous réinitialisez le BIOS aux paramètres d’usine. 
– Active DB (Secure Boot Signature Database) : C’est ici que se trouve la CA utilisée pour Secure Boot. La CA Microsoft 2011 pour le chargeur de démarrage Windows expire en octobre 2026, tandis que celle pour les chargeurs de démarrage tiers expire en juin 2026.  
– DBX (Secure Boot Revoked Signature Database) : Certificats/chargeurs de démarrage révoqués 

Selon Microsoft, Secure Boot continue de fonctionner sur les installations Windows existantes. Cependant, aucune modification ne peut plus être apportée à la configuration Secure Boot, et la base de données des chargeurs de démarrage révoqués n’est plus mise à jour. Cela représente un risque de sécurité. 

Pour les administrateurs système, cela signifie également que les outils de déploiement utilisant par exemple le démarrage PXE ou USB ne fonctionnent plus, car l’ancienne CA a expiré et la nouvelle CA n’est pas acceptée. 

En principe, cela peut se faire automatiquement, mais dans la réalité, une intervention reste nécessaire. La Default DB est mise à jour via les mises à jour du BIOS, à condition que le fabricant fournisse encore des mises à jour pour le modèle concerné. Cependant, la DB active est le facteur décisif. Celle-ci est censée recevoir la nouvelle CA UEFI 2023 via Windows Update, mais cette option est désactivée par défaut. Une tâche est configurée dans le Planificateur de tâches Windows pour s’exécuter toutes les 12 heures et écrire la CA UEFI 2023 dans la KEK et la DB active. Cependant, elle n’y parvient généralement pas, car un paramètre dans le registre la bloque. C’est la raison pour laquelle des messages d’erreur 1801 provenant de TPM-WMI apparaissent dans le journal système Windows. 

Selon nos informations, Secure Boot doit être activé pour cela. 

Microsoft a fourni un modèle administratif à cet effet dans les Group Policy Templates pour Windows 11 25H2 (v2). Cependant, les noms des trois modèles existants pour Secure Boot sont trompeurs, il est donc nécessaire de vérifier attentivement lequel vous activez. Dans la plupart des cas, vous activerez “Enable Secure Boot Certificate Deployment”. 

Une fois appliqué, la tâche en arrière-plan du Planificateur de tâches peut écrire le certificat dans la KEK et la DB active.  

Après deux redémarrages, le processus est terminé. 

Cependant, il est recommandé de surveiller le processus ainsi que son état. En utilisant deux règles d’inventaire simples dans KACE ou Action1, vous pourrez déterminer si le déploiement est effectivement activé et quel est le statut de la UEFI2023CA (NotStarted, InProgress ou Updated). 

Si vous n’êtes pas certain que votre environnement est déjà prêt pour l’expiration prochaine de la CA Secure Boot, ou si vous souhaitez éviter des interruptions opérationnelles et des failles de sécurité, nous sommes là pour vous aider. Nous pouvons vous accompagner dans la planification et l’exécution du déploiement de la CA UEFI 2023, la configuration des stratégies de groupe nécessaires, ainsi que la validation de la bonne application du déploiement sur l’ensemble de vos terminaux. En outre, nous pouvons vous aider à mettre en place un système de monitoring et de reporting adapté afin que vous ayez toujours une vue claire des appareils conformes et de ceux nécessitant encore une intervention manuelle. Contactez-nous pour une consultation et assurez-vous que votre infrastructure reste sécurisée et prête pour l’avenir, sans risques inutiles ni problèmes de dernière minute.