Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo Azure Local administra la transición de los certificados de arranque seguro de 2011, que expiran en junio de 2026, a los certificados de arranque seguro de 2023, incluido cómo mitiga CVE-2023-24932 y por qué los cambios se entregan a través de un lanzamiento por fases.
También se explica cómo Azure Local organiza las actualizaciones de arranque seguro junto con las actualizaciones de hardware y OEM, incluidos los paquetes de extensión del Generador de soluciones (SBE) y proporciona instrucciones para supervisar y validar cada fase del proceso de actualización.
Este artículo está diseñado para Azure Local operadores de clúster, OEM, integradores de soluciones y administradores de TI que administran el arranque seguro, el firmware (Sistema básico de entrada/salida (BIOS) o unified extensible firmware Interface (UEFI)) y actualizaciones y reinicios del sistema operativo.
Importante
Las acciones de revocación de arranque seguro pueden ser irreversibles mientras el arranque seguro permanece habilitado. Valide siempre las actualizaciones en hardware representativo y siga las instrucciones de Microsoft antes de agregar cambios ampliamente.
Acerca de los certificados de arranque seguro
Los certificados de arranque seguro se emiten con duraciones definidas. Actualizar periódicamente estos certificados ayuda a mantenerlos alineados con los requisitos de seguridad actuales. Para Azure Local, debe instalar las entidades de certificación de arranque seguro (CA) de 2023 antes de que las CA de 2011 comiencen a expirar en junio de 2026.
Los certificados de arranque seguro 2023 se entregan a través de actualizaciones de firmware de OEM o actualizaciones de Azure Local a partir de la versión 2603. Azure Local orquestación integrada proporciona una actualización de certificado de arranque seguro 2023 cuando se aplica a través de una actualización de plataforma.
CVE-2023-24932 es una omisión de características de seguridad de arranque seguro asociada al bootkit UEFI de BlackLotus. La corrección completa requiere la actualización de componentes de arranque y la aplicación de revocaciones, como a través de actualizaciones de DBX, por lo que los administradores de arranque vulnerables antiguos no pueden omitir el arranque seguro.
Dado que las actualizaciones de arranque seguro interactúan con el firmware de la plataforma (variables UEFI) y las tecnologías de seguridad en tiempo de arranque, como BitLocker y Seguridad basada en virtualización (VBS), se recomienda un enfoque por fases con pruebas exhaustivas y un lanzamiento controlado en entornos empresariales.
Para Azure Local, una consideración clave es mantener una secuenciación clara entre los tipos de actualización. Las actualizaciones de arranque seguro se deben aplicar por separado de las actualizaciones de hardware o firmware (BIOS o UEFI). Realice estas actualizaciones en distintos pasos de mantenimiento para ayudar a garantizar un estado de seguridad estable y predecible en tiempo de arranque.
Por lo tanto, la implementación de mitigación de Azure Local se centra en la orquestación y el control de acceso.
- Organice la instalación de los certificados de arranque seguro 2023 en los nodos del clúster, incluidos los reinicios necesarios y la instalación del administrador de arranque firmado por Windows UEFI CA 2023.
- Evite aplicar actualizaciones de arranque seguro en el mismo reinicio que las actualizaciones de firmware.
Antecedentes: CVE-2023-24932 y mitigaciones planificadas
Microsoft proporciona instrucciones empresariales para agregar protecciones para CVE-2023-24932. Estas mitigaciones requieren cambios coordinados en Windows y firmware del dispositivo. Para minimizar el riesgo y evitar interrupciones operativas, se recomienda planear y probar antes de agregar estos cambios ampliamente.
Modelo de amenazas: Un atacante con privilegios de acceso físico o administrador puede intentar omitir el arranque seguro mediante componentes de arranque de confianza anteriores.
Principio de mitigación: Actualice los anclajes de confianza y los componentes de arranque y, a continuación, aplique revocaciones para que los administradores de arranque vulnerables más antiguos no sean de confianza.
Realidad operativa: Las actualizaciones de arranque seguro interactúan con el firmware de la plataforma de diferentes maneras. En raras ocasiones, el comportamiento del firmware podría afectar a los resultados de arranque. Se recomienda probar el hardware representativo y coordinar el firmware de OEM como parte de una actualización controlada.
Para obtener más información, consulte Guía de implementación corporativa para CVE-2023-24932 (Soporte técnico de Microsoft).
Terminología y componentes
Arranque seguro: Una característica de seguridad del firmware basado en UEFI que ayuda a garantizar que solo se ejecute software de confianza durante la secuencia de arranque del dispositivo (inicio).
Bases de datos de arranque seguro ueFI:
- Base de datos: Contiene firmas permitidas.
- DBX: Contiene firmas revocadas.
Las actualizaciones se almacenan en las variables de firmware de UEFI.
Key Exchange Key (KEK): Autoriza las actualizaciones a la base de datos de arranque seguro y DBX.
Certificates used: El sector está realizando la transición de los Microsoft CA de arranque seguro de la era 2011 a los CA de arranque seguro más recientes de 2023, como Windows UEFI CA 2023. Los certificados de arranque seguro de 2011 expiran en 2026.
Revocaciones del Administrador de arranque de Windows: Directiva y datos (a menudo en DBX) que se utilizan para evitar que Secure Boot acepte administradores de arranque más antiguos vulnerables o maliciosos.
Extensión del Generador de soluciones: Paquete que permite a los OEM publicar y aplicar actualizaciones a los componentes de hardware y firmware. Un SBE hace un seguimiento específico de qué versiones de solución de Azure Local con las que es compatible e incluye comprobaciones de estado para garantizar que sea apropiado instalarla.
Azure Local guía de certificados de Arranque Seguro 2023
Las actualizaciones y mitigaciones del certificado de arranque seguro 2023 para CVE-2023-24932 no son una operación sencilla o automática. En su lugar, constan de una secuencia de transiciones de estado que se deben validar con la configuración de arranque y firmware de plataforma específica.
Azure Local modelo de actualización escalonada
Para implementar de forma segura las actualizaciones del certificado de arranque seguro, Azure Local realiza un seguimiento de los nodos a través de fases conceptuales, como se describe en la tabla siguiente:
| Etapa | Descripción | ¿Por qué es importante? | Versión de lanzamiento |
|---|---|---|---|
| Fase 0 | La CA de arranque seguro 2023 no está presente en las bases de datos de firmware. | El nodo no puede depender de los componentes de arranque firmados en 2023. | Antes de 2603 |
| Fase 1 | La CA de arranque seguro 2023 está presente en las bases de datos de firmware. | El nodo está más cerca de estar listo y se pueden programar los pasos posteriores. | 2603 |
| Fase 2 | El nodo arranca utilizando el gestor de arranque firmado por la CA en 2023. | La plataforma demostró compatibilidad, lo que hace que las revocaciones posteriores sean más seguras para aplicarse. | 2603 |
Nota:
Para algunas plataformas de hardware, es posible que tenga que actualizar manualmente el firmware antes de avanzar a las fases 1 y 2 descritas en la tabla anterior.
¿Por qué Azure Local agrega orquestación adicional?
Azure Local mantenimiento es compatible con clústeres y puede incluir reinicios coordinados, actualizaciones del sistema operativo y, en algunos casos, actualizaciones de firmware o BIOS. Algunas plataformas pueden experimentar efectos secundarios de seguridad en tiempo de arranque si una secuencia de actualización de arranque seguro y una secuencia de actualización de firmware se aplican demasiado estrechamente, por ejemplo, durante el mismo ciclo de reinicio. Para reducir este riesgo, Azure Local trata la mitigación de arranque seguro como un flujo de trabajo administrado con comprobaciones previas explícitas, garantías de ordenación y puertas de seguridad.
detalles de implementación del host de Azure Local
Mecánica de orquestación (plugin de CAU y flujo de trabajo de nodos)
Azure Local aplica mitigaciones de arranque seguro mediante un componente de orquestación compatible con el clúster basado en un complemento de actualización de Cluster-Aware (CAU). El complemento coordina la progresión de nodo por nodo y garantiza que cada nodo avance solo cuando sea seguro.
Comprobación preparatoria: Confirme que el arranque seguro está habilitado y que el nodo está en una configuración admitida. Por ejemplo, no hay personalización inesperada de la clave de arranque seguro.
Comprobaciones de seguridad: Confirme que las tecnologías de protección de arranque que pueden ser sensibles a los cambios de variables de firmware (como BitLocker) se controlan correctamente.
Secuenciación de reinicio controlada: Cuando un paso de actualización de arranque seguro requiere un reinicio, el complemento programa y supervisa el reinicio del nodo y valida el progreso antes de continuar.
Estados de mantenimiento: Si un nodo no progresa en la actualización (o notifica la incompatibilidad del firmware), el flujo de trabajo se mueve al siguiente nodo para evitar dejar el clúster en un estado desconocido o parcialmente actualizado.
Interacción con SBE y actualizaciones de firmware (bloqueo y ordenación)
Un requisito de diseño básico es evitar aplicar los pasos de mitigación de arranque seguro durante el mismo reinicio que una actualización de firmware (BIOS o UEFI). Azure Local exige este requisito bloqueando o aplazando las acciones de actualización de SBE y firmware mientras la mitigación de arranque seguro está en curso.
Si se planea una actualización de firmware, Azure Local prefiere completar primero los pasos de preparación de arranque seguro, validando el resultado y solo permitiendo actualizaciones de firmware.
Si se programa un paso de arranque seguro posterior después de un reinicio anterior, Azure Local intenta evitar reinicios no planeados que podrían coincidir posteriormente con las actualizaciones de firmware antes de que se complete ese segundo paso.
Observabilidad: Supervisión del progreso
Windows registra los éxitos de actualización de las bases de datos de arranque seguro DB y DBX, así como las razones de los fallos, en el registro de eventos de Windows. Estos eventos son el método principal admitido para determinar si se aplican, posponen o bloquean las actualizaciones debido a condiciones de seguridad.
Monitoriza los identificadores de eventos relacionados con DB de arranque seguro y DBX descritos por Microsoft. Por ejemplo, los eventos que indican BitLocker deben suspenderse, que se detecta un cargador de arranque vulnerable o que las actualizaciones de DB o DBX se han realizado correctamente.
Realice un seguimiento de las transiciones de fase del nodo en los registros de actualizaciones locales de Azure (salida de actualización del clúster), para comprobar que cada nodo completa la secuencia esperada antes de pasar al siguiente nodo.
flujo de trabajo recomendado de host de Azure Local
Antes de empezar (inventario y preparación)
Realice un inventario de todos los nodos de Azure Local, incluidos el modelo de hardware, la versión de firmware, la configuración de arranque seguro y el uso de medios de arranque.
Póngase en contacto con el OEM para saber si se requiere un firmware de plataforma para instalar certificados de arranque seguro 2023 y cuándo están haciendo que esté disponible.
Valide primero el proceso de actualización en hardware representativo (al menos un sistema por tipo de plataforma). Valide los escenarios de arranque normales y los escenarios de recuperación o de arranque basados en medios.
Nota:
Azure Local soluciones se pueden actualizar a la versión 2603 incluso si las actualizaciones de firmware necesarias no están disponibles en el momento de la actualización.
Durante la implementación
Actualice a 2603 que incluye la orquestación de mitigación de arranque seguro mediante ventanas de mantenimiento planeado.
Supervise los eventos de actualización de arranque seguro durante las fases piloto. No continúe con la implementación amplia si las actualizaciones se bloquean o se posponen en los nodos piloto.
Use el siguiente comando para confirmar si se han completado las actualizaciones de certificados de arranque seguro:
Test-AzSSecureBootUpdateCompleted- Si el valor devuelto es
True, se completan los pasos de actualización del certificado de arranque seguro. - Si el valor devuelto es
False, siga los pasos de solución de problemas documentados.
Nota:
Las actualizaciones de la solución Azure Local vuelven a realizar la actualización del certificado de Arranque Seguro 2023 en la medida de lo posible. Si no se puede completar la actualización, la actualización de la solución continúa, incluso cuando la solución de hardware requiere una actualización de firmware.
- Si el valor devuelto es
Después de la implementación (comprobación y operaciones continuas)
- Confirme que todos los nodos arrancan con los componentes de arranque actualizados esperados y que la mitigación de arranque seguro alcanza una fase estable en todo el clúster.
Solución de problemas y notas de seguridad
Si el firmware bloquea una actualización de arranque seguro, trabaje con el OEM para obtener la actualización de firmware necesaria. No obligue el uso de certificados no confiables de 2011 sin verificar que el firmware puede arrancar.
Siga las instrucciones de solución de problemas documentadas para diagnosticar actualizaciones de arranque seguro bloqueadas o pospuestas.
Para obtener más información, consulte páginas fabricantes de equipos originales (OEM) para arranque seguro.
Para obtener instrucciones paso a paso sobre la solución de problemas, consulte la guía de solución de problemas Troubleshooting.
¿Qué ocurre si no puedo actualizar antes de julio de 2026?
Después de que expiren los certificados relacionados con el arranque seguro, los dispositivos sin los nuevos certificados pueden continuar arrancando y ejecutándose, y las actualizaciones de Windows normales siguen instaladas. Sin embargo, estos dispositivos no reciben nuevas actualizaciones o protecciones de seguridad de nivel de arranque. Esta falta de actualizaciones incluye Windows Administrador de arranque, bases de datos de arranque seguro, listas de revocación o correcciones para nuevas vulnerabilidades de arranque.
Se recomienda encarecidamente completar esta actualización lo antes posible. Si necesita actualizaciones de firmware para hardware compatible, póngase en contacto con el OEM para comprender la disponibilidad y las escalas de tiempo.
Guía de certificados de arranque seguro de VM local de Azure 2023
Azure Local clústeres pueden hospedar máquinas virtuales afectadas por la expiración del certificado de arranque seguro. Las acciones necesarias dependen de cuándo se crearon las máquinas virtuales.
Máquinas virtuales creadas antes de octubre de 2024
Si las máquinas virtuales (máquinas virtuales habilitadas para Arc o máquinas virtuales creadas mediante métodos de implementación tradicionales) se crearon antes de octubre de 2024, el certificado de arranque seguro expuesto a la máquina virtual estará antes de que las CA de 2023 estuvieran ampliamente disponibles. Se requiere una acción manual. Siga la guía de arranque seguro de Windows Server para los certificados que expiran en 2026.
Máquinas virtuales creadas después de octubre de 2024
Si las máquinas virtuales (máquinas virtuales habilitadas para Arc o máquinas virtuales creadas con métodos de implementación tradicionales) se crearon después de octubre de 2024, la máquina virtual ya debería tener el nuevo firmware de ca de 2023 en vigor.
Compruebe los CAs de 2023 ejecutando los siguientes comandos de PowerShell. Cada comando debe devolver
True.[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Guía de soporte técnico y escalación
Si tiene problemas al planear, orquestar o comprobar las actualizaciones de arranque seguro, póngase en contacto con Soporte técnico de Microsoft antes de continuar con otros cambios de firmware (BIOS o UEFI) o habilitar revocaciones en entornos de producción.
Para obtener más información sobre cómo obtener soporte técnico, consulte Get support for Azure Local.
Para obtener una solución de problemas detallada, consulte la guía Troubleshooting.
Apéndice: Vínculos de referencia
Esta característica solo se aplica a Azure Local 2603 o posterior.