15-летний таймер Microsoft. Как не дать компьютерам «ослепнуть» из-за старых сертификатов

Компания Microsoft добавила новый инструмент для IT-администраторов, который позволяет отслеживать состояние функции Secure Boot на всех устройствах Windows в организации. Это особенно актуально сейчас, когда сертификаты Windows скоро истекут, что может сделать устройства уязвимыми для атак.

Secure Boot — это функция безопасности Windows, которая гарантирует загрузку компьютера с использованием проверенной прошивки и доверенного загрузчика. Вместе с модулем доверенной платформы TPM она является обязательным требованием для Windows 11. Функция появилась ещё в 2011 году, но спустя 15 лет её сертификаты истекают, и администраторам необходимо проверить их статус и обновить.

Для проверки они могут перейти в Центр администрирования Microsoft Intune > «Отчёты» > «Автоматическое обновление Windows» > «Обновления качества Windows». Во вкладке «Отчёты» у админа есть возможность выбрать «Состояние безопасной загрузки» (Secure Boot status), что позволит увидеть, на каких устройствах этот параметр включён и сколько из них полностью обновлены. При необходимости можно детально изучить, какие именно сертификаты устарели и требуют обновления. Правда, этот отчёт работает только для устройств, управляемых через Windows Autopatch.

Отчёт содержит подробные метаданные об устройствах — название и модель, версию операционной системы, идентификатор Entra, производителя системной платы и устройства, версию прошивки и другую информацию. Это помогает администраторам понять уровень внедрения Secure Boot в организации, выявить устройства, требующие обновления сертификатов, уверенно планировать стратегию обновления прошивок и BIOS, а также заранее снизить риски, связанные с безопасностью загрузки.