Contents

Windows 11 のセキュア ブート 2023 アップデートが一部の PC で失敗し、より広範なファームウェアの問題が明らかになりました

<本文>/images/The-CA-2023-revocation-update-turned-a-background-security-feature-into-a-massive-headache-for-PC-users-and-hardware-vendors-alike.jpg

セキュア ブートは 2011 年から PC エコシステムの一部でしたが、2023 年から 2025 年にかけてついに脚光を浴びることになりましたが、これは Microsoft、OEM、ファームウェア ベンダーが好むような形ではありませんでした。かつては舞台裏で静かに行われていたセキュリティ機能が、突然一面の話題になりました。実際、CA-2023 証明書が公開されると、PC 業界全体のファームウェアの実装、証明書の処理、更新パイプラインにおける長年にわたる不一致が明らかになりました。簡潔かつ残酷に言うと、それは美しくも楽しくもありませんでした。

Windows ユーザーにとって、その結果は、不穏な要素が入り混じったわかりにくいものになりました。これには、ブート警告、ブート チェーンの破損、一貫性のない、または支離滅裂なベンダー ガイダンスが含まれます。信頼性と信頼性を高めるために導入されたセキュア ブートは、むしろ不確実性と混乱の原因になっているというのが一般的な感覚でした。

この記事では、セキュア ブートとは何か、その仕組み、CA-2023 が重要な理由、ベンダーがどのようにつまずいたか、セキュア ブートの更新が失敗したときにユーザーができることについて解き明かします。その過程で、すべての頭字語を説明し、信頼チェーンを段階的に確認し、実際のトラブルシューティングに基づいた実践的なガイダンスを提供します。私は、自分の小規模な PC フリート (サイズは 10 ~ 15 台) を完全にセキュア ブートに準拠し、CA 2023 ブート証明書から実行できるようにするという、壮大ではないにしても、厳しい旅を終えたところです。とても長い旅でしたが、知りたかった以上のことを教えてもらいました。

セキュア ブートとは何ですか?なぜ重要ですか?

セキュア ブートは、Intel のレガシー BIOS の最新の代替品である Unified Extensible Firmware Interface (UEFI) によって定義された機能です。その目的は、信頼できる署名されたブートローダーとオペレーティング システム コンポーネントのみがシステム起動時に実行できるようにすることです。

/images/The-Windows-Security-dashboard-provides-a-quick-and-user-friendly-way-to-confirm-if-your-hardware-security-features-are-active-at-the-OS-level.png

これを実現するために、セキュア ブートはファームウェアに保存されている一連の暗号キーに依存します。これらのキーは、何が信頼されるか、何が許可されるか、何が明示的に禁止されるかを定義します。

主なコンポーネントは次のとおりです。

プラットフォームキー (PK)

プラットフォーム キーはシステム所有者を確立します。 PK を制御する人がセキュア ブート構成を制御します。通常、OEM は工場で独自の PK をインストールします。

鍵交換鍵 (KEK)

キー交換キーは、セキュア ブート データベースへの更新を許可します。 Microsoft、OEM、そして場合によっては企業管理者が KEK を保守します。有効な KEK は、サードパーティが UEFI で維持されている証明書とデータベースに更新を適用することを許可するチケットです。

許可された署名データベース (DB)

このデータベースには、信頼できるブートローダーと OS コンポーネントのハッシュと証明書が含まれています。何かが DB 内に存在する署名を呼び出す場合、ファームウェアはその実行を許可します。

禁止された署名データベース (DBX)

これが「失効リスト」です。 DBX 内のすべてのものは、たとえ一度信頼されていたとしても、明示的にブロックされます。 DBX アップデートは、業界が侵害されたブートローダーを無効にする方法です。オリジナルの CA-2011 は、セキュア ブート全体を開始するものでした。 MS は、これを 2026 年後半に無効にする予定です。CA-2023 はこれに代わるもので、Windows Update および OEM UEFI アップデートを通じてゆっくりと、しかし確実に展開されます。

セキュア ブートが重要なのはなぜですか?

セキュア ブートは、ルートキット、ブートキット、およびその他のプレ OS マルウェアを停止するように設計されています。攻撃者がブート チェーンを侵害できる場合、OS から隠れて検出を回避し、永続性を維持することができます。これらは OS の外部で独立して動作するため、今後も戻ってきます。 Secure Boot は、このような悪ふざけを阻止します。

理論的には、セキュア ブートはクリーンでエレガントなソリューションです。実際には、セキュア ブート エコシステムは乱雑で断片化されており、エッジ ケースに満ちています。

ただし、セキュア ブートはこれまで以上に重要であり、バイナリ性も高まっています。プラスの面としては、うまくいくときはうまくいきます。マイナス面としては、問題が発生すると、困難で煩わしく、時間がかかる場合があります。

CA-2023 を引き起こしたセキュア ブートの侵害

2023 年初頭、Microsoft は、古い Windows ブート マネージャー バイナリがセキュア ブートのバイパスを可能にする方法で侵害されたという重大なセキュリティ問題を発表しました。これを軽減するために、同社は CA-2023 失効と呼ばれる新しい DBX アップデートを発行しました。このアップデートでは、脆弱なブートローダーが禁止リストに追加され、そのような攻撃や問題の影響を受けない、一致する証明書を持つ新しい署名付きブートローダーが提供されました。

なぜこれが必要だったのでしょうか?

攻撃者は、古いブートローダーを悪用してセキュア ブート保護を無効にする方法を発見しました。これらのバイナリを取り消すことは、エコシステムの整合性を維持するために不可欠であることが判明しました。

なぜこれがシステムを破壊したのでしょうか?

多くの OEM は次のようなことを行っていました。

  • 古いファームウェア
  • 一貫性のない DB/DBX 処理
  • 壊れた更新パイプライン
  • 非標準のセキュア ブート実装
  • 不完全または不正確なキーセット
  • DBX アップデートを黙って無視するファームウェア
  • DBX アップデートが適用されたときにシステムをブリックしたファームウェア

言い換えれば、取り消しによって長年にわたる技術的負債が明らかになったのです。多くの場合、アップデートを試行するだけで PC に影響を与えるのに十分でした。最良の場合、影響を受ける PC は再起動できない可能性があります (スタート メニューの 電源 > 再起動 選択によるウォーム ブート)。最悪の場合、影響を受ける PC は起動できなくなったり、電源を入れた後に UEFI にアクセスできなくなったりする可能性があります。悪い知らせです!

CA-2023 後の結果

何百万ものシステムが最終的に次のいずれかの状態になりました。

  • セキュア ブートは有効ですが、実際には取り消しは強制されません
  • 更新に失敗したため、セキュア ブートが無効になりました
  • キーが一致しないため、セキュア ブートが「ユーザー モード」でスタックする
  • DBX アップデート後にシステムが起動できない
  • CA-2023 アップデートの適用をまったく拒否したファームウェア

これは Microsoft だけの問題ではありませんでした。それはエコシステム全体の失敗でした。これにより、そのような問題が 1 つ以上発生したシステムを使用するユーザーにとって、明らかにセキュア ブートは困難なものになりました。私個人としては、ASRock B550 Extreme4 ベースの Ryzen 5 PC の 1 台で、これらの障害のすべてではないにしても、ほとんどの障害が発生しました。結局、それらを克服するにはマザーボードを交換する必要がありました。

「セキュア ブート チェーン」はどのように機能しますか?

CA-2023 がなぜこれほどの問題を引き起こしたのかを理解するには、信頼チェーンを段階的に確認することが役立ちます。

ステップ 1: ファームウェアが PK を検証する

PK が有効であれば、システムはプラットフォームの「所有者」が誰であるかを認識します。

ステップ 2: ファームウェアによる KEK の検証

これらのキーは、DB および DBX への更新を許可します。

ステップ 3: ファームウェアが DB と DBX をロードする

これらは、何が許可され、何が禁止されるかを定義します。

ステップ 4: ファームウェアがブートローダーを検証する

ブートローダーの署名が DB 内のエントリと一致し、DBX にない場合は、ブートローダーが実行されます。

ステップ 5: ブートローダーが OS コンポーネントを検証する

Windows ブート マネージャーは、winload.efi、ドライバー、およびその他の初期ブート コンポーネントの署名をチェックします。

ステップ 6: 信頼を維持したまま OS を起動する

すべてがチェックアウトされると、Windows が正常にロードされます。

悲しいことに、多くの段差があると、物事が横道に逸れる可能性が十分にあります。そのため、このアプローチはやや脆弱で、場合によってはハングアップしたり完全に失敗したりする傾向があります。次のいずれかの場合に、壊れたり失敗したりする可能性があります。

  • DB に必要な署名がありません
  • KEK は古いです

※PKは間違いです

  • ファームウェアがアップデートを誤って処理する
  • ブートローダーが不一致になる (Windows は C:\Windows フォルダー階層に別のコピーを保持しますが、別のインスタンスは EFI パーティションから使用されます)

このような項目が存在すると、セキュア ブートが失敗するかフォールバックする可能性があります。また、安全保障体制の施行を黙って怠っている可能性もある。そのため、たとえば、起動するたびに「CPU 変更」を (誤って) 報告し、現在の TPM セキュリティ設定を確認するか、以前の TPM セキュリティ設定にロールバックするかを尋ねるメッセージが表示される状況に陥りました。その様子は次のとおりです。

/images/The-erroneous-firmware-TPM-and-new-processor-detection-prompt-triggered-by-Secure-Boot-updates.png

ASRock B550 Extreme4 UEFI の既知の癖として、セキュア ブートの変更または更新が発生した場合でもプロセッサの変更が報告されることがあります。実際、約 2 週間、システムを再起動して Windows デスクトップにアクセスするたびに、この画面で「N」を入力する必要がありました。そのため、再起動するたびに少なくとも 2 ~ 3 分かかり、私は際限なく悩まされました。

さまざまなマザーボード ベンダーに共通するセキュア ブートの問題

CA-2023 の展開により、ベンダーごとにファームウェアの規律のレベルが大きく異なることが明らかになりました。一部のデスクトップ PC やラップトップ PC は問題なく動作しました。他の人は、小さな挫折から、起動不能なシステムを含む重大な問題に至るまで、あらゆるものを経験しました。この状況でさまざまなベンダーがどのように対処したかを見てみましょう。

ASUS

一部の ASUS ボードは、セキュア ブートが一時的に無効にされていない限り、DBX アップデートの適用を拒否しました。これは逆説的な要件です。他の人はアップデートを適用しましたが、システムを「半分取り消された」状態のままにしました。 CA-2023 証明書が存在する場合でも、CA-2011 証明書が引き続き使用される (または使用されない) 可能性があります。

MSI

  • 一部 (すべてではありません) の MSI ボードは次の点で悪名が高かったです。
  • 一貫性のない DBX 処理
  • アップデートを黙って無視したファームウェア
  • UI ラベルと一致しないセキュア ブート モード
  • 予期せず工場出荷時のキーに戻ったシステム

アスロック

ASRock ボードでは、次のような場合に手動介入が必要になることがよくあります。

  • キーのクリア
  • 工場出荷時のデフォルト設定を再インストールする
  • Microsoft キーの再登録
  • DBX アップデートを手動で適用する

彼らのドキュメントはまばらで、多くのユーザーは推測のままでした。私自身の場合、同じと思われる 2 つのマザーボードがあり、どちらも B550 Extreme4 モデルでした。そのうちの 1 つは手動に屈し、Microsoft WU が更新プログラムを提供しました。もう 1 つは、OS からの保留中の更新 (WU と手動で適用された両方) をさまざまなファームウェア データベースの内容と一致させることができませんでした。実際、これが、この記事の前のセクションで説明した、現在進行中の一連の「CPU 変更」警告を引き起こしたものです。

Dell、HP、Lenovo (およびその他の OEM)

エンタープライズおよびコンシューマー向けの PC およびラップトップ ベンダー (Acer、ASUS、Dynabook なども含む) の業績は一般に優れていましたが、それでも次のような結果がありました。

  • 段階的に展開
  • 一貫性のない BIOS/UEFI アップデートのタイミング
  • DBX の変更を適用するために複数回の再起動が必要な一部のシステム

Answers.microsoft.com、TenForums.com、elevenForum.com、TechPowerUp.com でフォーラムの投稿を読んでみると、セキュア ブートの問題に対処するための助けを求めるフォーラム スレッドが何百も存在することがわかりました。多くはラップトップに関係しており、さらに多くはデスクトップに関係しており、特に DIY の自作ビルドや、裕福な購入者向けに最高の商用部品を組み立ててオーダーメイドの PC を構築するブティック ビルダーによるものでした (次のセクションを参照)。

カスタムビルド PC

同じベンダーのマザーボードでも、次の条件に応じて動作が異なる場合があります。

  • 実際のチップセットがインストールされている
  • ファームウェアブランチ
  • 発売年
  • OEM と小売 SKU

全体として、標準化の欠如は明らかです。ユーザーが遭遇するセキュア ブートの問題はいたるところにあります。一部は最終的に Windows Update または手動変更に屈しました。修理や矯正のあらゆる試みに頑固に抵抗する人もいます。私は個人的にこの問題領域のいたるところに足を踏み入れており、最近では失敗が成功に取って代わられています(それでも失敗には変わりありませんが)。

セキュアブート更新が失敗した場合にユーザーができること

/images/Checking-the-System-Information-msinfo32-utility-is-the-quickest-way-to-verify-if-Windows-recognizes-your-Secure-Boot-state-as-active.png

セキュア ブートが失敗する可能性にはさまざまな種類があります。 Windows Update では成功が報告される場合がありますが、DBX (失効リスト) は変更されません。ファームウェアはセキュア ブートが「有効」であると報告する場合がありますが、強制されていません (その場合、PowerShell のconfirm-SecureBootUEFI は false を報告します)。

システムは起動しても、コンプライアンス チェックに失敗する場合があります (詳細については、この記事で後述する「Garlin スクリプト」セクションを参照してください)。ブートローダーが DB エントリと一致しない場合や、更新後にシステムがしぶしぶ起動するか、まったく起動しない場合があります (私の ASRock B550 Extreme4 システムで発生したように)。ここでは多くのことが起こっているので、修正する必要がある場合には試すべきことがたくさんあります。重大な原因と関連する修正のリストを見ていきましょう。

キーの不一致 (PK/KEK/DB/DBX)

PK または KEK が古い場合、ファームウェアは、有効な資格情報と値のリスト (DB) または取り消された項目のリスト (DBX) へのデータベースの更新を拒否することがあります。そのような場合は、次の修正の 1 つまたはすべてを試してみる価値があります。

  • 工場出荷時のキーまたはデフォルトのキーにリセットします (通常、セキュア ブートがカスタム モードの場合、UEFI で選択可能なアクションとして利用可能)
  • Microsoft キーを再登録します (通常、Microsoft アップデートを再適用する必要があり、これにはおそらく DISM を介したアンインストール/再インストール操作が必要です。WU は時間制限のあるロールバックを提供します)

ファームウェアが DB または DBX の更新を無視する

一部の PC およびラップトップでは、UEFI は特定の条件下を除いて DB または DBX アップデートを適用しません。セキュア ブートを無効にする必要がある場合があります。互換性サポート モジュール (CSM、BIOS または UEFI モードのいずれかへの「デュアル ブート」を有効にします。最新の PC は UEFI のみですが、古いモデルは多くの場合、両方の方法で動作します) をオフにする必要があります。場合によっては、更新を実行する前に、セキュア ブート キー (別の UEFI オプション) をクリアする必要があります。何が何であるかを確認するには実験が必要になる場合があります。運が良ければ、あなたの特定の問題をすでに発見して解決した他の勇敢な探検家からの情報を見つけることができるでしょう。

古いブートローダー

古い Windows インストール メディアまたは修復/リカバリ ディスクには、セキュア ブートで動作するには古すぎるブートローダーが組み込まれている場合があります。実際、この不一致は、Microsoft が CA-2011 (ほとんどの古いブートローダーに組み込まれているもの) の無効化にさらに深く取り組んだ後、2026 年後半にさらに加速するでしょう。ブートローダーが古すぎる場合、DBX がブロックする可能性があります。ブートローダーはファームウェア (UEFI) と対話しないため、修正は非常に簡単です。この場合は、次のいずれかの修復を試してください。

  • Windows Update を実行します。古いブートローダーが最新のブートローダーに置き換えられる可能性があります。
  • bcdboot ユーティリティを使用してブート ファイルを再構築する
  • EFI パーティションが正常であることを確認します (正常でない場合は再構築します)。

ファームウェアのバグまたは奇妙さ

特に古い PC では、セキュア ブートを開始する前に UEFI を更新 (フラッシュ) することをお勧めします。ただし、十分に古い PC の場合は、2023 年以降のアップデートが存在しない可能性があります。ただし、複数回の再起動、特定のファームウェア バージョン、または手動のセキュア ブート データベース (DB、DBX) インポートが必要なシステムの場合は、いくつかのテクニックが役に立ちます。

  • ファームウェアを最新の安定バージョンに更新します (他のすべてのオプションが失敗した場合にのみベータ バージョンを検討してください。不安定の原因を別の原因と交換したくない場合)
  • 利用可能な場合は常に、ベンダー提供のカプセルまたはアップデートを使用して、セキュア ブート データベースの変更を適用します (例: 私の MSI MAG Tomahawk は、セキュア ブートと CA-2023 要素が組み込まれている UEFI をフラッシュするまで正しく動作しませんでした)
  • Windows Update はファームウェアが最新になった後にのみ実行させます。ASRock B550 Extreme4 ビルドで学んだように、新しいアップデートと古いファームウェアは不安定で問題が発生しやすい環境を作り出します。

全体として、ユーザーがファームウェアの更新から Windows の更新に至るまでセキュア ブート コンプライアンスの作業を試み、必要な場合にのみ手動の UEFI 操作を開始すれば、途中の穴にはまる可能性ははるかに低くなります。

スクリプトがセキュア ブート アップデートの問題の解決にどのように役立つか

CA-2023 のロールアウト中に最も興味深い発展のいくつかは、コミュニティ主導のツールと診断の出現です。特に、イレブン フォーラムの VIP であり、Guru ユーザーである Garlin は、便利な PowerShell スクリプトを含む 50 ページ以上のスレッドを提供し、非常に役立つサポートとディスカッションでそれらをバックアップしました。彼のスクリプトは次のことを行います。

  • セキュアブートキーを列挙します
  • DB/DBX エントリを検証します
  • 不一致を検出します
  • 古いブートローダーを特定する
  • 施行状況を確認する
  • 詳細なレポートを生成します

多くのユーザーにとって、Garlin のスクリプトは、ファームウェアが実際に何を行っているかを知るための最初の明確な窓でした。 Garlin スクリプトが何を示すかを示す図として、図 1 に、最近再構築した MSI MAG Tomahawk B550 デスクトップからキャプチャした Check_UEFI-CA2023.ps1 という名前のスクリプトの出力を示します。

/images/Output-from-Check_UEFI-CA2023.ps1-on-the-MSI-MAG-B550-desktop-PC.png

上のスクリーンショットを注意深く調べると、PC には CA 2011 と CA 2023 の両方のキー交換キー (KEK) がインストールされており、UEFI CA 2011、Windows PCA 2011、および CA 2023 の 3 種類の DB 証明書がインストールされていることがわかります。DBX 証明書リストは空です (下を見ると、CA 2011 がまだ取り消されていないことがわかります。取り消されたら、これらのエントリは移動するはずです)ここ)。

EFI ファイルは、レジストリと同様にブート マネージャーが UEFI CA 2023 を許可し、最新のセキュア ブート コード整合性ポリシーが適用されていることを示しています。 MS は、このポリシーを使用して、特に仮想化ベースのセキュリティ (VBS、スクリプト全体の出力の 2 番目の項目で説明されている) に関して、脆弱なバイナリまたはロールバックの影響を受けやすいブート クリティカル バイナリをブロックします。

最後に、スクリプト出力には、古い CA-2011 認定がまだ取り消されていないことが示されています。これは意図的なものです。私は、Microsoft が 2026 年後半に行うと約束しているように、Windows Update を通じてこの問題にいつどのように対処するのかを待っています。それがどうなるかはわかります…

これらのスクリプトが重要な理由

ベンダーが PC の完全なセキュア ブート状態を公開することはほとんどありません。窓面はこの写真の一部のみです。ファームウェアの UI は一貫性がなく、同じものを別の名前で呼ぶことがよくあります。 Garlin のスクリプトは、セキュア ブート領域内で何が起こっているかを示し、更新と追いつきのプロセス全体を完了するためにどのようなアクションを実行する必要があるかを示します。

セキュアブートでアップデートが適用されない場合の対処方法

ここでは、実際的な段階的な回復ワークフローを示します。

ステップ 1: 現在の状態を確認する

PowerShell または Garlin のスクリプトを使用して以下を確認します。

*PK

  • KEK

*DB

  • DBX

※施行状況

  • ブートローダーのバージョン

ステップ 2: ファームウェアを更新する

最新の BIOS/UEFI アップデートをインストールします。

ステップ 3: キーを工場出荷時のデフォルトにリセットする

セキュア ブートを無効にし、モードをカスタムに設定し、工場出荷時のデフォルト キーをリセットまたはインストールします (UEFI によって使用される用語が異なります)。呼び方が何であれ、これにより不一致が解消されることがよくあります。

ステップ 4: セキュアブートを再度有効にする

CSM が無効になっていることを確認します (多くの場合、UEFI が更新されると CSM がオンになります。セキュア ブートを有効にするには、CSM をオフにする必要があります)。

ステップ 5: DBX アップデートを適用する

可能な場合は、Windows Update またはベンダー カプセルを使用します。システム (またはマザーボード) ベンダーのサポート ページをチェックして、UEFI および関連するアップデートを探してください。それが私の MSI MAG Tomahawk B550 マザーボードでうまくいったのです。

ステップ 6: ブート ファイルを再構築する (必要な場合)

bcdboot C:\Windows/f UEFI コマンドを実行すると、組み込みコマンドを使用してブート ファイルを再作成できます。場合によっては、修復ディスクまたはレスキュー ディスクから起動し、これを Windows 回復 (WinRE) 環境から実行することが必要になる場合があります。このアプローチを採用する方が常に安全であり、ブートの問題やセキュア ブート ポリシー ブロックが発生した場合にそれらを回避できます。

ステップ 7: 状態を再確認する

DBX に CA 2023 エントリが含まれていることを確認します。確かに、Garlin の Check_UEFI-CA2023.ps1 スクリプトを実行するには良い機会です。 (注: ファイルの プロパティ ウィンドウ内を見て ブロック解除 オプションをチェックすると、ローカル実行ポリシーを変更したりバイパスしたりせずに、PowerShell でこのスクリプトを実行できます。これは、以下のスクリーンショットに示されています)

/images/PowerShell-scripts-from-3rd-party-sources-are-blocked-by-default-checking-Unblock-fixes-that.png

IMO、セキュアブートエコシステムには改革が必要

CA 2023 の段階的なロールアウトと、システムを現在のセキュア ブート コンプライアンスに準拠させるための最近の取り組みは興味深いものです。しかし、それはまた、広範囲にわたるシステム上の問題や問題も明らかにしました。まず、ファームウェア ベンダーには一貫した実装と用語が不足しているため、問題を解決するのは IT プロフェッショナルやその他のインストーラーの責任になります。さらに状況を悪化させるのは、ドキュメントが不十分であることが多く、何かが壊れたり正しく動作しない場合の修復に対処できていないことです。

現時点では、更新パイプラインは脆弱です。一歩間違えると (デフォルト キーを再インストールする前にセキュア ブートをカスタム モードに設定しなかったなど)、更新プロセスが停止し、通常のブート動作が妨げられる可能性があります。私の ASRock デスクトップの 1 つでは、その PC を通常どおり再起動できず、ディープ コールド ブートを使用して UEFI にアクセスするか、ブート サイクルを実行することしかできませんでした (これは、マザーボードを交換して再び正常に動作するまで 2 週間続きました)。これは、OEM とマザーボード ベンダーによってセキュア ブートの実装と処理の品質が大きく異なるという私の観察も後押しします。 ASRock マザボが私をイライラさせていたのと同時に、Lenovo システム (一部は 2018 年に遡る) や、Dell ミニ PC や ASUS Snapdragon ラップトップにも問題はありませんでした。

このプロセス中に私が学んだのは、セキュア ブートの強度は最も弱い部分と同じであるということです。残念ながら、一部のシステムには弱いリンクがあります。これらの弱いリンクの多くは、定期的な更新であるべきものを困難に変えます。中には、システムの交換やマザーボードの交換など、さらに抜本的な対策が必要になる場合もあります。

Microsoft、OEM、ユーザーが行うべきこと

現在のセキュア ブートの泥沼を改善するには、この遊び場にいるすべての子供たちが特定のことを行う必要があります。私の意見では、これがマイクロソフト、OEM、ユーザー コミュニティ全体にどのように波及するかがわかります。まず、Microsoft は、改善された診断とより優れたツールを使用して、より厳格な認証を実施する必要があります (後から考えると、Garlin のスクリプトは非常に単純です。MS が物事をうまく進めるために、より洗練された実装を提供できない理由はありません)。

次に、OEM はファームウェアの動作を標準化し、一貫した用語を採用するために多くのことを行うことができます。 DB 更新をより徹底的にテストし、セキュア ブートの状態と UEFI インターフェイスの値をより明確に把握できるようになります。堅牢な自動ロールバック ツールは、間違った選択や間違った選択を元に戻すのにも役立ちます。

そして最後に、ユーザーはセキュリティをもっと真剣に受け止めるべきです。これは、新しいアップデートが出現したときにファームウェアをアップデートし、インストール、構成変更、またはアップデートでセキュア ブートを (一時的に) オフにする必要がある場合を除き、セキュア ブートを使用する (無効にしない) ことを解決することを意味します。また、ユーザーはセキュア ブート データベースを定期的に検証して、データベースが最新かつ正しいことを確認し、EFI パーティションが正常で最新であることを確認する必要があります。

全員がそれぞれの役割を果たせば、セキュア ブートはブートおよびルート レベルの侵害や攻撃からシステムを保護するという役割を果たすことができます。それはとても大事なことなので、やる価値はあると思います。

セキュア ブートは依然として重要ですが、改善が必要です

セキュア ブートは、Windows セキュリティ モデルにおける重要な防御メカニズムであり続けます。しかし、CA 2023 の物語は、このエコシステムが脆弱で一貫性がなく、近代化が遅れていることを示しています。良いニュースは、業界が学びつつあるということです。ファームウェア ベンダーは改善を続けています。 Microsoft は要件を強化しています。コミュニティ ツールがギャップを埋めています。しかし、教訓は明らかです。信頼とは、一度設定すればすぐに忘れられるものではありません。信頼は維持され、検証され、時には修復されなければなりません。セキュア ブートも例外ではありません。

最後に、セキュア ブートの問題が発生した場合に備えて、時間の経過を観察して解決するよう努めてください。問題の解決に半日かかるとしても、それは許容範囲です。それを超えると、代替案、回避策、代替品について考え始める時期が来ています。考えている間に、セキュア ブートをオフにすることができます。セキュア ブートがなくても Windows は動作します。しかし、あなたも私と同じように、明確な解決策が見えずに戦い続けるよりも、不安定で動かなくなったハードウェア コンポーネントを交換することを決断するかもしれません。それはあなた次第です!

ホーム

シェアする

ニュースレター

WL ニュースレター

/images/WL-logo-new.svg

WLニュースレターです!

最新の Windows、IT、AI アップデートを常に入手してください。 50,000 人以上の加入者から信頼されています。

名前

電子メール

無料で参加

*️⃣ 出典リンク:

CA‑2023 証明書の公開、 50 ページ以上のスレッド 、ホーム 、ニュースレター 、