Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Tags
Archives
Related
Recommended
Home » Blogueurs » Jean-Sébastien DUCHENE Blog's » [Windows] Actions Requises ! Expiration prochaine des certificats Secure Boot

Microsoft a annoncé l’expiration prochaine des certificats utilisés pour la validation des composants de démarrage et de firmware dans le cadre de la fonctionnalité de Secure Boot de Windows. Ces certificats délivrés par Microsoft vont expirés en 2026. Dans les prochains mois, Microsoft va donc mettre à jour les certificats Secure Boot suivants :

  • Microsoft UEFI CA 2011 and Microsoft KEK CA 2011 expirant en juin 2026. 
  • Microsoft Windows Production PCA 2011 expirant en octobre 2026. 

Microsoft déploie actuellement des certificats mis à jour via Windows Update auprès des particuliers, des entreprises et des établissements scolaires dont les appareils sont gérés par Microsoft.

Si les machines n’ont pas mis à jour ces certificats après leur expiration, les systèmes où Secure Boot est activé peuvent :

  • Ne pas recevoir les futures mises à jour de sécurité.
  • Être dans l'impossibilité de valider les nouveaux composants de démarrage.
  • Être confronté à un risque accru lié aux vulnérabilités au niveau du démarrage.

Aucune action n'est requise si les systèmes Windows de votre organisation reçoivent les mises à jour Windows de Microsoft et renvoient des données de diagnostic à Microsoft. Cela inclut les appareils qui reçoivent des mises à jour via Windows Autopatch, Microsoft Configuration Manager ou des solutions tierces. Les données de diagnostic Windows permettent à Microsoft de regrouper les appareils présentant des profils matériels et micrologiciels similaires afin de vous fournir progressivement les mises à jour Secure Boot.

Pour se préparer, vous devez :

  • Vérifier auprès de votre fabricant OEM les dernières mises à jour disponibles pour le firmware. Ces mises à jour garantissent que la configuration Secure Boot de votre appareil peut accepter de nouveaux certificats.
  • Activer les mises à jour gérées par Microsoft en autorisant les données de diagnostic et en définissant la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\MicrosoftUpdateManagedOptIn avec la valeur 0x5944 (pour les mises à jour Windows Secure Boot)
  • Suivre les étapes de mise à jour manuelle pour DB et KEK à l'aide des instructions publiées par Microsoft.
  • Etudier les futures solutions partiellement automatisées que Microsoft proposera pour prendre en charge les déploiements en libre-service.

 

Plus d’informations sur :

Facebook Like
2025 - MicrosoftTouch
Site indépendant de passionnés
La communauté fournit le site et le contenu "tels quels" et ne donne aucune garantie quant au site et à ses contenus.
Le contenu est l'entière propriété de l'auteur. Son plagiat vous expose à des poursuites.
Powered by VERINT