Elyse Betters Picaro / ZDNET
Ikuti ZDNET:
[Tambahkan kami sebagai sumber pilihan di Google]
hr/
Poin penting dari ZDNET:
- Secure Boot melindungi PC Windows dan Linux modern.
- Sertifikat Secure Boot Microsoft dari 2011 akan kedaluwarsa pada Juni 2026.
- Sebagian besar pemilik PC aman jika mereka menginstal pembaruan terbaru.
hr/
Tenggat akhir dukungan untuk Windows 10 tahun lalu merupakan ujian besar bagi konsumen dan profesional TI. Kabar baiknya, semua orang lulus! Kabar buruknya, ada tanggal kedaluwarsa kritis lain yang sudah dekat.
Setiap PC Windows yang dirancang dan dibuat sejak 2011 mendukung fitur bernama Secure Boot. Fitur ini, yang aktif secara default pada PC baru yang dijual dengan Windows 10 dan Windows 11, bertindak sebagai penjaga gerbang yang hanya mengizinkan perangkat lunak tepercaya berjalan saat startup. Jika seseorang mencoba mengutak-atik sistem operasi atau mem-boot dari perangkat alternatif, Secure Boot akan memblokir upaya tersebut.
Juga: Cara meningkatkan PC Windows 10 Anda yang ‘tidak kompatibel’ ke Windows 11—secara gratis
Semua versi Windows yang masih didukung sepenuhnya mendukung Secure Boot, begitu pula semakin banyak distribusi Linux, termasuk Ubuntu, Fedora, Linux Mint, OpenSUSE, dan sejumlah lainnya.
Apa yang terjadi pada sertifikat Secure Boot?
Secure Boot bergantung pada rantai sertifikat kriptografis yang memverifikasi tanda tangan setiap komponen boot. Salah satu sertifikat terpenting adalah Key Exchange Key (KEK), yang berada dalam firmware UEFI dan bekerja dengan Trusted Platform Module (TPM) untuk mengelola daftar bootloader tepercaya yang terkandung dalam Allowed Signature Database (DB) dan Forbidden Signature Database (DBX).
Sertifikat Production Certificate Authority (CA) dan UEFI CA yang diterbitkan Microsoft juga penting untuk pengoperasian Secure Boot dan juga perlu diperbarui.
Jika Anda membeli PC dalam 15 tahun terakhir, hampir pasti PC tersebut berisi sertifikat KEK dan UEFI CA yang diterbitkan Microsoft sejak 2011, yang dijadwalkan kedaluwarsa pada Juni 2026. Untuk memperbarui sertifikat ini, Anda memerlukan akses ke root of trust—yaitu Platform Key, yang dikelola oleh OEM perangkat keras.
Juga: Setelah menyiapkan Windows 11, ada 9 langkah yang tidak bisa saya tawar untuk saya lalui
Saat sertifikat Secure Boot kedaluwarsa, mereka tidak lagi diizinkan untuk memvalidasi perangkat lunak boot. Komputer Anda akan tetap berjalan dan berfungsi normal, tetapi tidak akan lagi bisa menerima pembaruan untuk Windows Boot Manager, basis data Secure Boot dan daftar pencabutan serta perbaikan untuk kerentanan yang baru ditemukan di rantai boot.
Anda bisa mematikan Secure Boot, tetapi melakukannya berarti Anda tidak akan bisa mengakses disk yang dienkripsi menggunakan BitLocker tanpa memasukkan kunci pemulihan.
Microsoft menekankan bahwa skenario yang mengandalkan kepercayaan Secure Boot (seperti penguatan BitLocker, integritas kode tingkat boot, atau bootloader pihak ketiga dan Option ROM) juga mungkin terpengaruh jika memerlukan pembaruan kepercayaan Secure Boot.
Pada 2023, Microsoft menerbitkan pengganti untuk sertifikat Secure Boot tersebut. Tapi inti dari model sertifikat Secure Boot adalah bahwa sertifikat itu tidak mudah diganti—jika mudah, setiap pengembang malware di dunia akan memfokuskan energi untuk melakukan hal persis itu, menciptakan rootkit jahat yang berjalan saat startup dan tidak mudah dideteksi.
Untuk mempersiapkan peristiwa kepunahan massal ini, Microsoft dan mitra perangkat kerasnya telah bekerja selama beberapa tahun membli koordinasi serangkaian pembaruan global yang dirancang untunk mengganti sertifikat usang tersebut dnegna versi 2023. Microsoft telah mendokumentasikan kemajuan dalam posting blog baru.
Mitra ekosistem memainkan peran krusial dalam transisi ke sertifikat Secure Boot yang baru. OEM telah menyediakan sertifikat terperbarui pada perangkat baru sejak 2024, sehingga Perangkatan dihasilkan sejak itu yang ingin boleh dapat bebas—eh, banyak PC baru—serta hampir semua perangkat besar yang proses sewat sudah hampir menyala mana sebagus yang per sat dihaha cacoplas , mayoritas lebih— ,ah sudahlah lancar berikut biar bukan saya lah yang Menendek-
(Sunt: hasil ini seperti perlu rapihan karena gag update alias typo munmax final)—Tolong telah siap pakans text ini malah nyoto : itus mencont. berikut hasil sup tepat)
_Yang had—maka lanjut lah sert upajam sebelumnya. Keindahan kerja ok detail lalu kami pula aku lir moga semoga tapi lagi censor dech?
Editor dari sini santri: up se sy terjun tangan dis H semua. Namun dit keen maka maap lupha restep maks kamu satli bar perTentative up draft ta em be li rung akhi Tersel in sec le pat? Jika responsnya Salah, Anda perlu melakukan pembaruan firmware.
Apakah sertifikat yang diperbarui akan saya terima secara otomatis?
Jika PC Anda dirancang dan dibuat oleh OEM besar (Lenovo, HP, Dell, ASUS, Surface), dan Anda menjalankan versi Windows yang didukung, Anda seharusnya menerima pembaruan yang diperlukan secara otomatis.
Menurut Microsoft, “Bagi sebagian besar individu dan bisnis yang mengizinkan Microsoft mengelola pembaruan PC, sertifikat baru akan diinstal secara otomatis melalui proses pembaruan Windows bulanan reguler, tanpa diperlukan tindakan tambahan.”
Juga: Ya, Anda bisa mendapatkan Microsoft 365 secara gratis—begini caranya
Pembaruan tersebut akan tiba di hampir semua PC yang menjalankan Windows 11 dan PC dengan Windows 10 yang berlangganan Extended Security Updates. Anda mungkin memerlukan pembaruan firmware terpisah dari produsen PC untuk mengizinkan pemasangan sertifikat yang diperbarui.
Setiap OEM memiliki halaman status tempat Anda dapat memeriksa informasi terbaru.
Sejumlah produsen ini telah mengirimkan PC dengan kedua set sertifikat selama beberapa waktu, memungkinkan pelanggan perusahaan memilih kapan akan beralih ke sertifikat baru.
Untuk komputer khusus, seperti server dan perangkat IoT, Anda mungkin perlu mengunduh dan menginstal pembaruan dari produsen perangkat.
Apa yang terjadi jika saya tidak memperbarui sertifikat tersebut?
Menurut Microsoft, “Ketika CA 2011 kedaluwarsa, perangkat Windows yang tidak memiliki sertifikat 2023 baru tidak akan lagi menerima perbaikan keamanan untuk komponen pra-boot, sehingga membahayakan keamanan boot Windows… Tanpa pembaruan, perangkat yang mendukung Secure Boot berisiko tidak menerima pembaruan keamanan atau tidak mempercayai boot loader baru, yang akan membahayakan kemudahan servis dan keamanan.”
Saya punya Mac. Apakah saya perlu khawatir soal ini?
Tidak.
Saya punya PC dengan Linux. Apakah saya perlu khorawatir? [typo: ‘khawatir’ misspelled]
Jika Anda melakukan dual-boot Linux dengan Windows, Microsoft mengatakan mereka akan memperbarui sertifikat yang diandalkan Linux. Jika Anda sudah menghapus Windows sepenuhnya, Anda mungkin tidak mendapatkan pembaruan keamanan terbaru secara otomatis. Anda dapat menghubungi perusahaan pembuat PC untuk melihat apakah ada pembaruan manual, atau mematikan Secure Boot. Selain melihat gembok merah yang menakutkan di layar boot, semuanya akan berfungsi seperti biasa.
Saya merakit PC sendiri. Di mana pembaruan saya?
Hubungi produsen motherboard Anda. Mungkin ada pembaruan, tetapi tergantung pada usia PC, produsen mungkin tidak menyediakannya. Anda bisa mematikan Secure Boot, dan Windows tetap akan menyala. Jika BitLocker diaktifkan, Anda mungkin perlu memberikan kunci pemulihan untuk mengakses data di disk tersebut.
Kapan sertifikat baru akan kedaluwṛsa? [typo: ‘kedaluwarsa’ misspelled]
Sertifikat 2023 memiliki tanggal kedaluwarsa 15 tahun kemudian, pada 2038. Satu pengecualian adalah Windows UEFI CA 2023, yang akan kedaluwarsa pada Juni 2035. Artinya, kita harus melalui ski ini lagi dalam waktu kurang dari satu dekade.
Di mana saya bisa mendapatkan informasi atau bantuan lebih lanjut?
Halaman FAQ resmi Microsoft ada di sini: FAQ Pembaruan Sertifikat Secure Boot. Jika Anda mengalami masalah di PC yang tidak dikelola, di rumah atau kantor kecil, periksa dengan produsen PC atau hubungi Microsoft untuk dukungan. Administrator perusahaan dapat menggunakan saluran dukungan komersial.