چیزی تا انقضای گواهینامه Secure Boot ویندوز نمانده! چه باید بدانید؟ | بازیگرها

ارسال شده توسط نازنین سجادی 12 دقیقه مطالعه
چیزی تا انقضای گواهینامه Secure Boot ویندوز نمانده! چه باید بدانید؟ | بازیگرها

دنیای امنیت دیجیتال شباهت عجیبی به مکانیسم‌های ساعت دارد؛ هزاران قطعه کوچک در پس‌زمینه کار می‌کنند تا امنیت سیستم شما حفظ شود، اما به محض اینکه یکی از این قطعات از کار بیفتد، کل ساختار با تهدید مواجه می‌شود. یکی از این قطعات کلیدی، گواهینامه‌های بوت امن (Secure Boot) هستند. مایکروسافت و تولیدکنندگان سخت‌افزار اعلام کرده‌اند که گواهینامه‌های اصلی که از سال ۲۰۱۱ در حال محافظت از سیستم‌های ما بوده‌اند، در ژوئن ۲۰۲۶ منقضی می‌شوند.

این اتفاق به زبان ساده یعنی اگر سیستم خود را به‌روز نکنید، ممکن است ویندوز شما دیگر بالا نیاید یا در برابر حملات سطح پایین (Low-level) آسیب‌پذیر شود. (ولی همچنان اینترانت از سر ما زیادی است!)

در این مقاله جامع، از زوایای فنی، تاریخی و راهکارهای عملی به بررسی این رویداد می‌پردازیم تا مطمئن شوید کامپیوتر شما برای این تغییر بزرگ آماده است.

۰۱

ماهیت فنی Secure Boot و ریشه‌های آن

بوت امن یا همان Secure Boot یک استاندارد امنیتی در رابط میان‌افزار توسعه‌پذیر یکپارچه (UEFI) است که اطمینان حاصل می‌کند رایانه شما فقط با استفاده از نرم‌افزاری که توسط تولیدکننده تجهیزات اصلی (OEM) قابل اعتماد است، بوت می‌شود. این تکنولوژی برای اولین بار در سال ۲۰۱۱ و همزمان با معرفی ویندوز ۸ به صورت گسترده مطرح شد. هدف اصلی آن جلوگیری از اجرای کدهای مخرب مانند روت‌کیت‌ها (Rootkits) و بوت‌کیت‌ها (Bootkits) در زمان روشن شدن کامپیوتر است؛ یعنی قبل از اینکه آنتی‌ویروس شما حتی فرصت بارگذاری داشته باشد. گواهینامه‌هایی که امروزه استفاده می‌کنیم، دارای عمر پانزده‌ساله بودند که حالا به پایان خود نزدیک می‌شوند.

۰۲

چرا سال ۲۰۲۶ یک تاریخ بحرانی است؟

بسیاری از کاربران تصور می‌کنند که نرم‌افزارها ابدی هستند، اما در دنیای رمزنگاری، هر امضای دیجیتال یک تاریخ انقضا دارد. گواهینامه‌های مرجع مایکروسافت (Microsoft Windows Production CA 2011) که برای امضای لودرهای بوت ویندوز استفاده می‌شوند، در سال ۲۰۲۶ از اعتبار ساقط می‌شوند. اگر سیستم شما تا آن زمان گواهینامه‌های جدید (نسخه ۲۰۲۳) را دریافت نکرده باشد، سفت‌افزار (Firmware) سیستم، بوت‌لودر ویندوز را به عنوان یک فایل ناشناس و غیرقابل اعتماد شناسایی کرده و از بالا آمدن سیستم جلوگیری می‌کند. این یک بن‌بست امنیتی است که می‌تواند میلیون‌ها دستگاه قدیمی را با مشکل روبرو کند.

۰۳

تست تشخیص وضعیت با PowerShell

برای اینکه بدانید سیستم شما در چه وضعیتی قرار دارد، نیازی به باز کردن کیس یا تخصص پیچیده ندارید. کافی است از ابزار قدرتمند پاورشل (PowerShell) استفاده کنید. با اجرای دستور مخصوصی که بررسی می‌کند آیا رشته «Windows UEFI CA 2023» در پایگاه داده سفت‌افزار شما وجود دارد یا خیر، می‌توانید وضعیت را بسنجید. اگر خروجی این دستور کلمه True بود، یعنی سیستم شما با موفقیت به‌روزرسانی شده و گواهینامه‌های جدید را دریافت کرده است. اما اگر False دریافت کردید، یعنی سیستم شما هنوز در منطقه خطر قرار دارد و باید اقدامات دستی را انجام دهید.

در منوی استارت تایپ کنید:
PowerShell
و بعد:
Run as administrator

و سپس دستور:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’)

۰۴

نقش حیاتی به‌روزرسانی‌های ویندوز

مایکروسافت برای جلوگیری از فاجعه در سال ۲۰۲۶، شروع به ارسال به‌روزرسانی‌های مرحله‌ای از طریق ویندوز آپدیت (Windows Update) کرده است. این به‌روزرسانی‌ها به صورت خودکار متغیرهای UEFI را تغییر می‌دهند تا گواهینامه‌های جدید تزریق شوند. با این حال، به دلیل پیچیدگی‌های سخت‌افزاری و تفاوت در بایوس (BIOS) مادربردهای مختلف، این فرآیند همیشه ۱۰۰ درصد موفقیت‌آمیز نیست. به همین دلیل چک کردن مداوم بخش Optional Updates در تنظیمات ویندوز برای یافتن به‌روزرسانی‌های فریم‌ور (Firmware Updates) بسیار ضروری است.

۰۵

چالش بزرگ برای کاربران ویندوز ۱۰

یکی از تلخ‌ترین واقعیت‌ها درباره این تغییر، سرنوشت کاربران ویندوز ۱۰ است. طبق بیانیه‌های رسمی، نسخه‌های پشتیبانی‌نشده ویندوز این گواهینامه‌های جدید را دریافت نخواهند کرد. از آنجایی که پایان عمر رسمی ویندوز ۱۰ برای اکتبر ۲۰۲۵ برنامه‌ریزی شده است، کاربرانی که به ویندوز ۱۱ مهاجرت نکنند یا در برنامه به‌روزرسانی امنیتی پولی (ESU) ثبت‌نام نکنند، در ژوئن ۲۰۲۶ با مشکل جدی مواجه خواهند شد. این یک استراتژی غیرمستقیم برای سوق دادن کاربران به سمت نسخه‌های جدیدتر سیستم‌عامل است که با معماری‌های امنیتی مدرن سازگارتر هستند.

۰۶

سناریوی وحشت: اگر آپدیت نکنیم چه می‌شود؟

تصور کنید صبح روز اول ژوئیه ۲۰۲۶ دکمه پاور سیستم خود را فشار می‌دهید و به جای لوگوی ویندوز، با یک صفحه سیاه و پیامی مبنی بر «Invalid Signature Detected» روبرو می‌شوید. در این حالت، تنها راه حل موقت، غیرفعال کردن Secure Boot در تنظیمات بایوس است. اما این کار مانند باز گذاشتن در خانه در یک منطقه ناامن است. با غیرفعال کردن این ویژگی، سیستم شما در برابر بدافزارهای سطح بوت که می‌توانند حتی قبل از بالا آمدن ویندوز، کلیدهای رمزنگاری درایو (BitLocker) شما را سرقت کنند، کاملاً بی‌دفاع می‌شود.

۰۷

تفاوت گواهینامه‌های CA 2011 و CA 2023

گواهینامه قدیمی که با نام CA 2011 شناخته می‌شود، از الگوریتم‌های رمزنگاری استفاده می‌کرد که در زمان خود بسیار قوی بودند، اما با پیشرفت رایانش کوانتومی و قدرت پردازش تهاجمی، اکنون ضعیف به نظر می‌رسند. گواهینامه جدید ۲۰۲۳ (Windows UEFI CA 2023) نه تنها تاریخ انقضای دورتری دارد، بلکه از استانداردهای رمزنگاری مدرن‌تری بهره می‌برد که در برابر حملات جعل امضا بسیار مقاوم‌تر هستند. این تغییر در واقع یک خانه‌تکانی امنیتی زیرساختی برای کل اکوسیستم PC محسوب می‌شود.

۰۸

مسئولیت سنگین تولیدکنندگان سخت‌افزار (OEM)

همه بار این مسئولیت بر دوش مایکروسافت نیست. شرکت‌هایی مانند ایسوس (ASUS)، گیگابایت (Gigabyte)، لنوو (Lenovo) و اچ‌پی (HP) باید به‌روزرسانی‌های فریم‌ور مخصوص به خود را ارائه دهند تا پایگاه داده امن (db) و پایگاه داده کلیدهای لغو شده (dbx) در حافظه NVRAM مادربرد به‌روز شود. اگر لپ‌تاپ یا سیستم دسکتاپ شما قدیمی است (مثلاً متعلق به سال ۲۰۱۵ تا ۲۰۱۸)، احتمال اینکه تولیدکننده دیگر آپدیتی برای آن منتشر نکند زیاد است. در این موارد، استفاده از روش‌های دستی (Manual Registry Method) تنها راه نجات خواهد بود.

۰۹

روش دستی از طریق رجیستری و Task Scheduler

برای کاربرانی که آپدیت‌ها را دریافت نکرده‌اند، یک ترفند فنی وجود دارد. با اضافه کردن یک مقدار خاص به رجیستری ویندوز در مسیر Secureboot و سپس اجرای یک تسک زمان‌بندی شده (Scheduled Task) با نام «Secure-Boot-Update»، ویندوز مجبور می‌شود گواهینامه‌های جدید را در اولین فرصت به UEFI تزریق کند. این روش به نوعی دور زدن محدودیت‌های اعمال شده توسط تولیدکننده مادربرد است و اجازه می‌دهد سیستم‌عامل مستقیماً با سخت‌افزار برای به‌روزرسانی امنیتی صحبت کند.

reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f Start-ScheduledTask -TaskName “MicrosoftWindowsPISecure-Boot-Update”

۱۰

ارتباط با روانشناسی تکنولوژی و ترس کاربران

رویدادهایی مانند انقضای گواهینامه در سال ۲۰۲۶، پدیده‌ای به نام «اضطراب آپدیت» را در میان کاربران ایجاد می‌کند. بسیاری از افراد به دلیل ترس از خراب شدن تنظیمات شخصی یا از دست رفتن پایداری سیستم، از آپدیت کردن فراری هستند. اما در این مورد خاص، مقاومت در برابر تغییر می‌تواند به قیمت از دست رفتن کامل دسترسی به سخت‌افزار تمام شود. این یک تضاد جالب در جامعه‌شناسی دیجیتال است؛ جایی که امنیت و راحتی در مقابل هم قرار می‌گیرند و کاربر مجبور به انتخاب بین یک تغییر اجباری یا ریسک از کار افتادگی است.

۱۱

اشتباهات رایج و سوءبرداشت‌ها

بسیاری فکر می‌کنند که اگر Secure Boot را در تنظیمات بایوس غیرفعال کنند، دیگر نیازی به این گواهینامه‌ها ندارند. بله، سیستم بوت می‌شود، اما شما یکی از لایه‌های دفاعی اصلی ویندوز ۱۱ را از دست می‌دهید. ویندوز ۱۱ به شدت به یکپارچگی سخت‌افزاری وابسته است. همچنین، برخی تصور می‌کنند که با نصب مجدد ویندوز (Clean Install) مشکل حل می‌شود؛ در حالی که گواهینامه‌ها در حافظه دائمی مادربرد ذخیره می‌شوند و نصب مجدد سیستم‌عامل تأثیری بر محتوای NVRAM ندارد. مشکل باید از ریشه و در سطح فریم‌ور حل شود.

۱۲

بازتاب در رسانه‌ها و سینما: واقعیت یا درام؟

داستان انقضای گواهینامه‌ها و از کار افتادن سیستم‌ها بارها در فیلم‌های علمی-تخیلی به عنوان یک سلاح سایبری تصویر شده است. اگرچه در واقعیت این یک فرآیند نگهداری روتین است، اما در مقیاس جهانی، شباهت‌هایی به بحران ایگرگ دو کا (Y2K) دارد. رسانه‌ها با برجسته کردن تاریخ ژوئن ۲۰۲۶، سعی دارند آگاهی عمومی را بالا ببرند تا از فاجعه‌ای که می‌تواند منجر به از رده خارج شدن میلیون‌ها کامپیوتر کاملاً سالم (از نظر فیزیکی) شود، جلوگیری کنند.

۱۳

تاثیر بر سازمان‌های بزرگ و دیتاسنترها

برای یک کاربر خانگی، آپدیت نکردن یک سیستم شاید فاجعه نباشد، اما برای دیتاسنترها و سازمان‌هایی که هزاران ایستگاه کاری دارند، این یک کابوس لجستیکی است. مدیران شبکه باید از ابزارهایی مانند Microsoft Endpoint Manager برای مانیتورینگ وضعیت Secure Boot تمام کلاینت‌ها استفاده کنند. هر سیستمی که از این آپدیت جا بماند، یک حفره امنیتی بزرگ برای نفوذ روت‌کیت‌های پیشرفته به شبکه داخلی سازمان خواهد بود.

۱۴

آیا سیستم‌های لینوکسی هم در خطرند؟

جالب است بدانید که بسیاری از توزیع‌های لینوکس مانند اوبونتو (Ubuntu) و فدورا (Fedora) نیز از امضای دیجیتال مایکروسافت برای کارکرد در حالت Secure Boot استفاده می‌کنند (از طریق فایلی به نام Shim). بنابراین، این انقضا فقط مختص کاربران ویندوز نیست و دنیای متن‌باز نیز باید تا قبل از ژوئن ۲۰۲۶، نسخه‌های جدید بوت‌لودر خود را با گواهینامه‌های ۲۰۲۳ هماهنگ کند. این نشان‌دهنده سیطره و اهمیت استانداردهای مایکروسافت در کل صنعت کامپیوتر است.

اگرچه ژوئن ۲۰۲۶ دور به نظر می‌رسد، اما زمان در دنیای تکنولوژی به سرعت سپری می‌شود. با چک کردن وضعیت سیستم خود از همین امروز و اطمینان از نصب آخرین به‌روزرسانی‌های بایوس و ویندوز، می‌توانید با خیالی آسوده از کامپیوتر خود استفاده کنید. فراموش نکنید که امنیت یک مقصد نیست، بلکه یک مسیر مداوم از به‌روزرسانی‌ها و مراقبت‌هاست.

چیزی تا انقضای گواهینامه Secure Boot ویندوز نمانده! چه باید بدانید؟ | بازیگرها

دکتر علیرضا مجیدی

پزشک، نویسنده و بنیان‌گذار وبلاگ «بازیگرها»

دکتر علیرضا مجیدی، نویسنده و بنیان‌گذار وبلاگ «بازیگرها».
با بیش از ۲۰ سال نویسندگی «ترکیبی» مستمر در زمینهٔ پزشکی، فناوری، سینما، کتاب و فرهنگ.
باشد که با هم متفاوت بیاندیشیم!