در سیستم‌های مبتنی بر UEFI، مکانیزم Secure Boot با استفاده از زنجیره اعتماد رمزنگاری‌شده مانع اجرای کدهای غیرمجاز در مرحله بوت می‌شود. مایکروسافت برای اعتبارسنجی بوت‌لودرها از گواهی‌های رمزنگاری استفاده می‌کند و نسخه جدیدی با عنوان Windows UEFI CA 2023 جایگزین تدریجی ساختار ۲۰۱۱ خواهد شد. این راهنمای فنی شامل بررسی فعال بودن Secure Boot، استخراج دیتابیس Secure Boot، تحلیل وجود گواهی ۲۰۲۳، سناریوهای تصمیم‌گیری و اقدامات اصلاحی ایمن از جمله Windows Update و Firmware Update است.

نقش Secure Boot در زنجیره اعتماد

در سیستم‌های تولیدشده پس از سال ۲۰۱۱ که از معماری UEFI (Unified Extensible Firmware Interface) استفاده می‌کنند، قابلیت Secure Boot به‌عنوان بخشی از امنیت سطح Firmware فعال شده است. این مکانیزم با تکیه بر Chain of Trust تضمین می‌کند تنها بوت‌لودرها و کدهای امضاشده معتبر اجرا شوند.

شرکت Microsoft برای امضای بوت‌لودرهای ویندوز از گواهی‌های رمزنگاری استفاده می‌کند. گواهی قدیمی Windows UEFI CA 2011 به‌تدریج با نسخه جدید Windows UEFI CA 2023 جایگزین می‌شود.

بخش اول — پیش‌نیازهای فنی

پیش از آغاز بررسی‌ها، موارد زیر باید برقرار باشد:

✔ ویندوز در حالت UEFI Mode نصب شده باشد

✔ دسترسی Administrator در اختیار باشد

✔ Secure Boot فعال باشد

بخش دوم — بررسی فعال بودن Secure Boot

اجرای دستور بررسی

PowerShell را با دسترسی Administrator باز کرده و دستور زیر را اجرا نمایید:

Confirm-SecureBootUEFI

تحلیل خروجی

• اگر True باشد: Secure Boot فعال است
• اگر False باشد: Secure Boot غیرفعال است
• اگر پیغام Error نمایش داده شود: سیستم در حالت Legacy BIOS است یا دسترسی کافی وجود ندارد

اگر خروجی True باشد، می‌توان به مرحله بعد رفت.

بخش سوم — بررسی وجود گواهی Windows UEFI CA 2023

مرحله ۱: استخراج دیتابیس Secure Boot

$db = (Get-SecureBootUEFI -Name db).Bytes

این دستور دیتابیس Secure Boot را از Firmware می‌خواند.

این عملیات کاملاً Read-Only است و هیچ تغییری در سیستم ایجاد نمی‌کند.

مرحله ۲: جستجوی گواهی ۲۰۲۳

[System.Text.Encoding]::ASCII.GetString($db) -match 'Windows UEFI CA 2023'

تحلیل خروجی

• اگر True باشد: گواهی 2023 نصب شده
• اگر False: گواهی 2023 وجود ندارد

برای جستجوی عمومی‌تر:

[System.Text.Encoding]::ASCII.GetString($db) -match 'UEFI CA 2023'

بخش چهارم — تحلیل سناریوهای امنیتی

سناریو ۱: خروجی True

✔ Firmware به‌روز است

✔ گواهی جدید نصب شده

✔ نیازی به اقدام فوری نیست

سناریو ۲: خروجی False ولی Secure Boot فعال

✔ سیستم فعلاً ایمن است

✔ Firmware هنوز به‌روزرسانی نشده

این وضعیت تا پیش از انقضای گواهی ۲۰۱۱ در ژوئن ۲۰۲۶ بحرانی محسوب نمی‌شود، اما به‌روزرسانی توصیه می‌شود.

بخش پنجم — اقدامات اصلاحی استاندارد

مرحله ۱: اجرای Windows Update کامل

• ورود به Settings
• انتخاب Windows Update
• انتخاب Check for Updates
• نصب تمام به‌روزرسانی‌ها (حتی Optional Firmware Updates)
• Restart

پس از ری‌استارت، تست Secure Boot مجدداً اجرا شود.

مرحله ۲: به‌روزرسانی BIOS / UEFI Firmware

در بسیاری از دستگاه‌ها، گواهی db فقط از طریق Firmware Update اضافه می‌شود.

روش ایمن:

✔ مراجعه به وب‌سایت رسمی سازنده دستگاه

✔ دانلود آخرین نسخه BIOS/UEFI

✔ مطالعه دقیق Release Notes

✔ اجرای به‌روزرسانی طبق دستورالعمل رسمی

بخش ششم — هشدار حیاتی قبل از Firmware Update

اگر BitLocker فعال باشد، پس از Firmware Update ممکن است سیستم درخواست Recovery Key کند.

بررسی وضعیت BitLocker

manage-bde -status

✔ Recovery Key را در حساب Microsoft ذخیره کنید

✔ نسخه‌ای امن از کلید بازیابی تهیه کنید

✔ قبل از Firmware Update آن را در دسترس داشته باشید

بخش هفتم — اقدامات ممنوع

✘ نصب دستی گواهی Secure Boot بدون دستورالعمل رسمی

✘ دستکاری کلیدهای PK / KEK / db

✘ حذف Secure Boot Keys

✘ تغییر حالت UEFI به Legacy

این اقدامات می‌توانند منجر به بوت‌نشدن کامل سیستم شوند.

بخش هشتم — جمع‌بندی وضعیت امنیتی

اگر شرایط زیر برقرار باشد:

✔ Secure Boot فعال است

✔ سیستم به‌روز است

✔ گواهی 2023 هنوز نصب نشده

هیچ خطر فوری وجود ندارد.

تنها کافی است پیش از سال ۲۰۲۶ Firmware دستگاه به نسخه جدید ارتقا یابد.

نتیجه‌گیری نهایی

فرآیند بررسی Secure Boot و گواهی Windows UEFI CA 2023:

✔ کاملاً ایمن است

✔ فقط خواندن اطلاعات Firmware را انجام می‌دهد

✔ آسیبی به ویندوز وارد نمی‌کند

✔ دید دقیق از وضعیت زنجیره اعتماد بوت ارائه می‌دهد

مدیریت صحیح Secure Boot بخشی از امنیت لایه Firmware است و باید با رویکرد رسمی، مستند و کنترل‌شده انجام شود.