Microsoft erstatter udløbende Secure Boot-certifikater på Windows 11 – Alle detaljer og hvordan du opdaterer dine

• Sikker opstart forhindrer lavniveau-malware i at kompromittere Windows 11-opstartsprocessen.
• Microsofts originale Secure Boot-certifikater fra 2011 udløber i juni 2026, og nye certifikater fra 2023 forlænger beskyttelsen til 2053.
• Enheder købt i 2024 og senere har sandsynligvis allerede de nyeste certifikater. Andre modtager dem gradvist via Windows Update.
• Du kan tjekke din certifikatstatus ved hjælp af PowerShell og manuelt opdatere certifikater ved hjælp af justeringer i registreringsdatabasen og planlagte opgaver, hvis opdateringer ikke er ankommet automatisk.

Certifikatet til din pc's Secure Boot-modul udløber i juni 2026. Fra og med sikkerhedsopdateringen fra januar 2026 er Microsoft begyndt en gradvis udrulning af et nyt certifikat, der giver din computer mulighed for at fortsætte med at starte korrekt og modtage sikkerhedsopdateringer.

I Windows 11 er Secure Boot en sikkerhedsfunktion, der er tilgængelig i Unified Extensible Firmware Interface (UEFI)-firmwaren, som forhindrer uautoriserede ændringer af kritiske systemfiler under opstart. Som et resultat sikrer den, at en enhed starter kun med software, der er betroet af producenten.

Med andre ord hjælper Secure Boot med at beskytte dine enheder mod malware på lavt niveau (såsom bootkits og rootkits), der kan inficere opstartsprocessen og få kontrol over din computer, før operativsystemet og dit antivirusprogram overhovedet indlæses.

Forstå Secure Boot-certifikater

Som en del af processen bruger funktionen kryptografiske nøgler (kendt som certifikatmyndigheder (CA'er)) til at validere, at firmwaremoduler kommer fra en pålidelig kilde, hvilket hjælper med at forhindre malware i at køre i de tidlige stadier af enhedens opstart.

Nu har Secure Boot-certifikater altid haft udløbsdatoer, da de hjælper med at sikre, at din computer fortsat modtager sikkerhedsopdateringer og starter korrekt. Derfor skal du installere 2023-certifikaterne, før 2011-CA'erne begynder at udløbe i juni 2026.

Hvis du har en enhed købt i 2024 (eller senere), er der stor sandsynlighed for, at de nyeste certifikater allerede er installeret. For resten af ​​computerne er Microsoft dog nu i gang med at udrulle de nye Secure Boot-certifikater via Windows Update.

I "2026-01 Security Update (KB5074109) (26200.7623)", der blev udrullet den 13. januar 2026, har softwaregiganten bemærket, at opdateringerne nu inkluderer et delmængde af højkonfidensielle enhedsdata, der identificerer enheder, der er berettiget til automatisk at modtage nye Secure Boot-certifikater. Enheder vil kun modtage de nye certifikater efter at have demonstreret tilstrækkelige succesfulde opdateringssignaler, hvilket sikrer en sikker og faset implementering.

Det betyder, at du ikke behøver at foretage nogen manuelle trin for at opdatere Secure Boot , udover at tillade systemet at fortsætte med at modtage opdateringer. I hvert fald fra nu af og indtil sikkerhedsopdateringen fra juni 2026 bliver tilgængelig.

Kontroller udløbsdatoen for Secure Boot-certifikatet

Da du ikke modtager en besked om, at din computer nu indeholder de nyeste certifikatmyndigheder, er det vigtigt at kontrollere, om din enhed stadig har brug for en opdatering.

Windows 11 har ingen indbygget kommando til at vise den menneskeligt læsbare firmwareudløbsdato. Du kan dog kontrollere, om du har de "opdaterede" 2023-certifikater (som erstatter dem, der udløber i 2026) ved at følge disse trin:

Åbn PowerShell (administrator) og kør:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Sandt: Du har det nye certifikat (gyldigt indtil 2053).
• Falsk: Du er sandsynligvis stadig på 2011-certifikatet (udløber i 2026).

PowerShell-tjek udløbsdato for Secure Boot-certifikat / Billede: Mauro Huculak

Næsten alle moderne Secure Boot-kæder er afhængige af Microsofts 2011-certifikater, som har følgende udløbsdatoer :

• Microsoft Corporation KEK CA 2011 (24. juni 2026). 
• Microsoft Corporation UEFI CA 2011 (27. juni 2026).
• Microsoft Option ROM UEFI CA 2011 (27. juni 2026).
• Microsoft Windows Produktions-PCA 2011 (19. oktober 2026).

Til reference, dette er hvad hvert certifikat gør:

• KEK-certifikat: Tillidsanker, der tillader opdatering af Secure Boot-signaturdatabaser (DB/DBX).
• UEFI CA-certifikater: Stol på signaturer fra bootloadere og firmwarekomponenter (herunder tredjeparts EFI-applikationer).
• Option ROM CA: Har tillid til firmware-ROM-moduler.
• Microsoft Windows Production PCA 2011: Sikrer, at Windows bootloader og relaterede binære filer er betroet af firmwaren under Secure Boot.

Opdater Secure Boot-certifikater på Windows 11

Hvis dine certifikater er ved at udløbe, vil Microsoft og din computerproducent (OEM) automatisk sende firmwareopdateringer eller "DBX"-opdateringer via Windows Update eller systemopdateringer for at tilmelde de nye 2023 CA-certifikater. Du kan dog manuelt opdatere din Secure Boot.

Advarsel: Før du fortsætter, skal du sørge for at have en gemt BitLocker-gendannelsesnøgle , og at din BIOS (UEFI) er opdateret. Hvis din computers firmware ikke understøtter de nye certifikater, kan din computer muligvis ikke starte efter opdateringen. Det anbefales også at oprette en fuld sikkerhedskopi af din computer, før du fortsætter.

Åbn PowerShell (administrator) og kør:

reg tilføj HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v Tilgængelige opdateringer /t REG_DWORD /d 0x5944 /f

Denne kommando angiver den registreringsdatabasenøgle, der instruerer operativsystemet i at installere alle nødvendige certifikater (inklusive den PCA 2023-signerede boot manager).

Værdien 0x5944er koden for "fuldstændig afhjælpning", der aktiverer alle relevante certifikatopdateringer.

Windows 11 har en indbygget opgave, der behandler disse certifikatændringer, og du kan udløse den manuelt for at undgå at vente i 12 timer med følgende kommando:

Start-PlanlagtOpgave -Opgavenavn "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell opdaterer Secure Boot-certifikat / Billede: Mauro Huculak

Opdateringen kræver typisk to genstarter for at fungere fuldt ud. Efter den første genstart opdaterer systemet boot manager. Efter den anden færdiggør det certifikatregistreringen i UEFI-databasen.

Efter din genstart kan du kontrollere, om "UEFI CA 2023" nu findes i din database ved at køre denne PowerShell- kommando (som administrator):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Sandt: Dit system er nu sikret med de nye certifikater.
• Falsk: Hvis den forbliver falsk efter flere genstarter, kan bundkortets firmware være for gammel til at acceptere det nye certifikatformat. Tjek producentens hjemmeside for en BIOS-opdatering relateret til "Secure Boot".

Hvis BitLocker er aktiv, skal du muligvis deaktivere krypteringen midlertidigt ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), før firmwaren kan skrive de nye nøgler til enheden.