Microsoft erstatter udløbende Secure Boot-certifikater på Windows 11 – Alle detaljer og hvordan du opdaterer dine

  • Sikker opstart forhindrer lavniveau-malware i at kompromittere Windows 11-opstartsprocessen.
  • Microsofts originale Secure Boot-certifikater fra 2011 udløber i juni 2026, og nye certifikater fra 2023 forlænger beskyttelsen til 2053.
  • Enheder købt i 2024 og senere har sandsynligvis allerede de nyeste certifikater. Andre modtager dem gradvist via Windows Update.
  • Du kan tjekke din certifikatstatus ved hjælp af PowerShell og manuelt opdatere certifikater ved hjælp af justeringer i registreringsdatabasen og planlagte opgaver, hvis opdateringer ikke er ankommet automatisk.

Certifikatet til din pc's Secure Boot-modul udløber i juni 2026. Fra og med sikkerhedsopdateringen fra januar 2026 er Microsoft begyndt en gradvis udrulning af et nyt certifikat, der giver din computer mulighed for at fortsætte med at starte korrekt og modtage sikkerhedsopdateringer.

I Windows 11 er Secure Boot en sikkerhedsfunktion, der er tilgængelig i Unified Extensible Firmware Interface (UEFI)-firmwaren, som forhindrer uautoriserede ændringer af kritiske systemfiler under opstart. Som et resultat sikrer den, at en enhed starter kun med software, der er betroet af producenten.

Med andre ord hjælper Secure Boot med at beskytte dine enheder mod malware på lavt niveau (såsom bootkits og rootkits), der kan inficere opstartsprocessen og få kontrol over din computer, før operativsystemet og dit antivirusprogram overhovedet indlæses.

 

Forstå Secure Boot-certifikater

Som en del af processen bruger funktionen kryptografiske nøgler (kendt som certifikatmyndigheder (CA'er)) til at validere, at firmwaremoduler kommer fra en pålidelig kilde, hvilket hjælper med at forhindre malware i at køre i de tidlige stadier af enhedens opstart.

Nu har Secure Boot-certifikater altid haft udløbsdatoer, da de hjælper med at sikre, at din computer fortsat modtager sikkerhedsopdateringer og starter korrekt. Derfor skal du installere 2023-certifikaterne, før 2011-CA'erne begynder at udløbe i juni 2026.

Hvis du har en enhed købt i 2024 (eller senere), er der stor sandsynlighed for, at de nyeste certifikater allerede er installeret. For resten af ​​computerne er Microsoft dog nu i gang med at udrulle de nye Secure Boot-certifikater via Windows Update.

I "2026-01 Security Update (KB5074109) (26200.7623)", der blev udrullet den 13. januar 2026, har softwaregiganten bemærket, at opdateringerne nu inkluderer et delmængde af højkonfidensielle enhedsdata, der identificerer enheder, der er berettiget til automatisk at modtage nye Secure Boot-certifikater. Enheder vil kun modtage de nye certifikater efter at have demonstreret tilstrækkelige succesfulde opdateringssignaler, hvilket sikrer en sikker og faset implementering.

Det betyder, at du ikke behøver at foretage nogen manuelle trin for at opdatere Secure Boot , udover at tillade systemet at fortsætte med at modtage opdateringer. I hvert fald fra nu af og indtil sikkerhedsopdateringen fra juni 2026 bliver tilgængelig.

Kontroller udløbsdatoen for Secure Boot-certifikatet

Da du ikke modtager en besked om, at din computer nu indeholder de nyeste certifikatmyndigheder, er det vigtigt at kontrollere, om din enhed stadig har brug for en opdatering.

Windows 11 har ingen indbygget kommando til at vise den menneskeligt læsbare firmwareudløbsdato. Du kan dog kontrollere, om du har de "opdaterede" 2023-certifikater (som erstatter dem, der udløber i 2026) ved at følge disse trin:

Åbn PowerShell (administrator) og kør:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Sandt: Du har det nye certifikat (gyldigt indtil 2053).
  • Falsk: Du er sandsynligvis stadig på 2011-certifikatet (udløber i 2026).

Microsoft erstatter udløbende Secure Boot-certifikater på Windows 11 – Alle detaljer og hvordan du opdaterer dine

PowerShell-tjek udløbsdato for Secure Boot-certifikat / Billede: Mauro Huculak

Næsten alle moderne Secure Boot-kæder er afhængige af Microsofts 2011-certifikater, som har følgende udløbsdatoer :

  • Microsoft Corporation KEK CA 2011 (24. juni 2026). 
  • Microsoft Corporation UEFI CA 2011 (27. juni 2026).
  • Microsoft Option ROM UEFI CA 2011 (27. juni 2026).
  • Microsoft Windows Produktions-PCA 2011 (19. oktober 2026).

Til reference, dette er hvad hvert certifikat gør:

  • KEK-certifikat: Tillidsanker, der tillader opdatering af Secure Boot-signaturdatabaser (DB/DBX).
  • UEFI CA-certifikater: Stol på signaturer fra bootloadere og firmwarekomponenter (herunder tredjeparts EFI-applikationer).
  • Option ROM CA: Har tillid til firmware-ROM-moduler.
  • Microsoft Windows Production PCA 2011: Sikrer, at Windows bootloader og relaterede binære filer er betroet af firmwaren under Secure Boot.

Opdater Secure Boot-certifikater på Windows 11

Hvis dine certifikater er ved at udløbe, vil Microsoft og din computerproducent (OEM) automatisk sende firmwareopdateringer eller "DBX"-opdateringer via Windows Update eller systemopdateringer for at tilmelde de nye 2023 CA-certifikater. Du kan dog manuelt opdatere din Secure Boot.

Advarsel: Før du fortsætter, skal du sørge for at have en gemt BitLocker-gendannelsesnøgle , og at din BIOS (UEFI) er opdateret. Hvis din computers firmware ikke understøtter de nye certifikater, kan din computer muligvis ikke starte efter opdateringen. Det anbefales også at oprette en fuld sikkerhedskopi af din computer, før du fortsætter.

Åbn PowerShell (administrator) og kør:

reg tilføj HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v Tilgængelige opdateringer /t REG_DWORD /d 0x5944 /f

Denne kommando angiver den registreringsdatabasenøgle, der instruerer operativsystemet i at installere alle nødvendige certifikater (inklusive den PCA 2023-signerede boot manager).

Værdien 0x5944er koden for "fuldstændig afhjælpning", der aktiverer alle relevante certifikatopdateringer.

Windows 11 har en indbygget opgave, der behandler disse certifikatændringer, og du kan udløse den manuelt for at undgå at vente i 12 timer med følgende kommando:

Start-PlanlagtOpgave -Opgavenavn "\Microsoft\Windows\PI\Secure-Boot-Update"

Microsoft erstatter udløbende Secure Boot-certifikater på Windows 11 – Alle detaljer og hvordan du opdaterer dine

PowerShell opdaterer Secure Boot-certifikat / Billede: Mauro Huculak

Opdateringen kræver typisk to genstarter for at fungere fuldt ud. Efter den første genstart opdaterer systemet boot manager. Efter den anden færdiggør det certifikatregistreringen i UEFI-databasen.

Efter din genstart kan du kontrollere, om "UEFI CA 2023" nu findes i din database ved at køre denne PowerShell- kommando (som administrator):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Sandt: Dit system er nu sikret med de nye certifikater.
  • Falsk: Hvis den forbliver falsk efter flere genstarter, kan bundkortets firmware være for gammel til at acceptere det nye certifikatformat. Tjek producentens hjemmeside for en BIOS-opdatering relateret til "Secure Boot".

Hvis BitLocker er aktiv, skal du muligvis deaktivere krypteringen midlertidigt ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), før firmwaren kan skrive de nye nøgler til enheden.

Efterlad en kommentar

Sådan omgår du en Microsoft-konto i OOBE på Windows 11 – metoder, der stadig virker

Sådan omgår du en Microsoft-konto i OOBE på Windows 11 – metoder, der stadig virker

Du kan stadig omgå Microsoft-konto og internet på Windows 11 OOBE med registreringsdatabasen, WinJS, domænetilsluttet, uovervågede filer og værktøjer.

Sådan bruger du Tiny11 Builder til at oprette en brugerdefineret Windows 11 ISO uden uønskede apps

Sådan bruger du Tiny11 Builder til at oprette en brugerdefineret Windows 11 ISO uden uønskede apps

Opret en debloated Windows 11 ISO med Tiny11 Builder. Fjern standardapps, spring Microsoft-kontoen over, og byg et rent installationsbillede.

Sådan bruger du Rufus til at oprette en bootbar Windows 11 25H2 USB

Sådan bruger du Rufus til at oprette en bootbar Windows 11 25H2 USB

For at bruge Rufus til at oprette en Windows 11 25H2 USB, skal du åbne værktøjet, vælge at åbne eksisterende eller downloade ISO-filen og vælge den brugerdefinerede indstilling. Sådan gør du her.

Build 26120.3964 (KB5058496) til Windows 11 tilføjer ny AI-agent til Indstillinger i Betakanal

Build 26120.3964 (KB5058496) til Windows 11 tilføjer ny AI-agent til Indstillinger i Betakanal

Windows 11 build 26120.3964 (KB5058496) leverer AI-agent til Indstillinger, tilføjer filoverførselsmulighed til Backup-appen, og Click to Do udvider handlinger.

Opgrader ikke-understøttede (24H2) pcer til Windows 11 25H2 uden geninstallation eller ekstra værktøjer

Opgrader ikke-understøttede (24H2) pcer til Windows 11 25H2 uden geninstallation eller ekstra værktøjer

For at opgradere fra Windows 11 24H2 til version 25H2 uden geninstallation eller ekstra værktøjer, skal du installere aktiveringspakken manuelt.

Sådan viser du klokkeslæt i Notifikationscenteret i Windows 11

Sådan viser du klokkeslæt i Notifikationscenteret i Windows 11

For at aktivere uret i Meddelelsescenteret i Windows 11 skal du åbne Indstillinger > Tid og sprog > Dato og tid og aktivere Vis tid i Meddelelsescenter.

Sådan installeres Windows 11 uden bloatware på ikke-understøttet hardware

Sådan installeres Windows 11 uden bloatware på ikke-understøttet hardware

For at installere Windows 11 uden bloatware ved hjælp af en lokal konto på ikke-understøttet hardware, skal du integrere en autounattend.xml-fil i en bootbar USB-drev.

Googles nye Aluminium OS-lækage antyder en direkte Windows 11-rival

Googles nye Aluminium OS-lækage antyder en direkte Windows 11-rival

Googles lækage af Aluminium OS afslører Androids fulde desktop-grænseflade, multitasking, Chrome-udvidelser og AI, en potentiel Windows 11-rival.

Microsoft stopper aggressiv AI-fremstød på Windows 11 – Copilot skaleres ned, tilbagekaldelse under gennemgang

Microsoft stopper aggressiv AI-fremstød på Windows 11 – Copilot skaleres ned, tilbagekaldelse under gennemgang

Microsoft nedskalerer angiveligt Copilot på Windows 11-apps efter brugernes kritik, sætter nye AI-funktioner på pause og gennemgår eksisterende integrationer.

Sådan aktiverer du dvaletilstand i Windows 11

Sådan aktiverer du dvaletilstand i Windows 11

For at aktivere dvaletilstand i Windows 11 skal du køre kommandoen powercfg /hibernate on og aktivere Dvaletilstand under Start i Kontrolpanel under Strømstyring.