Kuinka tarkistaa, onko tietokoneellasi päivitetyt Secure Boot -varmenteet Windows 11:ssä, 10:ssä

• Microsoftin vuoden 2011 Secure Boot -sertifikaatit vanhenevat kesäkuussa 2026.
• Uudet Windows UEFI CA 2023 -sertifikaatit jatkavat suojausta vuoteen 2053 asti.
• Vuonna 2024 tai myöhemmin ostetuissa laitteissa on yleensä jo päivitetyt varmenteet.
• Vanhemmat tietokoneet saavat päivityksen vähitellen Windows Updaten kautta.
• Voit tarkistaa varmenteen tilan PowerShell-komennolla.

Joissakin Windows 11- ja Windows 10 -laitteissa vuonna 2011 ensimmäisen kerran myönnetyt Secure Boot -varmenteet vanhenevat kesäkuussa 2026. Vaikka Microsoft korvaa niitä aktiivisesti vuoden 2023 varmenteilla, sinun tulee varmistaa, että järjestelmäsi on jo siirtynyt uudempiin varmenteisiin käynnistys- tai tietoturvahäiriöiden estämiseksi.

Secure Boot on laiteohjelmistoon perustuva suojausominaisuus Unified Extensible Firmware Interfacessa (UEFI), joka varmistaa, että laite lataa vain valmistajan digitaalisesti allekirjoittamaa ja luottamaa ohjelmistoa. Se suojaa käynnistysprosessia estämällä luvattomat muutokset kriittisiin käynnistyskomponentteihin ennen käyttöjärjestelmän lataamista.

Tämän saavuttamiseksi Secure Boot käyttää kryptografisia avaimia, joita kutsutaan varmenneviranomaisiksi (CA), laiteohjelmistomoduulien ja käynnistyslatainten validointiin. Nämä varmenteet luovat luottamusketjun, joka estää haitallisen koodin suorittamisen käynnistyksen alkuvaiheessa.

Kuten kaikilla digitaalisilla varmenteilla, Secure Boot -varmenteilla on määritellyt vanhenemispäivät. Vuoden 2011 varmenteiden voimassaolo päättyy kesäkuussa 2026, mikä tarkoittaa, että järjestelmissä on oltava uudemmat vuoden 2023 varmenteet asennettuna, jotta ne voivat edelleen vastaanottaa päivityksiä ja käynnistyä normaalisti ilman luottamuksen vahvistusvirheitä.

Koska digitaalisilla varmenteilla on vanhenemispäivät, järjestelmien on asennettava vuoden 2023 varmenteet ennen kuin vuoden 2011 varmenteiden voimassaolo vanhenee kesäkuussa 2026, jotta käynnistyminen ja päivitysten vastaanottaminen jatkuu oikein.

Vuonna 2024 tai myöhemmin ostetuissa laitteissa on yleensä jo uudet varmenteet. Vanhemmille laitteistoille Microsoft jakaa ne Windows Updaten kautta.

Microsoft tunnistaa ja päivittää jo automaattisesti Secure Boot -sertifikaatit säännöllisten järjestelmäpäivitysten kautta, joten manuaalisia toimia ei tarvita Windows Updaten pitämisen käytössä ja kuukausittaisten tietoturvapäivitysten asentamisen lisäksi ennen kesäkuun 2026 määräaikaa. On kuitenkin aina hyvä tarkistaa, onko laitteellasi asianmukaiset sertifikaatit.

Tässä oppaassa esittelen vaiheet sen tarkistamiseksi, onko vuoden 2023 Secure Boot -varmenteet jo asennettu tietokoneellesi.

• Tarkista PowerShellin avulla, onko tietokoneellasi Secure Boot 2023 -sertifikaatit
• Tarkista Windowsin suojauksen avulla, onko tietokoneellasi Secure Boot 2023 -varmenteet

Tarkista PowerShellin avulla, onko tietokoneellasi Secure Boot 2023 -sertifikaatit

Tarkistaaksesi, onko sinulla "päivitetyt" vuoden 2023 Secure Boot -varmenteet (jotka korvaavat vuonna 2026 vanhenevat varmenteet), toimi seuraavasti:

1. Avaa Käynnistä Windows 11:ssä.

    

    

2. Hae PowerShell (tai Pääte ), napsauta hiiren kakkospainikkeella ylintä tulosta ja valitse Suorita järjestelmänvalvojana -vaihtoehto.

3. Tarkista Secure Boot -sertifikaattien vanhenemispäivämäärä kirjoittamalla tämä komento ja painamalla Enter-näppäintä: 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

Kun olet suorittanut vaiheet ja tuloste on ”True”, sinulla on uusi varmenne (voimassa vuoteen 2053 asti). Jos tuloste on ”False”, sinulla on todennäköisesti edelleen vuoden 2011 varmenne (vanhenee vuonna 2026).

Secure Boot 2011 -sertifikaatit vanhenevat vuonna 2026 – mitä kukin sertifikaatti tekee

Lähes kaikki nykyaikaiset Secure Boot -ketjut perustuvat Microsoftin vuoden 2011 sertifikaatteihin, joilla on seuraavat voimassaolopäivät :

• Microsoft Corporation KEK CA 2011 (24. kesäkuuta 2026). 
• Microsoft Corporation UEFI CA 2011 (27. kesäkuuta 2026).
• Microsoft Option ROM UEFI CA 2011 (27. kesäkuuta 2026).
• Microsoft Windows Production PCA 2011 (19. lokakuuta 2026).

Vertailun vuoksi, tässä on mitä kukin sertifikaatti tekee:

• KEK-varmenne: Luottamusankkuri, joka mahdollistaa Secure Boot -allekirjoitustietokantojen (DB/DBX) päivittämisen.
• UEFI CA -varmenteet: Luota käynnistyslatainten ja laiteohjelmistokomponenttien (mukaan lukien kolmannen osapuolen EFI-sovellukset) allekirjoituksiin.
• Option ROM CA: Luottaa laiteohjelmiston ROM-moduuleihin.
• Microsoft Windows Production PCA 2011: Varmistaa, että laiteohjelmisto luottaa Windowsin käynnistyslataimeen ja siihen liittyviin binääreihin suojatun käynnistyksen aikana.

Jos varmenteesi ovat vanhenemassa, Microsoft ja tietokoneesi valmistaja (OEM) julkaisevat automaattisesti laiteohjelmistopäivityksiä tai "DBX"-päivityksiä Windows Updaten tai järjestelmäpäivitysten kautta uusien vuoden 2023 varmenteiden rekisteröintiä varten. Voit aina asentaa uudet Secure Boot -varmenteet manuaalisesti .

Miksi tapahtumatunnus 1801 näkyy Tapahtumienvalvonnassa (ja miksi se ei ole virhe)

Lopuksi huomaat todennäköisesti, että tapahtumatunnus 1801 näkyy lähteelle ”TPM-WMI (Microsoft-Windows-TPM-WMI)” ja siinä on viesti ”BucketConfidenceLevel: Tarkastelussa – Lisää tietoja tarvitaan” .

Vaikka se näyttää virheeltä, se ei ole häiriö. Tämä merkintä tarkoittaa, että käyttöjärjestelmä on havainnut päivitetyt Secure Boot -varmenteet, mutta ei ole vielä ottanut niitä käyttöön laiteohjelmistossa.

Laite on testi- ja validointivaiheessa, kun Microsoft julkaisee päivitystä vähitellen. Koska Secure Boot -avaimet sijaitsevat UEFI-laiteohjelmistossa ja vaikuttavat käynnistysketjuun, siirtyminen koordinoidaan huolellisesti käynnistysongelmien välttämiseksi.

Yksinkertaisesti sanottuna tapahtumatunnus 1801 on vain tilan tarkistus, joka osoittaa, että Windows arvioi laitettasi osana Secure Boot -sertifikaatin käyttöönottoa. Viesti ”Havainnoinnissa” heijastaa tätä arviointiprosessia. Se ei tarkoita TPM-ongelmaa, Secure Bootin vioittumista tai BIOS-virhettä. Vaikka se kirjataan virheenä, se on puhtaasti tiedoksi.

Secure Boot -sertifikaatin siirtyminen tapahtuu kahdessa vaiheessa. Ensin Windows 11 (tai 10) lataa ja asentaa uuden sertifikaatin käyttöjärjestelmään. Myöhemmin yhteensopivuustarkistusten ja validoinnin jälkeen sertifikaatti kirjoitetaan järjestelmän laiteohjelmistoon ja aktivoidaan.

Laitteet voivat pysyä näiden kahden vaiheen välillä jonkin aikaa, minkä vuoksi TPM-WMI-merkinnät saattavat edelleen näkyä Tapahtumienvalvonnassa, vaikka mitään ei olisi vialla.

Tarkista Windowsin suojauksen avulla, onko tietokoneellasi Secure Boot 2023 -varmenteet

PowerShellin käytön lisäksi Windowsin suojaussovellusta on päivitetty näyttämään vuonna 2026 vanhenevien Secure Boot -varmenteiden tarkka tila. 

Tarkistaaksesi, onko tietokoneellasi uusimmat Secure Boot -varmenteet, toimi seuraavasti:

1. Avaa Käynnistä .

2. Hae Windowsin suojaus ja avaa sovellus napsauttamalla ylintä tulosta.

3. Napsauta vasemmanpuoleisesta ruudusta Laiteturvallisuus .

4. Vahvista Secure Boot -merkin väri ja viesti.

5. (Vaihtoehto 1) Vihreä tarkoittaa, että järjestelmä on täysin päivitetty uusimmilla varmenteilla ja käynnistyskomponenteilla.

   

6. (Vaihtoehto 2) Keltainen osoittaa, että päivitys on odottamassa tai sitä rajoittavat yhteensopivuusrajoitukset.

   

7. (Vaihtoehto 3) Punainen tarkoittaa, että järjestelmä ei voi asentaa vaadittuja päivityksiä ja vaatii toimia.

   

Kun olet suorittanut vaiheet, sinulla on selkeämpi käsitys siitä, vaaditaanko mitään toimia vai onko sinun jatkettava manuaalista prosessia päivittääksesi järjestelmän laiteohjelmiston Secure Boot -varmenteiden uudemmalla versiolla.

Windowsin tietoturvasovelluksessa näkemäsi viesti liittyy Windows Updaten kautta toimitettuihin varmennepäivityksiin. Järjestelmä arvioi laiteohjelmiston yhteensopivuuden, varmistaa varmenteiden käyttöönoton ja raportoi tuloksen reaaliajassa.

Microsoft julkaisee tämän päivityksen Windows Update -sovellukseen vähitellen. Jos et pysty selvittämään varmenteiden tilaa, käytä PowerShell-vaihtoehtoa.

Toukokuusta 2026 alkaen järjestelmätason ilmoitukset heijastavat näitä tiloja, mikä lisää näkyvyyttä, kun toimia tarvitaan.