Kuinka tarkistaa, onko tietokoneellasi päivitetyt Secure Boot -varmenteet Windows 11:ssä, 10:ssä

  • Microsoftin vuoden 2011 Secure Boot -sertifikaatit vanhenevat kesäkuussa 2026.
  • Uudet Windows UEFI CA 2023 -sertifikaatit jatkavat suojausta vuoteen 2053 asti.
  • Vuonna 2024 tai myöhemmin ostetuissa laitteissa on yleensä jo päivitetyt varmenteet.
  • Vanhemmat tietokoneet saavat päivityksen vähitellen Windows Updaten kautta.
  • Voit tarkistaa varmenteen tilan PowerShell-komennolla.

Joissakin Windows 11- ja Windows 10 -laitteissa vuonna 2011 ensimmäisen kerran myönnetyt Secure Boot -varmenteet vanhenevat kesäkuussa 2026. Vaikka Microsoft korvaa niitä aktiivisesti vuoden 2023 varmenteilla, sinun tulee varmistaa, että järjestelmäsi on jo siirtynyt uudempiin varmenteisiin käynnistys- tai tietoturvahäiriöiden estämiseksi.

Secure Boot on laiteohjelmistoon perustuva suojausominaisuus Unified Extensible Firmware Interfacessa (UEFI), joka varmistaa, että laite lataa vain valmistajan digitaalisesti allekirjoittamaa ja luottamaa ohjelmistoa. Se suojaa käynnistysprosessia estämällä luvattomat muutokset kriittisiin käynnistyskomponentteihin ennen käyttöjärjestelmän lataamista.

Tämän saavuttamiseksi Secure Boot käyttää kryptografisia avaimia, joita kutsutaan varmenneviranomaisiksi (CA), laiteohjelmistomoduulien ja käynnistyslatainten validointiin. Nämä varmenteet luovat luottamusketjun, joka estää haitallisen koodin suorittamisen käynnistyksen alkuvaiheessa.

Kuten kaikilla digitaalisilla varmenteilla, Secure Boot -varmenteilla on määritellyt vanhenemispäivät. Vuoden 2011 varmenteiden voimassaolo päättyy kesäkuussa 2026, mikä tarkoittaa, että järjestelmissä on oltava uudemmat vuoden 2023 varmenteet asennettuna, jotta ne voivat edelleen vastaanottaa päivityksiä ja käynnistyä normaalisti ilman luottamuksen vahvistusvirheitä.

Koska digitaalisilla varmenteilla on vanhenemispäivät, järjestelmien on asennettava vuoden 2023 varmenteet ennen kuin vuoden 2011 varmenteiden voimassaolo vanhenee kesäkuussa 2026, jotta käynnistyminen ja päivitysten vastaanottaminen jatkuu oikein.

Vuonna 2024 tai myöhemmin ostetuissa laitteissa on yleensä jo uudet varmenteet. Vanhemmille laitteistoille Microsoft jakaa ne Windows Updaten kautta.

Microsoft tunnistaa ja päivittää jo automaattisesti Secure Boot -sertifikaatit säännöllisten järjestelmäpäivitysten kautta, joten manuaalisia toimia ei tarvita Windows Updaten pitämisen käytössä ja kuukausittaisten tietoturvapäivitysten asentamisen lisäksi ennen kesäkuun 2026 määräaikaa. On kuitenkin aina hyvä tarkistaa, onko laitteellasi asianmukaiset sertifikaatit.

Tässä oppaassa esittelen vaiheet sen tarkistamiseksi, onko vuoden 2023 Secure Boot -varmenteet jo asennettu tietokoneellesi.

Tarkista PowerShellin avulla, onko tietokoneellasi Secure Boot 2023 -sertifikaatit

Tarkistaaksesi, onko sinulla "päivitetyt" vuoden 2023 Secure Boot -varmenteet (jotka korvaavat vuonna 2026 vanhenevat varmenteet), toimi seuraavasti:

  1. Avaa Käynnistä Windows 11:ssä.

     

     

  2. Hae PowerShell (tai Pääte ), napsauta hiiren kakkospainikkeella ylintä tulosta ja valitse Suorita järjestelmänvalvojana -vaihtoehto.

  3. Tarkista Secure Boot -sertifikaattien vanhenemispäivämäärä kirjoittamalla tämä komento ja painamalla Enter-näppäintä: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Kuinka tarkistaa, onko tietokoneellasi päivitetyt Secure Boot -varmenteet Windows 11:ssä, 10:ssä

Kun olet suorittanut vaiheet ja tuloste on ”True”, sinulla on uusi varmenne (voimassa vuoteen 2053 asti). Jos tuloste on ”False”, sinulla on todennäköisesti edelleen vuoden 2011 varmenne (vanhenee vuonna 2026).

Secure Boot 2011 -sertifikaatit vanhenevat vuonna 2026 – mitä kukin sertifikaatti tekee

Lähes kaikki nykyaikaiset Secure Boot -ketjut perustuvat Microsoftin vuoden 2011 sertifikaatteihin, joilla on seuraavat voimassaolopäivät :

  • Microsoft Corporation KEK CA 2011 (24. kesäkuuta 2026). 
  • Microsoft Corporation UEFI CA 2011 (27. kesäkuuta 2026).
  • Microsoft Option ROM UEFI CA 2011 (27. kesäkuuta 2026).
  • Microsoft Windows Production PCA 2011 (19. lokakuuta 2026).

Vertailun vuoksi, tässä on mitä kukin sertifikaatti tekee:

  • KEK-varmenne: Luottamusankkuri, joka mahdollistaa Secure Boot -allekirjoitustietokantojen (DB/DBX) päivittämisen.
  • UEFI CA -varmenteet: Luota käynnistyslatainten ja laiteohjelmistokomponenttien (mukaan lukien kolmannen osapuolen EFI-sovellukset) allekirjoituksiin.
  • Option ROM CA: Luottaa laiteohjelmiston ROM-moduuleihin.
  • Microsoft Windows Production PCA 2011: Varmistaa, että laiteohjelmisto luottaa Windowsin käynnistyslataimeen ja siihen liittyviin binääreihin suojatun käynnistyksen aikana.

Jos varmenteesi ovat vanhenemassa, Microsoft ja tietokoneesi valmistaja (OEM) julkaisevat automaattisesti laiteohjelmistopäivityksiä tai "DBX"-päivityksiä Windows Updaten tai järjestelmäpäivitysten kautta uusien vuoden 2023 varmenteiden rekisteröintiä varten. Voit aina asentaa uudet Secure Boot -varmenteet manuaalisesti .

Miksi tapahtumatunnus 1801 näkyy Tapahtumienvalvonnassa (ja miksi se ei ole virhe)

Lopuksi huomaat todennäköisesti, että tapahtumatunnus 1801 näkyy lähteelle ”TPM-WMI (Microsoft-Windows-TPM-WMI)” ja siinä on viesti ”BucketConfidenceLevel: Tarkastelussa – Lisää tietoja tarvitaan” .

Vaikka se näyttää virheeltä, se ei ole häiriö. Tämä merkintä tarkoittaa, että käyttöjärjestelmä on havainnut päivitetyt Secure Boot -varmenteet, mutta ei ole vielä ottanut niitä käyttöön laiteohjelmistossa.

Laite on testi- ja validointivaiheessa, kun Microsoft julkaisee päivitystä vähitellen. Koska Secure Boot -avaimet sijaitsevat UEFI-laiteohjelmistossa ja vaikuttavat käynnistysketjuun, siirtyminen koordinoidaan huolellisesti käynnistysongelmien välttämiseksi.

Yksinkertaisesti sanottuna tapahtumatunnus 1801 on vain tilan tarkistus, joka osoittaa, että Windows arvioi laitettasi osana Secure Boot -sertifikaatin käyttöönottoa. Viesti ”Havainnoinnissa” heijastaa tätä arviointiprosessia. Se ei tarkoita TPM-ongelmaa, Secure Bootin vioittumista tai BIOS-virhettä. Vaikka se kirjataan virheenä, se on puhtaasti tiedoksi.

Secure Boot -sertifikaatin siirtyminen tapahtuu kahdessa vaiheessa. Ensin Windows 11 (tai 10) lataa ja asentaa uuden sertifikaatin käyttöjärjestelmään. Myöhemmin yhteensopivuustarkistusten ja validoinnin jälkeen sertifikaatti kirjoitetaan järjestelmän laiteohjelmistoon ja aktivoidaan.

Laitteet voivat pysyä näiden kahden vaiheen välillä jonkin aikaa, minkä vuoksi TPM-WMI-merkinnät saattavat edelleen näkyä Tapahtumienvalvonnassa, vaikka mitään ei olisi vialla.

Tarkista Windowsin suojauksen avulla, onko tietokoneellasi Secure Boot 2023 -varmenteet

PowerShellin käytön lisäksi Windowsin suojaussovellusta on päivitetty näyttämään vuonna 2026 vanhenevien Secure Boot -varmenteiden tarkka tila. 

Tarkistaaksesi, onko tietokoneellasi uusimmat Secure Boot -varmenteet, toimi seuraavasti:

  1. Avaa Käynnistä .

  2. Hae Windowsin suojaus ja avaa sovellus napsauttamalla ylintä tulosta.

  3. Napsauta vasemmanpuoleisesta ruudusta Laiteturvallisuus .

  4. Vahvista Secure Boot -merkin väri ja viesti.

  5. (Vaihtoehto 1) Vihreä tarkoittaa, että järjestelmä on täysin päivitetty uusimmilla varmenteilla ja käynnistyskomponenteilla.

    Kuinka tarkistaa, onko tietokoneellasi päivitetyt Secure Boot -varmenteet Windows 11:ssä, 10:ssä

  6. (Vaihtoehto 2) Keltainen osoittaa, että päivitys on odottamassa tai sitä rajoittavat yhteensopivuusrajoitukset.

    Kuinka tarkistaa, onko tietokoneellasi päivitetyt Secure Boot -varmenteet Windows 11:ssä, 10:ssä

  7. (Vaihtoehto 3) Punainen tarkoittaa, että järjestelmä ei voi asentaa vaadittuja päivityksiä ja vaatii toimia.

    Kuinka tarkistaa, onko tietokoneellasi päivitetyt Secure Boot -varmenteet Windows 11:ssä, 10:ssä

Kun olet suorittanut vaiheet, sinulla on selkeämpi käsitys siitä, vaaditaanko mitään toimia vai onko sinun jatkettava manuaalista prosessia päivittääksesi järjestelmän laiteohjelmiston Secure Boot -varmenteiden uudemmalla versiolla.

Windowsin tietoturvasovelluksessa näkemäsi viesti liittyy Windows Updaten kautta toimitettuihin varmennepäivityksiin. Järjestelmä arvioi laiteohjelmiston yhteensopivuuden, varmistaa varmenteiden käyttöönoton ja raportoi tuloksen reaaliajassa.

Microsoft julkaisee tämän päivityksen Windows Update -sovellukseen vähitellen. Jos et pysty selvittämään varmenteiden tilaa, käytä PowerShell-vaihtoehtoa.

Toukokuusta 2026 alkaen järjestelmätason ilmoitukset heijastavat näitä tiloja, mikä lisää näkyvyyttä, kun toimia tarvitaan.

Jätä kommentti

Windows 11 25H2:n koontiversio 26220.6780 (KB5067103) tuo pimeän tilan Suoritus-valikkoon (kehitysversio)

Windows 11 25H2:n koontiversio 26220.6780 (KB5067103) tuo pimeän tilan Suoritus-valikkoon (kehitysversio)

KB5067103 (koontiversiot 26220.6780 ja 26120.6780) Windows 11:n tummalle tilalle Suoritus-toiminnossa, parantaa tekoälyagenttia asetuksissa ja julkaisee korjauksia.

LocalHost-ongelman korjaaminen päivityksen KB5066835 asentamisen jälkeen Windows 11:ssä

LocalHost-ongelman korjaaminen päivityksen KB5066835 asentamisen jälkeen Windows 11:ssä

Voit korjata localhost-ongelman Windows 11 -päivityksen KB5066835 asentamisen jälkeen lokakuussa 2025 suorittamalla Windows Updaten tai käyttämällä PowerShelliä.

Microsoft-tilin ohittaminen OOBE:ssa Windows 11:ssä – menetelmät, jotka toimivat edelleen

Microsoft-tilin ohittaminen OOBE:ssa Windows 11:ssä – menetelmät, jotka toimivat edelleen

Voit edelleen ohittaa Microsoft-tilin ja internetin Windows 11 OOBE:ssa rekisterin, WinJS:n, toimialueelle liittymisen, valvomattoman tiedoston ja työkalujen avulla.

Kuinka käyttää Tiny11 Builderia luodaksesi mukautetun Windows 11 ISO:n ilman roskapostisovelluksia

Kuinka käyttää Tiny11 Builderia luodaksesi mukautetun Windows 11 ISO:n ilman roskapostisovelluksia

Luo paisumaton Windows 11 ISO Tiny11 Builderilla. Poista oletussovellukset, jätä Microsoft-tili pois ja luo puhdas asennuskuva.

Kuinka käyttää Rufusta käynnistettävän Windows 11 25H2 USB:n luomiseen

Kuinka käyttää Rufusta käynnistettävän Windows 11 25H2 USB:n luomiseen

Luodaksesi Windows 11 25H2 USB -muistitikun Rufuksella, avaa työkalu, valitse "Avaa olemassa oleva" tai lataa ISO-tiedosto ja valitse mukautettu vaihtoehto. Ohjeet löytyvät täältä.

Windows 11:n koontiversio 26120.3964 (KB5058496) lisää uuden tekoälyagentin asetuksiin beetaversiossa

Windows 11:n koontiversio 26120.3964 (KB5058496) lisää uuden tekoälyagentin asetuksiin beetaversiossa

Windows 11:n koontiversio 26120.3964 (KB5058496) tuo mukanaan tekoälyagentin asetuksiin, lisää tiedostonsiirtovaihtoehdon varmuuskopiointisovellukseen ja laajentaa toimintoja napsauttamalla -toiminnolla.

Kuinka näyttää aika Ilmoituskeskuksessa Windows 11:ssä

Kuinka näyttää aika Ilmoituskeskuksessa Windows 11:ssä

Voit ottaa Ilmoituskeskuksen kellon käyttöön Windows 11:ssä avaamalla Asetukset > Aika ja kieli > Päivämäärä ja aika ja ottamalla käyttöön Näytä aika Ilmoituskeskuksessa -asetuksen.

Windows 11:n asentaminen ilman bloatware-ohjelmia ei-tuettuun laitteistoon

Windows 11:n asentaminen ilman bloatware-ohjelmia ei-tuettuun laitteistoon

Asentaaksesi Windows 11:n ilman bloatware-ohjelmia paikallisella tilillä tukemattomalla laitteistolla, integroi autounattend.xml-tiedosto käynnistettävään USB-muistitikulle.

Googlen uusi alumiinikäyttöjärjestelmävuoto vihjaa suoraan Windows 11 -kilpailijaan

Googlen uusi alumiinikäyttöjärjestelmävuoto vihjaa suoraan Windows 11 -kilpailijaan

Googlen Aluminium OS -vuoto paljastaa Androidin täyden työpöytäkäyttöliittymän, moniajon, Chrome-laajennukset ja tekoälyn, potentiaalisen Windows 11 -kilpailijan.

Microsoft lopettaa aggressiivisen tekoälyhyökkäyksen Windows 11:een – Copilot supistaa toimintaansa, takaisinveto harkitaan

Microsoft lopettaa aggressiivisen tekoälyhyökkäyksen Windows 11:een – Copilot supistaa toimintaansa, takaisinveto harkitaan

Microsoftin kerrotaan vähentävän Copilotin käyttöä Windows 11 -sovelluksissa käyttäjien vastareaktion jälkeen, keskeyttävän uusien tekoälyominaisuuksien kehittämisen ja tarkastelevan olemassa olevia integraatioita.