Microsoft korvaa vanhenevat Secure Boot -sertifikaatit Windows 11:ssä – Kaikki tiedot ja ohjeet sertifikaattien päivittämiseen

• Secure Boot estää matalan tason haittaohjelmia vaarantamasta Windows 11:n käynnistysprosessia.
• Microsoftin alkuperäiset vuoden 2011 Secure Boot -sertifikaatit vanhenevat kesäkuussa 2026, ja uudet vuoden 2023 sertifikaatit pidentävät suojauksen vuoteen 2053 asti.
• Vuonna 2024 ja myöhemmin ostetuissa laitteissa on todennäköisesti jo uusimmat varmenteet. Toiset saavat ne vähitellen Windows Updaten kautta.
• Voit tarkistaa varmenteiden tilan PowerShellin avulla ja päivittää varmenteita manuaalisesti rekisterimuutosten ja ajoitettujen tehtävien avulla, jos päivityksiä ei ole saapunut automaattisesti.

Tietokoneesi Secure Boot -moduulin varmenne vanhenee kesäkuussa 2026. Tammikuun 2026 tietoturvapäivityksestä alkaen Microsoft on aloittanut uuden varmenteen asteittaisen käyttöönoton. Varmenteen ansiosta tietokoneesi käynnistyy edelleen oikein ja vastaanottaa tietoturvapäivityksiä.

Windows 11: ssä Secure Boot on Unified Extensible Firmware Interfacen (UEFI) laiteohjelmistossa oleva suojausominaisuus, joka estää luvattomat muutokset tärkeisiin järjestelmätiedostoihin käynnistyksen aikana. Näin se varmistaa, että laite käynnistyy käyttämällä vain valmistajan luottamaa ohjelmistoa.

Toisin sanoen Secure Boot auttaa suojaamaan laitteitasi matalan tason haittaohjelmilta (kuten bootkit- ja rootkit-ohjelmilta), jotka voivat tartuttaa käynnistysprosessin ja ottaa tietokoneesi hallintaansa ennen kuin käyttöjärjestelmä ja virustorjuntaohjelmisto edes latautuvat.

Ymmärrä Secure Boot -sertifikaatit

Osana prosessia ominaisuus käyttää kryptografisia avaimia (tunnetaan varmentajina (CA)) varmistaakseen, että laiteohjelmistomoduulit tulevat luotettavasta lähteestä, mikä auttaa estämään haittaohjelmien suorittamisen laitteen käynnistyksen alkuvaiheessa.

Secure Boot -varmenteilla on aina ollut vanhenemispäivät, koska ne auttavat varmistamaan, että tietokoneesi vastaanottaa jatkuvasti tietoturvapäivityksiä ja käynnistyy oikein. Siksi sinun on asennettava vuoden 2023 varmenteet ennen kuin vuoden 2011 varmenteiden vanheneminen alkaa kesäkuussa 2026.

Jos laitteesi on ostettu vuonna 2024 (tai myöhemmin), on todennäköistä, että uusimmat varmenteet on jo asennettu. Muille tietokoneille Microsoft on kuitenkin parhaillaan julkaisemassa uusia Secure Boot -varmenteita Windows Updaten kautta.

Ohjelmistojätti on 13. tammikuuta 2026 julkaistussa ”2026-01 Security Update (KB5074109) (26200.7623)” -päivityksessä todennut, että päivitykset sisältävät nyt osan luotettavista laitekohdistustiedoista, jotka tunnistavat laitteet, jotka ovat oikeutettuja automaattisesti vastaanottamaan uusia Secure Boot -varmenteita. Laitteet saavat uudet varmenteet vasta, kun ne ovat osoittaneet riittävästi onnistuneita päivityssignaaleja, mikä varmistaa turvallisen ja vaiheittaisen käyttöönoton.

Tämä tarkoittaa, että sinun ei tarvitse tehdä mitään manuaalisia toimenpiteitä Secure Bootin päivittämiseksi , paitsi että sallit järjestelmän vastaanottaa päivityksiä jatkuvasti. Ainakin tästä hetkestä siihen asti, kunnes kesäkuun 2026 tietoturvapäivitys tulee saataville.

Tarkista Secure Boot -varmenteen vanhenemispäivä

Koska et saa ilmoitusta siitä, että tietokoneesi sisältää nyt uusimmat varmentajat, on tärkeää tarkistaa, tarvitseeko laitteesi vielä päivitystä.

Windows 11:ssä ei ole omaa komentoa, joka näyttäisi ihmisen luettavan laiteohjelmiston vanhenemispäivämäärän. Voit kuitenkin tarkistaa, onko sinulla "päivitetyt" vuoden 2023 varmenteet (jotka korvaavat vuonna 2026 vanhenevat varmenteet), seuraavasti:

Avaa PowerShell (admin) ja suorita:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Totta: Sinulla on uusi sertifikaatti (voimassa vuoteen 2053 asti).
• Väärin: Todennäköisesti sinulla on edelleen vuoden 2011 sertifikaatti (vanhenee vuonna 2026).

PowerShell-tarkistus Secure Boot -sertifikaatin vanhenemisesta / Kuva: Mauro Huculak

Lähes kaikki nykyaikaiset Secure Boot -ketjut perustuvat Microsoftin vuoden 2011 sertifikaatteihin, joilla on seuraavat voimassaolopäivät :

• Microsoft Corporation KEK CA 2011 (24. kesäkuuta 2026). 
• Microsoft Corporation UEFI CA 2011 (27. kesäkuuta 2026).
• Microsoft Option ROM UEFI CA 2011 (27. kesäkuuta 2026).
• Microsoft Windows Production PCA 2011 (19. lokakuuta 2026).

Vertailun vuoksi, tässä on mitä kukin sertifikaatti tekee:

• KEK-varmenne: Luottamusankkuri, joka mahdollistaa Secure Boot -allekirjoitustietokantojen (DB/DBX) päivittämisen.
• UEFI CA -varmenteet: Luota käynnistyslatainten ja laiteohjelmistokomponenttien (mukaan lukien kolmannen osapuolen EFI-sovellukset) allekirjoituksiin.
• Option ROM CA: Luottaa laiteohjelmiston ROM-moduuleihin.
• Microsoft Windows Production PCA 2011: Varmistaa, että laiteohjelmisto luottaa Windowsin käynnistyslataimeen ja siihen liittyviin binääreihin suojatun käynnistyksen aikana.

Secure Boot -sertifikaattien päivittäminen Windows 11:ssä

Jos varmenteesi ovat vanhenemassa, Microsoft ja tietokoneesi valmistaja (OEM) lähettävät automaattisesti laiteohjelmistopäivityksiä tai "DBX"-päivityksiä Windows Updaten tai järjestelmäpäivitysten kautta uusien vuoden 2023 varmennesertifikaattien rekisteröimiseksi. Voit kuitenkin päivittää Secure Bootin manuaalisesti.

Varoitus: Ennen kuin jatkat, varmista, että sinulla on tallennettuna BitLocker-palautusavain ja että BIOS (UEFI) on ajan tasalla. Jos tietokoneesi laiteohjelmisto ei tue uusia varmenteita, tietokoneesi ei välttämättä käynnisty päivityksen jälkeen. On myös suositeltavaa luoda täydellinen varmuuskopio tietokoneestasi ennen jatkamista.

Avaa PowerShell (admin) ja suorita:

rekisteri lisää HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Tämä komento asettaa rekisteriavaimen, joka ohjeistaa käyttöjärjestelmää ottamaan käyttöön kaikki tarvittavat varmenteet (mukaan lukien PCA 2023 -allekirjoitetun käynnistyksen hallinnan).

Arvo 0x5944on ”täydellinen mitigaatio”-koodi, joka ottaa käyttöön kaikki asiaankuuluvat varmennepäivitykset.

Windows 11:ssä on sisäänrakennettu tehtävä, joka käsittelee nämä varmennemuutokset, ja voit käynnistää sen manuaalisesti välttääksesi 12 tunnin odottamisen seuraavalla komennolla:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell-päivitykset Secure Boot -sertifikaatille / Kuva: Mauro Huculak

Päivityksen täysimittainen käyttöönotto vaatii yleensä kaksi uudelleenkäynnistystä. Ensimmäisen uudelleenkäynnistyksen jälkeen järjestelmä päivittää käynnistyksen hallinnan. Toisen uudelleenkäynnistyksen jälkeen se viimeistelee varmenteen rekisteröinnin UEFI-tietokantaan.

Uudelleenkäynnistysten jälkeen voit tarkistaa, onko ”UEFI CA 2023” nyt tietokannassasi, suorittamalla tämän PowerShell -komennon (järjestelmänvalvojana):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Totta: Järjestelmäsi on nyt suojattu uusilla varmenteilla.
• Epätosi: Jos se pysyy epätosina useiden uudelleenkäynnistysten jälkeen, emolevyn laiteohjelmisto saattaa olla liian vanha hyväksymään uuden varmennemuodon. Tarkista valmistajan verkkosivustolta "Secure Boot" -ominaisuuteen liittyvä BIOS-päivitys.

Jos BitLocker on aktiivinen, sinun on ehkä poistettava salaus käytöstä väliaikaisesti ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), ennen kuin laiteohjelmisto voi kirjoittaa uudet avaimet laitteeseen.