A 2023-as Secure Boot tanúsítványok telepítése Windows 11 (és 10) rendszeren a 2026-os lejárat előtt

• A 2011-es Windows 11 (és 10) Secure Boot tanúsítványok 2026 júniusában lejárnak.
• A 2024-ben és később gyártott PC-k jellemzően tartalmazzák a 2023-as tanúsítványokat. A régebbi rendszereknél manuális frissítésekre lehet szükség.
• Ezek az utasítások segítenek a tanúsítványadatok ellenőrzésében és a 2023-as tanúsítványok manuális telepítésében.

Windows 11 és Windows 10 rendszeren a Microsoft fokozatosan érvényesíti és frissíti a Secure Boot tanúsítványokat a szokásos rendszerfrissítéseken keresztül. A legtöbb esetben csak a havi biztonsági frissítéseket kell telepítenie ahhoz, hogy eszköze a 2026. júniusi határidő előtt készen álljon.

Ha azonban saját maga szeretné ellenőrizni vagy alkalmazni az újabb 2023-as Secure Boot tanúsítványokat, manuálisan is elvégezheti a folyamatot. Ez az útmutató végigvezeti a lépéseken.

A Secure Boot egy firmware-szintű biztonsági funkció, amely az Unified Extensible Firmware Interface (UEFI) felületbe van építve. Biztosítja, hogy egy eszköz csak jóváhagyott hitelesítésszolgáltatók által digitálisan aláírt és megbízható szoftverrel induljon el. Azzal, hogy az operációs rendszer betöltése előtt érvényesíti a rendszerbetöltőket és a firmware-összetevőket, a Secure Boot segít megakadályozni, hogy a rootkitek és más alacsony szintű rosszindulatú programok veszélyeztessék az indítási folyamatot.

A védelem érvényesítéséhez a Secure Boot kriptográfiai kulcsokra, más néven tanúsító hatóságokra (CA) támaszkodik. Ezek a kulcsok bizalmi láncot hoznak létre a firmware és az operációs rendszer között, blokkolva az aláíratlan vagy manipulált kódot a korai rendszerindítás során.

A digitális tanúsítványokhoz hasonlóan a Secure Boot tanúsítványkibocsátóknak is van lejárati dátumuk. Az eredeti 2011-es tanúsítványok 2026 júniusában járnak le. A rendszereknek a frissített 2023-as tanúsítványokkal kell rendelkezniük ezen dátum előtt, hogy elkerüljék a megbízhatósági ellenőrzési hibákat, a rendszerindítási problémákat vagy a jövőbeli frissítések fogadásának esetleges megszakításait.

A 2024-ben vagy később gyártott számítógépek általában már a 2023-as tanúsítványokkal kerülnek kiszállításra. Régebbi hardverek esetén a Microsoft a frissített tanúsítványokat a Windows Update-en keresztül biztosítja a folyamatos biztonsági karbantartás részeként, de az új tanúsítványokat manuálisan is telepítheti és cserélheti.

Ebben az útmutatóban felvázolom a Secure Boot tanúsítványok ellenőrzésének és manuális frissítésének egyszerű lépéseit a Windows 11-es eszközön.

Fontos: Bár ez egy roncsolásmentes folyamat, mégis ajánlott teljes biztonsági mentést készíteni a számítógépről a folytatás előtt. Figyelmeztetést kaptál.

Telepítse a 2023-as Secure Boot tanúsítványokat Windows 11 rendszerre

Ha a BitLocker aktív, ideiglenesen le kell tiltania a titkosítást a PowerShellben ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), mielőtt a firmware sikeresen beírhatná az új kulcsokat az eszközre. A folytatás előtt győződjön meg arról is, hogy a számítógépe teljesen frissítve van a 2026. februári biztonsági frissítésre (KB5077181) vagy újabb verzióra.

A Secure Boot tanúsítványok 2026-os lejárata előtti frissítéséhez kövesse az alábbi lépéseket:

1. Nyissa meg a Start menüt .

    

    

2. Keressen rá a PowerShell (vagy a Terminál ) kifejezésre, kattintson a jobb gombbal a legfelső találatra, és válassza a Futtatás rendszergazdaként lehetőséget.

3. Írja be ezt a parancsot annak megerősítéséhez, hogy az eszköz UEFI-t használ, és engedélyezve van a Secure Boot, majd írja be :

   Confirm-SecureBootUEFI

   Gyors megjegyzés: Ha a kimenet „Igaz”, akkor folytathatja az alábbi lépésekkel. Ellenkező esetben engedélyeznie kell a Biztonságos rendszerindítást . Ha Windows 10 rendszert használ, akkor előfordulhat, hogy a korábbi BIOS-ról UEFI-re kell váltania .

4. Írja be ezt a parancsot a Secure Boot tanúsítványok lejárati dátumának ellenőrzéséhez, majd nyomja meg az Enter billentyűt : 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

5. (1. kimenet) Ha a kimenet „Igaz”, akkor rendelkezik az új tanúsítvánnyal (érvényes 2053-ig). Álljon meg, és ne folytassa.

6. (2. kimenet) Ha a kimenet „Hamis”, akkor valószínűleg még mindig a 2011-es tanúsítványon van (amely 2026-ban jár le). Folytassa az alábbi lépésekkel.

7. Írja be ezt a parancsot a beállításkulcs beállításához az összes szükséges tanúsítvány telepítéséhez, majd nyomja meg az Enter billentyűt : 

   reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f parancsot

8. Írja be ezt a parancsot a tanúsítványmódosítások manuális elindításához, majd nyomja meg az Enter billentyűt :

   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

   

9. Indítsa újra a számítógépet egyszer.

10. Indítsa újra az eszközt másodszor, és folytassa a tanúsítványok ellenőrzésének folyamatát.

    Gyors megjegyzés: A frissítés teljes alkalmazásához általában két újraindítás szükséges. Az első újraindítás után a rendszer frissíti a rendszerindító kezelőt. A második után véglegesíti a tanúsítvány regisztrációját az UEFI adatbázisban.

11. Nyissa meg a Start menüt .

12. Keressen rá a PowerShell (vagy a Terminál ) kifejezésre, kattintson a jobb gombbal a legfelső találatra, és válassza a Futtatás rendszergazdaként lehetőséget.

13. Írja be ezt a parancsot a frissítés sikeres befejezésének ellenőrzéséhez, majd nyomja meg az Enter billentyűt : 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

A lépések elvégzése után, ha a kimenet „Igaz”, akkor az új tanúsítványok (2053-ig érvényesek) sikeresen települtek a számítógépére. Ha a kimenet „Hamis”, akkor a tanúsítványok telepítése nem történt meg megfelelően.

Fontos megjegyezni, hogy az „Igaz” beállítás megerősíti a 2023-as hitelesítésszolgáltató regisztrációját, de nem minden esetben távolítja el azonnal a 2011-es tanúsítványt. Egyes rendszerek ideiglenesen mindkettőt megjeleníthetik.

Ha a folyamat befejezése után a kimenet továbbra is „Hamis” marad, ellenőrizze az Eseménynapló > Alkalmazások és szolgáltatások naplói > Microsoft > Windows > SecureBoot-Update menüpontot hibák keresésére. A parancs futtatásával ellenőrizze az ütemezett feladat létezését Get-ScheduledTask -TaskName "Secure-Boot-Update".

A frissítés után, ha le kellett tiltania a BitLockert, a parancs futtatásával folytathatja a titkosítást Resume-BitLocker -MountPoint "C:", annak ellenére, hogy -RebootCount 2két újraindítás után automatikusan folytatódik.

Fontos megjegyezni, hogy a 2023-as Secure Boot tanúsítványok nem a semmiből születtek. A Microsoft az új tanúsítványokat a Windows szervizfrissítéseibe foglalja, általában egy kumulatív frissítés vagy biztonsági frissítés részeként a Windows 11 és a támogatott Windows 10 eszközök számára. 

Valójában a cég a 2026. februári biztonsági frissítés (és a magasabb kiadások) kiadása óta tartalmazza az új Secure Boot tanúsítványokat .

Ezeket a tanúsítványokat, más néven Windows UEFI CA 2023-at, a Microsoft digitálisan aláírta, és a Secure Boot megbízhatónak minősíti őket.

Ha a tanúsítványok már megtalálhatók a számítógépén, ezek az utasítások segítenek azonnal alkalmazni őket anélkül, hogy meg kellene várnia, amíg a rendszer automatikusan feldolgozza a frissítést.