A Microsoft lecseréli a lejáró Secure Boot tanúsítványokat a Windows 11 rendszeren – Minden részlet és a frissítés módja

  • A Secure Boot megakadályozza, hogy az alacsony szintű rosszindulatú programok veszélyeztessék a Windows 11 indítási folyamatát.
  • A Microsoft eredeti, 2011-es Secure Boot tanúsítványai 2026 júniusában lejárnak, az új, 2023-as tanúsítványok pedig 2053-ig meghosszabbítják a védelmet.
  • A 2024-ben és később vásárolt eszközök valószínűleg már rendelkeznek a legújabb tanúsítványokkal. Mások fokozatosan kapják meg ezeket a Windows Update-en keresztül.
  • A tanúsítvány állapotát a PowerShell segítségével ellenőrizheti, és manuálisan frissítheti a tanúsítványokat a beállításjegyzékbeli módosítások és az ütemezett feladatok segítségével, ha a frissítések nem érkeztek meg automatikusan.

A számítógép Secure Boot moduljának tanúsítványa 2026 júniusában lejár. A 2026. januári biztonsági frissítéssel kezdődően a Microsoft megkezdte egy új tanúsítvány fokozatos bevezetését, amely lehetővé teszi a számítógép folyamatos, megfelelő indítását és a biztonsági frissítések fogadását.

Windows 11 rendszeren a Secure Boot egy biztonsági funkció, amely az Unified Extensible Firmware Interface (UEFI) firmware-ben érhető el, és megakadályozza a kritikus rendszerfájlok jogosulatlan módosítását indítás közben. Ennek eredményeként biztosítja, hogy az eszköz csak a gyártó által megbízható szoftverrel induljon el.

Más szóval, a Secure Boot segít megvédeni eszközeit az alacsony szintű rosszindulatú programoktól (például bootkitektől és rootkitektől), amelyek megfertőzhetik a rendszerindítási folyamatot, és átvehetik az irányítást a számítógép felett, mielőtt az operációs rendszer és a víruskereső szoftver egyáltalán betöltődne.

 

A Secure Boot tanúsítványok ismertetése

A folyamat részeként a funkció kriptográfiai kulcsokat (más néven hitelesítésszolgáltatókat (CA-kat)) használ annak ellenőrzésére, hogy a firmware-modulok megbízható forrásból származnak-e, így megakadályozva a rosszindulatú programok futtatását az eszköz indításának korai szakaszában.

A Secure Boot tanúsítványoknak mindig is volt lejárati dátumuk, mivel ezek segítenek biztosítani, hogy a számítógép továbbra is megkapja a biztonsági frissítéseket és megfelelően induljon el. Ezért kell telepíteni a 2023-as tanúsítványokat, mielőtt a 2011-es CA-k lejárnának 2026 júniusában.

Ha 2024-ben (vagy később) vásárolt eszközzel rendelkezik, akkor valószínűleg a legújabb tanúsítványok már telepítve vannak. A többi számítógép esetében azonban a Microsoft jelenleg az új Secure Boot tanúsítványok Windows Update-en keresztüli bevezetésén dolgozik.

A 2026. január 13-án kiadott „2026-01 biztonsági frissítés (KB5074109) (26200.7623)” című frissítésben a szoftveróriás megjegyezte, hogy a frissítések mostantól tartalmaznak egy nagy megbízhatóságú eszközcélzási adathalmazt, amely azonosítja azokat az eszközöket, amelyek jogosultak automatikusan új Secure Boot tanúsítványokat kapni. Az eszközök csak akkor kapják meg az új tanúsítványokat, ha elegendő sikeres frissítési jelet mutatnak, biztosítva a biztonságos és szakaszos telepítést.

Ez azt jelenti, hogy nem kell semmilyen manuális lépést tennie a Secure Boot frissítéséhez , azon kívül, hogy engedélyezi a rendszer számára a frissítések fogadását. Legalábbis mostantól addig, amíg a 2026. júniusi biztonsági frissítés elérhetővé nem válik.

A Secure Boot tanúsítvány lejárati dátumának ellenőrzése

Mivel nem fogsz értesítést kapni arról, hogy a számítógéped mostantól tartalmazza a legújabb hitelesítésszolgáltatókat, fontos ellenőrizni, hogy az eszközödnek továbbra is szüksége van-e frissítésre.

A Windows 11-nek nincs beépített parancsa az ember által olvasható firmware lejárati dátumának megjelenítésére. Azonban ellenőrizheti, hogy rendelkezik-e a „frissített” 2023-as tanúsítványokkal (amelyek felváltják a 2026-ban lejárókat) a következő lépésekkel:

Nyisd meg a PowerShellt (admin) és futtasd:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Igaz: Új tanúsítvánnyal rendelkezik (2053-ig érvényes).
  • Hamis: Valószínűleg még mindig a 2011-es tanúsítványon van (amely 2026-ban lejár).

A Microsoft lecseréli a lejáró Secure Boot tanúsítványokat a Windows 11 rendszeren – Minden részlet és a frissítés módja

PowerShell-ellenőrzés a Secure Boot tanúsítvány lejáratakor / Kép: Mauro Huculak

Szinte az összes modern Secure Boot lánc a Microsoft 2011-es tanúsítványaira támaszkodik, amelyek lejárati dátumai a következők :

  • Microsoft Corporation KEK CA 2011 (2026. június 24.). 
  • Microsoft Corporation UEFI CA 2011 (2026. június 27.).
  • Microsoft Option ROM UEFI CA 2011 (2026. június 27.).
  • Microsoft Windows Production PCA 2011 (2026. október 19.).

Összehasonlításképpen, az egyes tanúsítványok a következőket teszik:

  • KEK tanúsítvány: Megbízhatósági horgony, amely lehetővé teszi a Secure Boot aláírás-adatbázisok (DB/DBX) frissítését.
  • UEFI CA tanúsítványok: Megbízható a rendszerbetöltők és a firmware-összetevők aláírásaiban (beleértve a harmadik féltől származó EFI-alkalmazásokat is).
  • Option ROM CA: Megbízható a firmware opciós ROM moduljaiban.
  • Microsoft Windows Production PCA 2011: Biztosítja, hogy a Biztonságos rendszerindítás alatt a firmware megbízhatónak tekintse a Windows rendszerbetöltőt és a kapcsolódó bináris fájlokat.

Biztonságos rendszerindítási tanúsítványok frissítése Windows 11 rendszeren

Ha a tanúsítványai lejárnak, a Microsoft és a számítógép gyártója (OEM) automatikusan elküldi a firmware-frissítéseket vagy a „DBX” frissítéseket a Windows Update vagy a rendszerfrissítések segítségével az új 2023-as hitelesítésszolgáltatói tanúsítványok regisztrálásához. A Secure Boot azonban manuálisan is frissíthető.

Figyelmeztetés: A folytatás előtt győződjön meg arról, hogy mentett egy BitLocker helyreállítási kulcsot , és hogy a BIOS (UEFI) naprakész. Ha a számítógép firmware-je nem támogatja az új tanúsítványokat, előfordulhat, hogy a számítógép nem fog elindulni a frissítés után. Azt is javasoljuk, hogy a folytatás előtt készítsen teljes biztonsági másolatot a számítógépéről.

Nyisd meg a PowerShellt (admin) és futtasd:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f parancsot

Ez a parancs beállítja azt a beállításkulcsot, amely utasítja az operációs rendszert az összes szükséges tanúsítvány (beleértve a PCA 2023 által aláírt rendszerindító kezelőt is) telepítésére.

Az érték 0x5944a „teljes körű enyhítés” kódja, amely engedélyezi az összes releváns tanúsítványfrissítést.

A Windows 11 beépített feladattal rendelkezik, amely feldolgozza ezeket a tanúsítványmódosításokat, és manuálisan is elindítható, hogy elkerülje a 12 órás várakozást a következő paranccsal:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

A Microsoft lecseréli a lejáró Secure Boot tanúsítványokat a Windows 11 rendszeren – Minden részlet és a frissítés módja

PowerShell frissítések Secure Boot tanúsítvány / Kép: Mauro Huculak

A frissítés teljes alkalmazásához általában két újraindítás szükséges. Az első újraindítás után a rendszer frissíti a rendszerindító kezelőt. A második után véglegesíti a tanúsítvány regisztrációját az UEFI adatbázisban.

Az újraindítások után a PowerShell parancs futtatásával (adminisztrátorként) ellenőrizheti, hogy az „UEFI CA 2023” megtalálható-e az adatbázisában :

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Igaz: A rendszer mostantól biztosított az új tanúsítványokkal.
  • Hamis: Ha több újraindítás után is hamis marad, akkor lehet, hogy az alaplap firmware-je túl régi az új tanúsítványformátum elfogadásához. Ellenőrizze a gyártó weboldalán a „Biztonságos rendszerindítás”-hoz kapcsolódó BIOS-frissítést.

Ha a BitLocker aktív, előfordulhat, hogy ideiglenesen le kell tiltani a titkosítástSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ), mielőtt a firmware sikeresen ki tudja írni az új kulcsokat az eszközre.

Hagyj kommentárt

Hogyan lehet gyorsan megtudni a Wi-Fi jelszót a Windows 10 rendszeren

Hogyan lehet gyorsan megtudni a Wi-Fi jelszót a Windows 10 rendszeren

A Wi-Fi jelszó megkereséséhez Windows 10 rendszeren nyissa meg a Vezérlőpult Hálózati kapcsolatok menüpontját, majd a Vezeték nélküli tulajdonságok menüpontban jelölje be a Karakterek megjelenítése jelölőnégyzetet.

4 Firefox alternatíva AI funkciók nélkül Windows 11 rendszerre

4 Firefox alternatíva AI funkciók nélkül Windows 11 rendszerre

Szeretnéd elkerülni a mesterséges intelligenciát a böngésződben? Íme négy Firefox alternatíva Windows 11-re, amelyek az adatvédelemre, a sebességre és a teljes felhasználói felügyeletre összpontosítanak.

A Windows 10 további használata a támogatás 2025-ös megszűnése után

A Windows 10 további használata a támogatás 2025-ös megszűnése után

A Windows 10 támogatása 2025. október 14-én megszűnik, és így folytathatja biztonságos használatát az ESU programmal.

Windows 11 25H2 végleges engedélyezési csomag és ISO közvetlen letöltési linkek x64 és ARM64 rendszerekhez

Windows 11 25H2 végleges engedélyezési csomag és ISO közvetlen letöltési linkek x64 és ARM64 rendszerekhez

A Windows 11 25H2 végleges ISO és engedélyezési csomagja korán elérhető a Microsoft szerverein keresztül, beleértve az ARM64 és x64 letöltéseket, így könnyedén válthat a 24H2-ről.

Hogyan töltsem le a Windows 11 25H2 ISO fájlt?

Hogyan töltsem le a Windows 11 25H2 ISO fájlt?

A Windows 11 25H2 ISO letöltéséhez és az új funkciók és változások eléréséhez használja a Microsoft támogatási oldalát, az Insider programot, az UUP Dump fájlt vagy közvetlen hivatkozásokat.

Az automatikus beállításjegyzék-mentés engedélyezése Windows 11, 10 rendszeren

Az automatikus beállításjegyzék-mentés engedélyezése Windows 11, 10 rendszeren

A Windows 11 (vagy 10) rendszeren az automatikus rendszerleíró adatbázis-mentések engedélyezéséhez hozza létre az EnablePeriodicBackup DWORD értéket, állítsa 1-re, és futtassa a RegIdleBackup feladatot.

A Windows 11 visszahívása végre elérhető a Copilot+ PC-ken a 2025. májusi frissítéssel.

A Windows 11 visszahívása végre elérhető a Copilot+ PC-ken a 2025. májusi frissítéssel.

Windows visszahívási kiadások érhetők el a 2025. májusi Windows 11 frissítést futtató Copilot+ PC-khez, valamint a Click to Do és a Semantic Indexing funkciókhoz.

A Windows 11 27891-es buildje eltávolítja a PowerShell-t (régi) a Canary-ban

A Windows 11 27891-es buildje eltávolítja a PowerShell-t (régi) a Canary-ban

A Windows 11 Canary 27891-es buildje eltávolítja a PowerShell 2.0-t, kijavítja a Fájlkezelő hibáit, javítja a Feladatkezelő mutatóit, és számos javítást tartalmaz.

A Windows 11 25H2-höz készült 26220.7070-es (KB5070300) build javítja a helyreállítást és a widgeteket (fejlesztői)

A Windows 11 25H2-höz készült 26220.7070-es (KB5070300) build javítja a helyreállítást és a widgeteket (fejlesztői)

Megjelent a Windows 11 KB5070300 (26220.7070-es build) frissítése, amely új widgetek irányítópultját, helyreállítási és intelligens alkalmazásvezérlési módosításokat tartalmaz.

Hogyan javítsuk ki a hiányzó kiterjesztett biztonsági frissítések regisztrációs opcióját Windows 10 rendszeren a támogatás megszűnése előtt

Hogyan javítsuk ki a hiányzó kiterjesztett biztonsági frissítések regisztrációs opcióját Windows 10 rendszeren a támogatás megszűnése előtt

Ha a Windows 10 kiterjesztett biztonsági frissítések regisztrációs lehetősége nem jelenik meg, ellenőrizze a követelményeket, és futtassa ezeket a parancsokat a kikényszerítéshez.