A Microsoft lecseréli a lejáró Secure Boot tanúsítványokat a Windows 11 rendszeren – Minden részlet és a frissítés módja

• A Secure Boot megakadályozza, hogy az alacsony szintű rosszindulatú programok veszélyeztessék a Windows 11 indítási folyamatát.
• A Microsoft eredeti, 2011-es Secure Boot tanúsítványai 2026 júniusában lejárnak, az új, 2023-as tanúsítványok pedig 2053-ig meghosszabbítják a védelmet.
• A 2024-ben és később vásárolt eszközök valószínűleg már rendelkeznek a legújabb tanúsítványokkal. Mások fokozatosan kapják meg ezeket a Windows Update-en keresztül.
• A tanúsítvány állapotát a PowerShell segítségével ellenőrizheti, és manuálisan frissítheti a tanúsítványokat a beállításjegyzékbeli módosítások és az ütemezett feladatok segítségével, ha a frissítések nem érkeztek meg automatikusan.

A számítógép Secure Boot moduljának tanúsítványa 2026 júniusában lejár. A 2026. januári biztonsági frissítéssel kezdődően a Microsoft megkezdte egy új tanúsítvány fokozatos bevezetését, amely lehetővé teszi a számítógép folyamatos, megfelelő indítását és a biztonsági frissítések fogadását.

Windows 11 rendszeren a Secure Boot egy biztonsági funkció, amely az Unified Extensible Firmware Interface (UEFI) firmware-ben érhető el, és megakadályozza a kritikus rendszerfájlok jogosulatlan módosítását indítás közben. Ennek eredményeként biztosítja, hogy az eszköz csak a gyártó által megbízható szoftverrel induljon el.

Más szóval, a Secure Boot segít megvédeni eszközeit az alacsony szintű rosszindulatú programoktól (például bootkitektől és rootkitektől), amelyek megfertőzhetik a rendszerindítási folyamatot, és átvehetik az irányítást a számítógép felett, mielőtt az operációs rendszer és a víruskereső szoftver egyáltalán betöltődne.

A Secure Boot tanúsítványok ismertetése

A folyamat részeként a funkció kriptográfiai kulcsokat (más néven hitelesítésszolgáltatókat (CA-kat)) használ annak ellenőrzésére, hogy a firmware-modulok megbízható forrásból származnak-e, így megakadályozva a rosszindulatú programok futtatását az eszköz indításának korai szakaszában.

A Secure Boot tanúsítványoknak mindig is volt lejárati dátumuk, mivel ezek segítenek biztosítani, hogy a számítógép továbbra is megkapja a biztonsági frissítéseket és megfelelően induljon el. Ezért kell telepíteni a 2023-as tanúsítványokat, mielőtt a 2011-es CA-k lejárnának 2026 júniusában.

Ha 2024-ben (vagy később) vásárolt eszközzel rendelkezik, akkor valószínűleg a legújabb tanúsítványok már telepítve vannak. A többi számítógép esetében azonban a Microsoft jelenleg az új Secure Boot tanúsítványok Windows Update-en keresztüli bevezetésén dolgozik.

A 2026. január 13-án kiadott „2026-01 biztonsági frissítés (KB5074109) (26200.7623)” című frissítésben a szoftveróriás megjegyezte, hogy a frissítések mostantól tartalmaznak egy nagy megbízhatóságú eszközcélzási adathalmazt, amely azonosítja azokat az eszközöket, amelyek jogosultak automatikusan új Secure Boot tanúsítványokat kapni. Az eszközök csak akkor kapják meg az új tanúsítványokat, ha elegendő sikeres frissítési jelet mutatnak, biztosítva a biztonságos és szakaszos telepítést.

Ez azt jelenti, hogy nem kell semmilyen manuális lépést tennie a Secure Boot frissítéséhez , azon kívül, hogy engedélyezi a rendszer számára a frissítések fogadását. Legalábbis mostantól addig, amíg a 2026. júniusi biztonsági frissítés elérhetővé nem válik.

A Secure Boot tanúsítvány lejárati dátumának ellenőrzése

Mivel nem fogsz értesítést kapni arról, hogy a számítógéped mostantól tartalmazza a legújabb hitelesítésszolgáltatókat, fontos ellenőrizni, hogy az eszközödnek továbbra is szüksége van-e frissítésre.

A Windows 11-nek nincs beépített parancsa az ember által olvasható firmware lejárati dátumának megjelenítésére. Azonban ellenőrizheti, hogy rendelkezik-e a „frissített” 2023-as tanúsítványokkal (amelyek felváltják a 2026-ban lejárókat) a következő lépésekkel:

Nyisd meg a PowerShellt (admin) és futtasd:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Igaz: Új tanúsítvánnyal rendelkezik (2053-ig érvényes).
• Hamis: Valószínűleg még mindig a 2011-es tanúsítványon van (amely 2026-ban lejár).

PowerShell-ellenőrzés a Secure Boot tanúsítvány lejáratakor / Kép: Mauro Huculak

Szinte az összes modern Secure Boot lánc a Microsoft 2011-es tanúsítványaira támaszkodik, amelyek lejárati dátumai a következők :

• Microsoft Corporation KEK CA 2011 (2026. június 24.). 
• Microsoft Corporation UEFI CA 2011 (2026. június 27.).
• Microsoft Option ROM UEFI CA 2011 (2026. június 27.).
• Microsoft Windows Production PCA 2011 (2026. október 19.).

Összehasonlításképpen, az egyes tanúsítványok a következőket teszik:

• KEK tanúsítvány: Megbízhatósági horgony, amely lehetővé teszi a Secure Boot aláírás-adatbázisok (DB/DBX) frissítését.
• UEFI CA tanúsítványok: Megbízható a rendszerbetöltők és a firmware-összetevők aláírásaiban (beleértve a harmadik féltől származó EFI-alkalmazásokat is).
• Option ROM CA: Megbízható a firmware opciós ROM moduljaiban.
• Microsoft Windows Production PCA 2011: Biztosítja, hogy a Biztonságos rendszerindítás alatt a firmware megbízhatónak tekintse a Windows rendszerbetöltőt és a kapcsolódó bináris fájlokat.

Biztonságos rendszerindítási tanúsítványok frissítése Windows 11 rendszeren

Ha a tanúsítványai lejárnak, a Microsoft és a számítógép gyártója (OEM) automatikusan elküldi a firmware-frissítéseket vagy a „DBX” frissítéseket a Windows Update vagy a rendszerfrissítések segítségével az új 2023-as hitelesítésszolgáltatói tanúsítványok regisztrálásához. A Secure Boot azonban manuálisan is frissíthető.

Figyelmeztetés: A folytatás előtt győződjön meg arról, hogy mentett egy BitLocker helyreállítási kulcsot , és hogy a BIOS (UEFI) naprakész. Ha a számítógép firmware-je nem támogatja az új tanúsítványokat, előfordulhat, hogy a számítógép nem fog elindulni a frissítés után. Azt is javasoljuk, hogy a folytatás előtt készítsen teljes biztonsági másolatot a számítógépéről.

Nyisd meg a PowerShellt (admin) és futtasd:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f parancsot

Ez a parancs beállítja azt a beállításkulcsot, amely utasítja az operációs rendszert az összes szükséges tanúsítvány (beleértve a PCA 2023 által aláírt rendszerindító kezelőt is) telepítésére.

Az érték 0x5944a „teljes körű enyhítés” kódja, amely engedélyezi az összes releváns tanúsítványfrissítést.

A Windows 11 beépített feladattal rendelkezik, amely feldolgozza ezeket a tanúsítványmódosításokat, és manuálisan is elindítható, hogy elkerülje a 12 órás várakozást a következő paranccsal:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell frissítések Secure Boot tanúsítvány / Kép: Mauro Huculak

A frissítés teljes alkalmazásához általában két újraindítás szükséges. Az első újraindítás után a rendszer frissíti a rendszerindító kezelőt. A második után véglegesíti a tanúsítvány regisztrációját az UEFI adatbázisban.

Az újraindítások után a PowerShell parancs futtatásával (adminisztrátorként) ellenőrizheti, hogy az „UEFI CA 2023” megtalálható-e az adatbázisában :

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Igaz: A rendszer mostantól biztosított az új tanúsítványokkal.
• Hamis: Ha több újraindítás után is hamis marad, akkor lehet, hogy az alaplap firmware-je túl régi az új tanúsítványformátum elfogadásához. Ellenőrizze a gyártó weboldalán a „Biztonságos rendszerindítás”-hoz kapcsolódó BIOS-frissítést.

Ha a BitLocker aktív, előfordulhat, hogy ideiglenesen le kell tiltani a titkosítástSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ), mielőtt a firmware sikeresen ki tudja írni az új kulcsokat az eszközre.