„Microsoft“ pakeičia pasibaigiančio galiojimo „Secure Boot“ sertifikatus sistemoje „Windows 11“ – visa informacija ir kaip atnaujinti savąjį

  • Saugus įkrovimas apsaugo žemo lygio kenkėjiškas programas nuo „Windows 11“ paleidimo proceso trikdymo.
  • Originalūs „Microsoft“ 2011 m. „Secure Boot“ sertifikatai nustoja galioti 2026 m. birželį, o nauji 2023 m. sertifikatai pratęsia apsaugą iki 2053 m.
  • Įrenginiai, įsigyti 2024 m. ir vėliau, greičiausiai jau turi naujausius sertifikatus. Kiti juos gauna palaipsniui per „Windows Update“.
  • Sertifikato būseną galite patikrinti naudodami „PowerShell“ ir rankiniu būdu atnaujinti sertifikatus naudodami registro pakeitimus ir suplanuotas užduotis, jei atnaujinimai neatkeliavo automatiškai.

Jūsų kompiuterio saugaus paleidimo modulio sertifikatas baigs galioti 2026 m. birželį. Pradėjusi nuo 2026 m. sausio mėn. saugos naujinimo , „Microsoft“ pradėjo laipsnišką naujo sertifikato, kuris leis jūsų kompiuteriui toliau tinkamai paleisti sistemą ir gauti saugos naujinimus, diegimą.

„Windows 11“ sistemoje „Secure Boot“ yra vieningosios išplečiamosios programinės įrangos sąsajos (UEFI) programinės įrangos saugos funkcija, kuri neleidžia neteisėtai keisti svarbių sistemos failų paleidimo metu. Todėl ji užtikrina, kad įrenginys būtų paleidžiamas naudojant tik gamintojo patikimą programinę įrangą.

Kitaip tariant, „Secure Boot“ padeda apsaugoti jūsų įrenginius nuo žemo lygio kenkėjiškų programų (pvz., įkrovos rinkinių ir rootkitų), kurios gali užkrėsti įkrovos procesą ir perimti kompiuterio valdymą dar prieš įkeliant operacinę sistemą ir antivirusinę programinę įrangą.

 

Saugaus įkrovimo sertifikatų supratimas

Šio proceso metu funkcija naudoja kriptografinius raktus (vadinamus sertifikavimo institucijomis (CA)), kad patvirtintų, jog programinės įrangos moduliai yra iš patikimo šaltinio, ir taip padėtų išvengti kenkėjiškų programų paleidimo ankstyvuosiuose įrenginio paleidimo etapuose.

Saugaus paleidimo sertifikatai visada turėjo galiojimo datas, nes jie padeda užtikrinti, kad jūsų kompiuteris ir toliau gautų saugos naujinimus ir būtų tinkamai paleistas. Štai kodėl turite įdiegti 2023 m. sertifikatus prieš tai, kai 2026 m. birželį baigsis 2011 m. CA galiojimas.

Jei turite įrenginį, įsigytą 2024 m. (arba vėliau), tikėtina, kad naujausi sertifikatai jau yra įdiegti. Tačiau likusiems kompiuteriams „Microsoft“ šiuo metu diegia naujus „Secure Boot“ sertifikatus per „Windows Update“.

2026 m. sausio 13 d. išleistame „2026-01 Security Update (KB5074109) (26200.7623)“ programinės įrangos milžinė pažymėjo, kad atnaujinimuose dabar yra įtrauktas didelio patikimumo įrenginių duomenų pogrupis, kuris identifikuoja įrenginius, tinkamus automatiškai gauti naujus „Secure Boot“ sertifikatus. Įrenginiai gaus naujus sertifikatus tik gavę pakankamai sėkmingų atnaujinimo signalų, užtikrinant saugų ir laipsnišką diegimą.

Tai reiškia, kad jums nereikia atlikti jokių rankinių veiksmų norint atnaujinti „Secure Boot“ , išskyrus tai, kad leidžiate sistemai toliau gauti atnaujinimus. Bent jau nuo dabar iki 2026 m. birželio mėn. saugos atnaujinimo.

Patikrinkite „Secure Boot“ sertifikato galiojimo datą

Kadangi negausite pranešimo, kad jūsų kompiuteryje dabar yra naujausios sertifikatų institucijos, svarbu patikrinti, ar jūsų įrenginiui vis dar reikia atnaujinimo.

„Windows 11“ neturi įdiegtos komandos, kuri rodytų žmonėms suprantamą programinės įrangos galiojimo datą. Tačiau galite patikrinti, ar turite „atnaujintus“ 2023 m. sertifikatus (kurie pakeičia tuos, kurių galiojimo laikas baigiasi 2026 m.), atlikdami šiuos veiksmus:

Atidarykite „PowerShell“ (administratorius) ir paleiskite:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Tiesa: Jūs turite naują sertifikatą (galioja iki 2053 m.).
  • Netiesa: Jums greičiausiai vis dar galioja 2011 m. sertifikatas (galioja iki 2026 m.).

„Microsoft“ pakeičia pasibaigiančio galiojimo „Secure Boot“ sertifikatus sistemoje „Windows 11“ – visa informacija ir kaip atnaujinti savąjį

„PowerShell“ patikrina „Secure Boot“ sertifikato galiojimo laiką / Paveikslėlis: Mauro Huculak

Beveik visos šiuolaikinės „Secure Boot“ grandinės remiasi „Microsoft“ 2011 m. sertifikatais, kurių galiojimo datos yra šios :

  • „Microsoft Corporation“ KEK CA 2011 (2026 m. birželio 24 d.). 
  • „Microsoft Corporation“ UEFI CA 2011 (2026 m. birželio 27 d.).
  • „Microsoft Option ROM UEFI CA 2011“ (2026 m. birželio 27 d.).
  • „Microsoft Windows“ produkcijos PCA 2011 (2026 m. spalio 19 d.).

Informacijai, štai ką daro kiekvienas sertifikatas:

  • KEK sertifikatas: patikimumo šaltinis, leidžiantis atnaujinti „Secure Boot“ parašų duomenų bazes (DB/DBX).
  • UEFI CA sertifikatai: pasitikėkite įkrovos įkroviklių ir programinės įrangos komponentų (įskaitant trečiųjų šalių EFI programas) parašais.
  • Pasirinktinės ROM CA: Pasitiki programinės įrangos pasirinktinės ROM moduliais.
  • „Microsoft Windows Production PCA 2011“: užtikrina, kad „Windows“ įkrovos įkrovos programa ir susiję dvejetainiai failai būtų patikimi programinės įrangos, naudojant „Secure Boot“.

Atnaujinkite saugaus paleidimo sertifikatus sistemoje „Windows 11“

Jei jūsų sertifikatų galiojimo laikas artėja, „Microsoft“ ir jūsų kompiuterio gamintojas (OEM) automatiškai išleis programinės įrangos atnaujinimus arba „DBX“ atnaujinimus per „Windows Update“ arba sistemos naujinimus, kad užregistruotų naujus 2023 m. CA sertifikatus. Tačiau galite rankiniu būdu atnaujinti „Secure Boot“.

Įspėjimas: prieš tęsdami įsitikinkite, kad turite išsaugotą „BitLocker“ atkūrimo raktą ir atnaujintą BIOS (UEFI) . Jei jūsų kompiuterio programinė įranga nepalaiko naujų sertifikatų, po atnaujinimo kompiuteris gali nepavykti paleisti. Taip pat rekomenduojama prieš tęsdami sukurti pilną kompiuterio atsarginę kopiją.

Atidarykite „PowerShell“ (administratorius) ir paleiskite:

reg pridėti HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Ši komanda nustato registro raktą, kuris nurodo operacinei sistemai diegti visus reikiamus sertifikatus (įskaitant PCA 2023 pasirašytą įkrovos tvarkyklę).

Reikšmė 0x5944yra „visiško apribojimo“ kodas, kuris įgalina visus atitinkamus sertifikatų atnaujinimus.

„Windows 11“ turi integruotą užduotį, kuri apdoroja šiuos sertifikatų pakeitimus, ir jūs galite ją suaktyvinti rankiniu būdu, kad išvengtumėte 12 valandų laukimo, naudodami šią komandą:

Start-ScheduledTask -TaskName „\Microsoft\Windows\PI\Secure-Boot-Update“

„Microsoft“ pakeičia pasibaigiančio galiojimo „Secure Boot“ sertifikatus sistemoje „Windows 11“ – visa informacija ir kaip atnaujinti savąjį

„PowerShell“ atnaujina saugaus įkrovimo sertifikatą / Paveikslėlis: Mauro Huculak

Paprastai atnaujinimui visiškai pritaikyti reikia dviejų paleidimų iš naujo. Po pirmojo paleidimo iš naujo sistema atnaujina įkrovos tvarkyklę. Po antrojo ji užbaigia sertifikato registraciją UEFI duomenų bazėje.

Po perkrovimo galite patikrinti, ar jūsų duomenų bazėje yra „UEFI CA 2023“, paleisdami šią „PowerShell“ komandą (kaip administratorius):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • Tiesa: Jūsų sistema dabar apsaugota naujais sertifikatais.
  • Netiesa: Jei po kelių perkrovimų reikšmė išlieka „netiesa“, pagrindinės plokštės programinė įranga gali būti per sena, kad priimtų naują sertifikato formatą. Patikrinkite gamintojo svetainę, ar nėra su „Saugus įkrovimas“ susijusio BIOS atnaujinimo.

Jei „BitLocker“ aktyvus, gali tekti laikinai išjungti šifravimąSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ), kad programinė įranga galėtų sėkmingai įrašyti naujus raktus į įrenginį.

Palikti komentarą

Kaip pakeisti numatytąjį žaidimų diegimo diską sistemoje „Windows 11“

Kaip pakeisti numatytąjį žaidimų diegimo diską sistemoje „Windows 11“

Norėdami pakeisti numatytąjį žaidimo diegimo diską sistemoje „Windows 11“, atidarykite „Microsoft Store“ profilio nustatymus ir pakeiskite disko ir aplanko vietas.

„Windows 11“ 27891 versija pašalina „PowerShell“ (senąją) versiją iš „Canary“

„Windows 11“ 27891 versija pašalina „PowerShell“ (senąją) versiją iš „Canary“

„Windows 11 Canary Build 27891“ pašalina „PowerShell 2.0“, ištaiso failų naršyklės klaidas, pagerina užduočių tvarkyklės metriką ir pateikia įvairių pataisymų.

26220.7070 (KB5070300) versija, skirta „Windows 11 25H2“, pagerina atkūrimą ir valdiklius (Dev)

26220.7070 (KB5070300) versija, skirta „Windows 11 25H2“, pagerina atkūrimą ir valdiklius (Dev)

„Windows 11“ skirta KB5070300 (26220.7070 versija) išleidžiama su naujais valdiklių ataskaitų srities, atkūrimo ir išmaniųjų programų valdymo pakeitimais.

Kaip ištaisyti trūkstamą išplėstinių saugos naujinimų registracijos parinktį sistemoje „Windows 10“ prieš pasibaigiant palaikymui

Kaip ištaisyti trūkstamą išplėstinių saugos naujinimų registracijos parinktį sistemoje „Windows 10“ prieš pasibaigiant palaikymui

Jei nerodoma „Windows 10“ išplėstinių saugos naujinimų registracijos parinktis, patvirtinkite reikalavimus ir vykdykite šias komandas, kad ją priverstumėte.

„Windows 11 25H2“ plečia diegimą, priversdamas atnaujinti „23H2“ kompiuterius.

„Windows 11 25H2“ plečia diegimą, priversdamas atnaujinti „23H2“ kompiuterius.

„Microsoft“ pradeda priverstinį atnaujinimą iš „Windows 11 23H2“ į 25H2 versiją per „Windows Update“ nustatymus, nes OS palaikymas baigiasi.

26220.6780 (KB5067103) versija, skirta „Windows 11 25H2“, įtraukia tamsųjį režimą į „Run“ (Dev)

26220.6780 (KB5067103) versija, skirta „Windows 11 25H2“, įtraukia tamsųjį režimą į „Run“ (Dev)

KB5067103 (26220.6780 ir 26120.6780 komponavimo versijos), skirtos „Windows 11“ tamsiajam režimui vykdymo metu, patobulina dirbtinio intelekto agentą nustatymuose ir ištaiso klaidas.

Kaip išspręsti „LocalHost“ problemą įdiegus naujinimą KB5066835 sistemoje „Windows 11“

Kaip išspręsti „LocalHost“ problemą įdiegus naujinimą KB5066835 sistemoje „Windows 11“

Norėdami išspręsti „localhost“ problemą įdiegus „Windows 11“ naujinimą KB5066835 2025 m. spalio mėn., paleiskite „Windows Update“ arba naudokite „PowerShell“.

Kaip apeiti „Microsoft“ paskyrą OOBE sistemoje „Windows 11“ – metodai, kurie vis dar veikia

Kaip apeiti „Microsoft“ paskyrą OOBE sistemoje „Windows 11“ – metodai, kurie vis dar veikia

Vis dar galite apeiti „Microsoft“ paskyrą ir internetą „Windows 11 OOBE“ sistemoje naudodami registro tvarkyklę, „WinJS“, prisijungimą prie domeno, neprižiūrimą failą ir įrankius.

Kaip naudoti „Tiny11 Builder“ norint sukurti pasirinktinį „Windows 11“ ISO be nereikalingų programų

Kaip naudoti „Tiny11 Builder“ norint sukurti pasirinktinį „Windows 11“ ISO be nereikalingų programų

Sukurkite išvalytą „Windows 11“ ISO failą naudodami „Tiny11 Builder“. Pašalinkite numatytąsias programas, praleiskite „Microsoft“ paskyrą ir sukurkite švarų diegimo atvaizdą.

Kaip naudoti „Rufus“ norint sukurti paleidžiamą „Windows 11 25H2“ USB atmintinę

Kaip naudoti „Rufus“ norint sukurti paleidžiamą „Windows 11 25H2“ USB atmintinę

Norėdami naudoti „Rufus“ ir sukurti „Windows 11 25H2“ USB atmintinę, atidarykite įrankį, pasirinkite „Atidaryti esamą“ arba „Atsisiųsti ISO“ ir pasirinkite pasirinktinę parinktį. Kaip tai padaryti, rasite čia.