„Microsoft“ pakeičia pasibaigiančio galiojimo „Secure Boot“ sertifikatus sistemoje „Windows 11“ – visa informacija ir kaip atnaujinti savąjį

• Saugus įkrovimas apsaugo žemo lygio kenkėjiškas programas nuo „Windows 11“ paleidimo proceso trikdymo.
• Originalūs „Microsoft“ 2011 m. „Secure Boot“ sertifikatai nustoja galioti 2026 m. birželį, o nauji 2023 m. sertifikatai pratęsia apsaugą iki 2053 m.
• Įrenginiai, įsigyti 2024 m. ir vėliau, greičiausiai jau turi naujausius sertifikatus. Kiti juos gauna palaipsniui per „Windows Update“.
• Sertifikato būseną galite patikrinti naudodami „PowerShell“ ir rankiniu būdu atnaujinti sertifikatus naudodami registro pakeitimus ir suplanuotas užduotis, jei atnaujinimai neatkeliavo automatiškai.

Jūsų kompiuterio saugaus paleidimo modulio sertifikatas baigs galioti 2026 m. birželį. Pradėjusi nuo 2026 m. sausio mėn. saugos naujinimo , „Microsoft“ pradėjo laipsnišką naujo sertifikato, kuris leis jūsų kompiuteriui toliau tinkamai paleisti sistemą ir gauti saugos naujinimus, diegimą.

„Windows 11“ sistemoje „Secure Boot“ yra vieningosios išplečiamosios programinės įrangos sąsajos (UEFI) programinės įrangos saugos funkcija, kuri neleidžia neteisėtai keisti svarbių sistemos failų paleidimo metu. Todėl ji užtikrina, kad įrenginys būtų paleidžiamas naudojant tik gamintojo patikimą programinę įrangą.

Kitaip tariant, „Secure Boot“ padeda apsaugoti jūsų įrenginius nuo žemo lygio kenkėjiškų programų (pvz., įkrovos rinkinių ir rootkitų), kurios gali užkrėsti įkrovos procesą ir perimti kompiuterio valdymą dar prieš įkeliant operacinę sistemą ir antivirusinę programinę įrangą.

Saugaus įkrovimo sertifikatų supratimas

Šio proceso metu funkcija naudoja kriptografinius raktus (vadinamus sertifikavimo institucijomis (CA)), kad patvirtintų, jog programinės įrangos moduliai yra iš patikimo šaltinio, ir taip padėtų išvengti kenkėjiškų programų paleidimo ankstyvuosiuose įrenginio paleidimo etapuose.

Saugaus paleidimo sertifikatai visada turėjo galiojimo datas, nes jie padeda užtikrinti, kad jūsų kompiuteris ir toliau gautų saugos naujinimus ir būtų tinkamai paleistas. Štai kodėl turite įdiegti 2023 m. sertifikatus prieš tai, kai 2026 m. birželį baigsis 2011 m. CA galiojimas.

Jei turite įrenginį, įsigytą 2024 m. (arba vėliau), tikėtina, kad naujausi sertifikatai jau yra įdiegti. Tačiau likusiems kompiuteriams „Microsoft“ šiuo metu diegia naujus „Secure Boot“ sertifikatus per „Windows Update“.

2026 m. sausio 13 d. išleistame „2026-01 Security Update (KB5074109) (26200.7623)“ programinės įrangos milžinė pažymėjo, kad atnaujinimuose dabar yra įtrauktas didelio patikimumo įrenginių duomenų pogrupis, kuris identifikuoja įrenginius, tinkamus automatiškai gauti naujus „Secure Boot“ sertifikatus. Įrenginiai gaus naujus sertifikatus tik gavę pakankamai sėkmingų atnaujinimo signalų, užtikrinant saugų ir laipsnišką diegimą.

Tai reiškia, kad jums nereikia atlikti jokių rankinių veiksmų norint atnaujinti „Secure Boot“ , išskyrus tai, kad leidžiate sistemai toliau gauti atnaujinimus. Bent jau nuo dabar iki 2026 m. birželio mėn. saugos atnaujinimo.

Patikrinkite „Secure Boot“ sertifikato galiojimo datą

Kadangi negausite pranešimo, kad jūsų kompiuteryje dabar yra naujausios sertifikatų institucijos, svarbu patikrinti, ar jūsų įrenginiui vis dar reikia atnaujinimo.

„Windows 11“ neturi įdiegtos komandos, kuri rodytų žmonėms suprantamą programinės įrangos galiojimo datą. Tačiau galite patikrinti, ar turite „atnaujintus“ 2023 m. sertifikatus (kurie pakeičia tuos, kurių galiojimo laikas baigiasi 2026 m.), atlikdami šiuos veiksmus:

Atidarykite „PowerShell“ (administratorius) ir paleiskite:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Tiesa: Jūs turite naują sertifikatą (galioja iki 2053 m.).
• Netiesa: Jums greičiausiai vis dar galioja 2011 m. sertifikatas (galioja iki 2026 m.).

„PowerShell“ patikrina „Secure Boot“ sertifikato galiojimo laiką / Paveikslėlis: Mauro Huculak

Beveik visos šiuolaikinės „Secure Boot“ grandinės remiasi „Microsoft“ 2011 m. sertifikatais, kurių galiojimo datos yra šios :

• „Microsoft Corporation“ KEK CA 2011 (2026 m. birželio 24 d.). 
• „Microsoft Corporation“ UEFI CA 2011 (2026 m. birželio 27 d.).
• „Microsoft Option ROM UEFI CA 2011“ (2026 m. birželio 27 d.).
• „Microsoft Windows“ produkcijos PCA 2011 (2026 m. spalio 19 d.).

Informacijai, štai ką daro kiekvienas sertifikatas:

• KEK sertifikatas: patikimumo šaltinis, leidžiantis atnaujinti „Secure Boot“ parašų duomenų bazes (DB/DBX).
• UEFI CA sertifikatai: pasitikėkite įkrovos įkroviklių ir programinės įrangos komponentų (įskaitant trečiųjų šalių EFI programas) parašais.
• Pasirinktinės ROM CA: Pasitiki programinės įrangos pasirinktinės ROM moduliais.
• „Microsoft Windows Production PCA 2011“: užtikrina, kad „Windows“ įkrovos įkrovos programa ir susiję dvejetainiai failai būtų patikimi programinės įrangos, naudojant „Secure Boot“.

Atnaujinkite saugaus paleidimo sertifikatus sistemoje „Windows 11“

Jei jūsų sertifikatų galiojimo laikas artėja, „Microsoft“ ir jūsų kompiuterio gamintojas (OEM) automatiškai išleis programinės įrangos atnaujinimus arba „DBX“ atnaujinimus per „Windows Update“ arba sistemos naujinimus, kad užregistruotų naujus 2023 m. CA sertifikatus. Tačiau galite rankiniu būdu atnaujinti „Secure Boot“.

Įspėjimas: prieš tęsdami įsitikinkite, kad turite išsaugotą „BitLocker“ atkūrimo raktą ir atnaujintą BIOS (UEFI) . Jei jūsų kompiuterio programinė įranga nepalaiko naujų sertifikatų, po atnaujinimo kompiuteris gali nepavykti paleisti. Taip pat rekomenduojama prieš tęsdami sukurti pilną kompiuterio atsarginę kopiją.

Atidarykite „PowerShell“ (administratorius) ir paleiskite:

reg pridėti HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Ši komanda nustato registro raktą, kuris nurodo operacinei sistemai diegti visus reikiamus sertifikatus (įskaitant PCA 2023 pasirašytą įkrovos tvarkyklę).

Reikšmė 0x5944yra „visiško apribojimo“ kodas, kuris įgalina visus atitinkamus sertifikatų atnaujinimus.

„Windows 11“ turi integruotą užduotį, kuri apdoroja šiuos sertifikatų pakeitimus, ir jūs galite ją suaktyvinti rankiniu būdu, kad išvengtumėte 12 valandų laukimo, naudodami šią komandą:

Start-ScheduledTask -TaskName „\Microsoft\Windows\PI\Secure-Boot-Update“

„PowerShell“ atnaujina saugaus įkrovimo sertifikatą / Paveikslėlis: Mauro Huculak

Paprastai atnaujinimui visiškai pritaikyti reikia dviejų paleidimų iš naujo. Po pirmojo paleidimo iš naujo sistema atnaujina įkrovos tvarkyklę. Po antrojo ji užbaigia sertifikato registraciją UEFI duomenų bazėje.

Po perkrovimo galite patikrinti, ar jūsų duomenų bazėje yra „UEFI CA 2023“, paleisdami šią „PowerShell“ komandą (kaip administratorius):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Tiesa: Jūsų sistema dabar apsaugota naujais sertifikatais.
• Netiesa: Jei po kelių perkrovimų reikšmė išlieka „netiesa“, pagrindinės plokštės programinė įranga gali būti per sena, kad priimtų naują sertifikato formatą. Patikrinkite gamintojo svetainę, ar nėra su „Saugus įkrovimas“ susijusio BIOS atnaujinimo.

Jei „BitLocker“ aktyvus, gali tekti laikinai išjungti šifravimąSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ), kad programinė įranga galėtų sėkmingai įrašyti naujus raktus į įrenginį.