Kā instalēt 2023. gada drošās sāknēšanas sertifikātus operētājsistēmās Windows 11 (un 10) pirms 2026. gada termiņa beigām

• Windows 11 (un 10) drošās sāknēšanas sertifikātu derīguma termiņš no 2011. gada beidzas 2026. gada jūnijā.
• Datoriem, kas ražoti 2024. gadā un vēlāk, parasti ir iekļauti 2023. gada sertifikāti. Vecākām sistēmām var būt nepieciešami manuāli atjauninājumi.
• Šie norādījumi palīdzēs jums pārbaudīt sertifikātu datus un manuāli instalēt 2023 sertifikātus.

Operētājsistēmās Windows 11 un Windows 10 Microsoft pakāpeniski validē un atjaunina drošās sāknēšanas sertifikātus, izmantojot standarta sistēmas atjauninājumus. Vairumā gadījumu jums tikai jāseko līdzi ikmēneša drošības atjauninājumiem, lai nodrošinātu, ka jūsu ierīce ir gatava pirms 2026. gada jūnija termiņa.

Tomēr, ja vēlaties pats pārbaudīt vai lietot jaunākos 2023. gada drošās sāknēšanas sertifikātus, varat procesu veikt manuāli. Šajā rokasgrāmatā ir sniegti detalizēti norādījumi par nepieciešamajām darbībām.

Droša sāknēšana ir programmaparatūras līmeņa drošības funkcija, kas iebūvēta vienotajā paplašināmajā programmaparatūras saskarnē (UEFI). Tā nodrošina, ka ierīce tiek startēta tikai ar programmatūru, ko digitāli parakstījušas un uzticējušas apstiprinātas sertifikātu iestādes. Validējot sāknēšanas ielādētājus un programmaparatūras komponentus pirms operētājsistēmas ielādes, drošā sāknēšana palīdz novērst rootkit un citas zema līmeņa ļaunprogrammatūras apdraudēšanu startēšanas procesā.

Lai nodrošinātu šo aizsardzību, drošā sāknēšana izmanto kriptogrāfiskās atslēgas, kas pazīstamas kā sertifikātu iestādes (CA). Šīs atslēgas izveido uzticības ķēdi starp programmaparatūru un operētājsistēmu, bloķējot neparakstītu vai manipulētu kodu agrīnas sāknēšanas laikā.

Līdzīgi kā visiem digitālajiem sertifikātiem, arī drošās sāknēšanas sertifikātu iestādēm ir derīguma termiņi. Sākotnējie 2011. gada sertifikāti beidzas 2026. gada jūnijā. Lai izvairītos no uzticamības validācijas kļūdām, sāknēšanas problēmām vai iespējamiem pārtraukumiem turpmāko atjauninājumu saņemšanā, sistēmās jābūt instalētiem atjauninātajiem 2023. gada sertifikātiem pirms šī datuma.

Datori, kas ražoti 2024. gadā vai vēlāk, parasti tiek piegādāti ar jau esošajiem 2023. gada sertifikātiem. Vecākai aparatūrai Microsoft piegādā atjauninātos sertifikātus, izmantojot Windows Update, kā daļu no pastāvīgas drošības uzturēšanas, taču jaunos sertifikātus var instalēt un aizstāt arī manuāli.

Šajā rokasgrāmatā es aprakstīšu vienkāršas darbības, lai pārbaudītu un manuāli atjauninātu drošās sāknēšanas sertifikātus jūsu Windows 11 ierīcē.

Svarīgi: Lai gan šis ir nedestruktīvs process, pirms turpināt , joprojām ieteicams izveidot pilnu datora dublējumu . Jūs esat brīdināts.

Instalējiet 2023. gada drošās sāknēšanas sertifikātus operētājsistēmā Windows 11

Ja BitLocker ir aktīvs, pirms programmaparatūras veiksmīgas ierakstīšanas ierīcē, jums īslaicīgi jāatspējo šifrēšana programmā PowerShell (). Pirms turpināt, pārliecinieties, vai dators ir pilnībā atjaunināts uz 2026. gada februāra drošības atjauninājumu (KB5077181) vai jaunāku versiju.Suspend-BitLocker -MountPoint "C:" -RebootCount 2

Lai atjauninātu drošās sāknēšanas sertifikātus pirms to derīguma termiņa beigām 2026. gadā, veiciet tālāk norādītās darbības.

1. Atvērt Sākt .

    

    

2. Meklējiet PowerShell (vai Terminal ), ar peles labo pogu noklikšķiniet uz augšējā rezultāta un izvēlieties opciju Palaist kā administratoram .

3. Ievadiet šo komandu, lai apstiprinātu, ka ierīce izmanto UEFI ar iespējotu drošo sāknēšanu, un ievadiet :

   Apstiprināt — SecureBootUEFI

   Neliela piezīme: ja rezultāts ir “True” (Patiess), varat turpināt tālāk norādītās darbības. Pretējā gadījumā jums būs jāiespējo drošā sāknēšana . Ja izmantojat operētājsistēmu Windows 10, iespējams, jums pat būs jāpārslēdzas no mantotās BIOS uz UEFI .

4. Ierakstiet šo komandu, lai pārbaudītu drošās sāknēšanas sertifikātu derīguma termiņu, un nospiediet taustiņu Enter : 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

5. (1. izvade) Ja izvade ir “True”, jums ir jauns sertifikāts (derīgs līdz 2053. gadam). Apstājieties un neturpiniet.

6. (2. izvade) Ja izvade ir “False”, visticamāk, jums joprojām ir 2011. gada sertifikāts (derīgs līdz 2026. gadam). Turpiniet ar tālāk norādītajām darbībām.

7. Ierakstiet šo komandu, lai iestatītu reģistra atslēgu visu nepieciešamo sertifikātu izvietošanai, un nospiediet taustiņu Enter : 

   reģistrēt HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

8. Ierakstiet šo komandu, lai manuāli aktivizētu sertifikāta izmaiņas, un nospiediet taustiņu Enter :

   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

   

9. Restartējiet datoru vienu reizi.

10. Pārstartējiet ierīci otro reizi un turpiniet sertifikātu pārbaudes procesu.

    Neliela piezīme: Lai pilnībā stātos spēkā atjauninājums, parasti ir nepieciešamas divas pārstartēšanas. Pēc pirmās pārstartēšanas sistēma atjaunina sāknēšanas pārvaldnieku. Pēc otrās tā pabeidz sertifikātu reģistrāciju UEFI datubāzē.

11. Atvērt Sākt .

12. Meklējiet PowerShell (vai Terminal ), ar peles labo pogu noklikšķiniet uz augšējā rezultāta un izvēlieties opciju Palaist kā administratoram.

13. Lai pārbaudītu, vai atjauninājums ir veiksmīgi pabeigts, ierakstiet šo komandu un nospiediet taustiņu Enter : 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Kad esat pabeidzis šīs darbības, ja rezultāts ir “True”, jaunie sertifikāti (derīgi līdz 2053. gadam) ir veiksmīgi instalēti jūsu datorā. Ja rezultāts ir “False”, sertifikāti nav pareizi instalēti.

Ir svarīgi atzīmēt, ka “True” (patiess) apstiprina 2023. gada sertifikātu iestādes reģistrāciju, taču tas ne visos gadījumos nekavējoties noņem 2011. gada sertifikātu. Dažās sistēmās var īslaicīgi tikt rādīti abi.

Ja pēc procesa pabeigšanas izvade joprojām ir “False”, pārbaudiet, vai sadaļā Notikumu skatītājs > Lietojumprogrammu un pakalpojumu žurnāli > Microsoft > Windows > SecureBoot-Update nav kļūdu. Tāpat pārliecinieties, vai ieplānotais uzdevums pastāv, palaižot Get-ScheduledTask -TaskName "Secure-Boot-Update"komandu.

Pēc atjaunināšanas, ja jums bija jāatspējo BitLocker, varat atsākt šifrēšanu, palaižot komandu Resume-BitLocker -MountPoint "C:", pat ja -RebootCount 2tā automātiski atsākas pēc divām restartēšanas reizēm.

Jāatzīmē, ka 2023. gada drošās sāknēšanas sertifikāti nerodas no zila gaisa. Microsoft iekļauj jaunos sertifikātus Windows apkalpošanas atjauninājumos, parasti kā daļu no kumulatīvā atjauninājuma vai drošības atjauninājuma operētājsistēmai Windows 11 un atbalstītajām Windows 10 ierīcēm. 

Faktiski uzņēmums ir iekļāvis jaunos drošās sāknēšanas sertifikātus kopš 2026. gada februāra drošības atjauninājuma (un jaunāku versiju) izlaišanas .

Šie sertifikāti, kas pazīstami kā Windows UEFI CA 2023, ir digitāli parakstīti ar Microsoft un tiem uzticas Secure Boot.

Ja sertifikāti jau ir jūsu datorā, šie norādījumi palīdzēs jums tos nekavējoties lietot, negaidot, kamēr sistēma automātiski apstrādās atjauninājumu.