Microsoft aizstāj derīguma termiņu zaudējušos drošās sāknēšanas sertifikātus operētājsistēmā Windows 11 — visa informācija un to atjaunināšana

• Droša sāknēšana novērš zema līmeņa ļaunprogrammatūras apdraudēšanu Windows 11 startēšanas procesā.
• Microsoft sākotnējie 2011. gada drošās sāknēšanas sertifikāti beidzas 2026. gada jūnijā, un jaunie 2023. gada sertifikāti pagarina aizsardzību līdz 2053. gadam.
• Ierīcēm, kas iegādātas 2024. gadā un vēlāk, visticamāk, jau ir jaunākie sertifikāti. Citas ierīces tos saņem pakāpeniski, izmantojot Windows Update.
• Sertifikāta statusu varat pārbaudīt, izmantojot PowerShell, un manuāli atjaunināt sertifikātus, izmantojot reģistra pielāgojumus un plānotos uzdevumus, ja atjauninājumi nav piegādāti automātiski.

Jūsu datora drošās sāknēšanas moduļa sertifikāta derīguma termiņš beigsies 2026. gada jūnijā. Sākot ar 2026. gada janvāra drošības atjauninājumu , Microsoft ir sācis pakāpenisku jauna sertifikāta ieviešanu, kas ļaus jūsu datoram turpināt pareizi startēties un saņemt drošības atjauninājumus.

Operētājsistēmā Windows 11 drošā sāknēšana ir drošības funkcija, kas pieejama vienotās paplašināmās programmaparatūras saskarnes (UEFI) programmaparatūrā un kas novērš neatļautas kritiski svarīgu sistēmas failu izmaiņas startēšanas laikā. Tā rezultātā tā nodrošina, ka ierīce tiek startēta, izmantojot tikai ražotāja uzticamu programmatūru.

Citiem vārdiem sakot, drošā sāknēšana palīdz aizsargāt jūsu ierīces pret zema līmeņa ļaunprogrammatūru (piemēram, sāknēšanas komplektiem un sakņu komplektiem), kas var inficēt sāknēšanas procesu un iegūt kontroli pār jūsu datoru, pirms operētājsistēma un pretvīrusu programmatūra pat ir ielādēta.

Izprotiet drošās sāknēšanas sertifikātus

Procesa ietvaros funkcija izmanto kriptogrāfiskās atslēgas (pazīstamas kā sertifikātu iestādes (CA)), lai pārbaudītu, vai programmaparatūras moduļi nāk no uzticama avota, tādējādi palīdzot novērst ļaunprogrammatūras darbību ierīces startēšanas sākumposmā.

Tagad drošās sāknēšanas sertifikātiem vienmēr ir bijis derīguma termiņš, jo tie palīdz nodrošināt, ka jūsu dators turpina saņemt drošības atjauninājumus un pareizi startējas. Tāpēc jums ir jāinstalē 2023. gada sertifikāti, pirms 2011. gada sertifikācijas sertifikātu derīguma termiņš sāk beigties 2026. gada jūnijā.

Ja ierīce ir iegādāta 2024. gadā (vai vēlāk), iespējams, ka jaunākie sertifikāti jau ir instalēti. Tomēr pārējiem datoriem Microsoft pašlaik ievieš jaunos drošās sāknēšanas sertifikātus, izmantojot Windows Update.

2026. gada 13. janvārī izlaistajā “2026-01 drošības atjauninājumā (KB5074109) (26200.7623)” programmatūras gigants ir norādījis, ka atjauninājumi tagad ietver augstas uzticamības ierīču mērķauditorijas atlases datu apakškopu, kas identificē ierīces, kuras ir tiesīgas automātiski saņemt jaunus drošās sāknēšanas sertifikātus. Ierīces saņems jaunos sertifikātus tikai pēc tam, kad būs pietiekami daudz veiksmīgu atjaunināšanas signālu, nodrošinot drošu un pakāpenisku izvietošanu.

Tas nozīmē, ka jums nav jāveic nekādas manuālas darbības, lai atjauninātu drošo sāknēšanu , izņemot to, ka jums jāļauj sistēmai turpināt saņemt atjauninājumus. Vismaz no šī brīža līdz brīdim, kad būs pieejams 2026. gada jūnija drošības atjauninājums.

Pārbaudiet drošās sāknēšanas sertifikāta derīguma termiņu

Tā kā jūs nesaņemsit paziņojumu, ka jūsu datorā tagad ir iekļautas jaunākās sertifikātu izdevniecības, ir svarīgi pārbaudīt, vai jūsu ierīcei joprojām ir nepieciešams atjauninājums.

Operētājsistēmā Windows 11 nav iebūvētas komandas, lai parādītu cilvēkam lasāmu programmaparatūras derīguma termiņu. Tomēr varat pārbaudīt, vai jums ir “atjauninātie” 2023. gada sertifikāti (kas aizstāj tos, kuru derīguma termiņš beidzas 2026. gadā), veicot šīs darbības:

Atveriet PowerShell (administrators) un palaidiet:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Tiesa: Jums ir jaunais sertifikāts (derīgs līdz 2053. gadam).
• Nepareizi: Jums, visticamāk, joprojām ir 2011. gada sertifikāts (derīgs līdz 2026. gadam).

PowerShell pārbauda drošās sāknēšanas sertifikāta derīguma termiņu / Attēls: Mauro Huculak

Gandrīz visas mūsdienu drošās sāknēšanas ķēdes balstās uz Microsoft 2011. gada sertifikātiem, kuriem ir šādi derīguma termiņi :

• Microsoft Corporation KEK CA 2011 (2026. gada 24. jūnijs). 
• Microsoft Corporation UEFI CA 2011 (2026. gada 27. jūnijs).
• Microsoft Option ROM UEFI CA 2011 (2026. gada 27. jūnijs).
• Microsoft Windows Production PCA 2011 (2026. gada 19. oktobris).

Atsaucei, lūk, ko dara katrs sertifikāts:

• KEK sertifikāts: uzticamības enkurs, kas ļauj atjaunināt drošās sāknēšanas parakstu datubāzes (DB/DBX).
• UEFI CA sertifikāti: uzticieties sāknēšanas ielādētāju un programmaparatūras komponentu parakstiem (tostarp trešo pušu EFI lietojumprogrammām).
• Option ROM CA: Uzticas programmaparatūras opciju ROM moduļiem.
• Microsoft Windows Production PCA 2011: Nodrošina, ka programmaparatūra drošās sāknēšanas ietvaros uzticas Windows sāknēšanas ielādētājam un saistītajiem binārajiem failiem.

Drošas sāknēšanas sertifikātu atjaunināšana operētājsistēmā Windows 11

Ja jūsu sertifikātu derīguma termiņš tuvojas beigām, Microsoft un jūsu datora ražotājs (OEM) automātiski izlaidīs programmaparatūras atjauninājumus vai “DBX” atjauninājumus, izmantojot Windows Update vai sistēmas atjauninājumus, lai reģistrētu jaunos 2023. gada CA sertifikātus. Tomēr varat manuāli atjaunināt savu drošo sāknēšanas rīku.

Brīdinājums: Pirms turpināt, pārliecinieties, vai ir saglabāta BitLocker atkopšanas atslēga un vai BIOS (UEFI) ir atjaunināta. Ja datora programmaparatūra neatbalsta jaunos sertifikātus, dators pēc atjaunināšanas, iespējams, nevarēs startēt. Pirms turpināt, ieteicams arī izveidot pilnu datora dublējumu .

Atveriet PowerShell (administrators) un palaidiet:

reģistrēt HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Šī komanda iestata reģistra atslēgu, kas dod operētājsistēmai norādījumus izvietot visus nepieciešamos sertifikātus (tostarp ar PCA 2023 parakstīto sāknēšanas pārvaldnieku).

Vērtība 0x5944ir “pilnīgas mazināšanas” kods, kas iespējo visus attiecīgos sertifikātu atjauninājumus.

Operētājsistēmā Windows 11 ir iebūvēts uzdevums, kas apstrādā šīs sertifikātu izmaiņas, un jūs varat to aktivizēt manuāli, lai izvairītos no 12 stundu gaidīšanas, izmantojot šo komandu:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell atjaunina drošās sāknēšanas sertifikātu / Attēls: Mauro Huculak

Atjauninājuma pilnīgai stāšanās spēkā parasti prasa divas pārstartēšanas. Pēc pirmās pārstartēšanas sistēma atjaunina sāknēšanas pārvaldnieku. Pēc otrās tā pabeidz sertifikātu reģistrāciju UEFI datubāzē.

Pēc pārstartēšanas varat pārbaudīt, vai jūsu datubāzē tagad ir “UEFI CA 2023”, palaižot šo PowerShell komandu (kā administrators):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Tiesa: Jūsu sistēma tagad ir aizsargāta ar jaunajiem sertifikātiem.
• Aplama: Ja pēc vairākām atkārtotām palaišanām tā joprojām ir aplama, mātesplates programmaparatūra, iespējams, ir pārāk novecojusi, lai pieņemtu jauno sertifikāta formātu. Pārbaudiet ražotāja tīmekļa vietni, lai atrastu ar “Drošo sāknēšanu” saistītu BIOS atjauninājumu.

Ja BitLocker ir aktīvs, iespējams, būs īslaicīgi jāatspējo šifrēšanaSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ), pirms programmaparatūra var veiksmīgi ierakstīt jaunās atslēgas ierīcē.