Kako namestiti potrdila Secure Boot 2023 v sistem Windows 11 (in 10) pred iztekom veljavnosti leta 2026

• Potrdila za varen zagon sistema Windows 11 (in 10) iz leta 2011 potečejo junija 2026.
• Računalniki, izdelani leta 2024 in kasneje, običajno vključujejo certifikate iz leta 2023. Starejši sistemi bodo morda potrebovali ročne posodobitve.
• Ta navodila vam pomagajo preveriti podrobnosti potrdila in ročno namestiti potrdila 2023.

V sistemih Windows 11 in Windows 10 Microsoft postopoma preverja in posodablja potrdila Secure Boot s standardnimi sistemskimi posodobitvami. V večini primerov morate le spremljati mesečne varnostne posodobitve, da zagotovite, da bo vaša naprava pripravljena pred rokom junija 2026.

Če pa želite novejša potrdila Secure Boot 2023 preveriti ali uporabiti sami, lahko postopek dokončate ročno. Ta vodnik vas vodi skozi korake.

Varni zagon je varnostna funkcija na ravni vdelane programske opreme, vgrajena v vmesnik UEFI (Unified Extensible Firmware Interface). Zagotavlja, da se naprava zažene le s programsko opremo, ki jo digitalno podpišejo in ji zaupajo odobreni overitelji potrdil. Z overjanjem zagonskih nalagalnikov in komponent vdelane programske opreme pred nalaganjem operacijskega sistema Varni zagon pomaga preprečiti, da bi rootkiti in druga nizkonivojska zlonamerna programska oprema ogrozili postopek zagona.

Za uveljavljanje te zaščite se Secure Boot zanaša na kriptografske ključe, znane kot overitelji potrdil (CA). Ti ključi vzpostavljajo verigo zaupanja med vdelano programsko opremo in operacijskim sistemom ter blokirajo nepodpisano ali spremenjeno kodo med zgodnjim zagonom.

Podobno kot vsa digitalna potrdila imajo tudi overitelji potrdil Secure Boot datume poteka veljavnosti. Prvotna potrdila iz leta 2011 potečejo junija 2026. Sistemi morajo imeti posodobljena potrdila iz leta 2023 nameščena pred tem datumom, da se izognete napakam pri preverjanju zaupanja, težavam z zagonom ali morebitnim prekinitvam pri prejemanju prihodnjih posodobitev.

Računalniki, izdelani leta 2024 ali kasneje, so običajno dobavljeni z že nameščenimi potrdili za leto 2023. Za starejšo strojno opremo Microsoft dostavlja posodobljena potrdila prek storitve Windows Update kot del stalnega varnostnega vzdrževanja, vendar lahko nova potrdila namestite in zamenjate tudi ročno.

V tem priročniku bom opisal preproste korake za preverjanje in ročno posodabljanje potrdil Secure Boot v vaši napravi Windows 11.

Pomembno: Čeprav gre za nedestruktiven postopek, je vseeno priporočljivo, da pred nadaljevanjem naredite popolno varnostno kopijo računalnika . Opozorjeni ste bili.

Namestitev potrdil Secure Boot 2023 v sistemu Windows 11

Če je BitLocker aktiven, morate šifriranje začasno onemogočiti v PowerShellu ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), preden lahko vdelana programska oprema uspešno zapiše nove ključe v napravo. Preden nadaljujete, se prepričajte, da je vaš računalnik v celoti posodobljen na varnostno posodobitev iz februarja 2026 (KB5077181) ali novejšo.

Če želite posodobiti potrdila Secure Boot pred potekom veljavnosti leta 2026, sledite tem korakom:

1. Odprite Začetek .

    

    

2. Poiščite PowerShell (ali Terminal ), z desno tipko miške kliknite zgornji rezultat in izberite možnost Zaženi kot skrbnik .

3. Vnesite ta ukaz, da potrdite, da naprava uporablja UEFI z omogočenim varnim zagonom, in vnesite :

   Potrdi-SecureBootUEFI

   Kratka opomba: Če je izhod »True«, lahko nadaljujete s spodnjimi koraki. V nasprotnem primeru boste morali omogočiti Secure Boot . Če uporabljate Windows 10, boste morda morali celo preklopiti s starejšega BIOS-a na UEFI .

4. Vnesite ta ukaz, da preverite datum poteka veljavnosti potrdil Secure Boot, in pritisnite Enter : 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -ujemanje 'Windows UEFI CA 2023'

   

5. (Izhod 1) Če je izhod »True«, imate novo potrdilo (veljavno do leta 2053). Ustavite in ne nadaljujte.

6. (Izhod 2) Če je izhod »Napačno«, verjetno še vedno uporabljate potrdilo iz leta 2011 (ki poteče leta 2026). Nadaljujte s spodnjimi koraki.

7. Vnesite ta ukaz, da nastavite ključ registra za uvajanje vseh zahtevanih potrdil, in pritisnite Enter : 

   reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

8. Vnesite ta ukaz, da ročno sprožite spremembe potrdila, in pritisnite Enter :

   Start-ScheduledTask-Name "\Microsoft\Windows\PI\Secure-Boot-Update"

   

9. Enkrat znova zaženite računalnik.

10. Znova zaženite napravo in nadaljujte s postopkom preverjanja potrdil.

    Kratka opomba: Za popolno uveljavitev posodobitve sta običajno potrebna dva ponovna zagona. Po prvem ponovnem zagonu sistem posodobi upravitelja zagona. Po drugem dokonča vpis potrdila v podatkovno zbirko UEFI.

11. Odprite Začetek .

12. Poiščite PowerShell (ali Terminal ), z desno tipko miške kliknite zgornji rezultat in izberite možnost Zaženi kot skrbnik.

13. Vnesite ta ukaz, da preverite, ali je bila posodobitev uspešno zaključena, in pritisnite Enter : 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -ujemanje 'Windows UEFI CA 2023'

Ko zaključite korake in je izhod »True« (True) , so bila nova potrdila (veljavna do leta 2053) uspešno nameščena v računalniku. Če je izhod »False« (Napačno), potrdila niso bila pravilno nameščena.

Pomembno je omeniti, da vrednost »True« potrdi vpis overitelja potrdil 2023, vendar potrdila 2011 ne odstrani takoj v vseh primerih. Nekateri sistemi lahko začasno prikazujejo oboje.

Če izhod po postopku ostane »Napačno«, preverite, ali so napake v Pregledovalniku dogodkov > Dnevniki aplikacij in storitev > Microsoft > Windows > SecureBoot-Update . Prav tako potrdite obstoj načrtovane naloge tako, da zaženete Get-ScheduledTask -TaskName "Secure-Boot-Update"ukaz.

Če ste morali po posodobitvi onemogočiti BitLocker, lahko šifriranje nadaljujete z zagonom Resume-BitLocker -MountPoint "C:"ukaza, čeprav -RebootCount 2se po dveh ponovnih zagonih samodejno nadaljuje.

Omeniti velja, da potrdila Secure Boot za leto 2023 ne pridejo kar iz nič. Microsoft nova potrdila vključuje v posodobitve za servisiranje sistema Windows, običajno kot del kumulativne posodobitve ali varnostne posodobitve za Windows 11 in podprte naprave s sistemom Windows 10. 

Pravzaprav podjetje vključuje nova potrdila Secure Boot že od izdaje varnostne posodobitve februarja 2026 (in novejših izdaj).

Ta potrdila, znana kot Windows UEFI CA 2023, so digitalno podpisana s strani Microsofta in jim zaupa Secure Boot.

Če so potrdila že v vašem računalniku, vam bodo ta navodila pomagala, da jih takoj uporabite, ne da bi čakali, da sistem samodejno obdela posodobitev.