Windows Secure Boot tanúsítvány lejárata és tanúsítványfrissítések

Amióta a Windows támogatja a Secure Boot funkciót, a legtöbb Windows eszköz a Microsoft tanúsítványok sorozatát használja az UEFI Secure Boot adatbázisban. Ezek a korábbi tanúsítványok fokozatosan lejárnak majd 2026-tól kezdődően. Az indítási biztonság és a bizalmi lánc épségének megőrzése érdekében a rendszert frissíteni kell a Microsoft tanúsítványok 2023-as verziójára.

Ha a rendszerén jelenleg engedélyezve van a Secure Boot, kérjük, győződjön meg róla, hogy ezek a tanúsítványok frissülnek, mielőtt lejárnának 2026 közepén.

 

Mit kell tennie?           
Csak az alábbi frissítési módszerek egyikét kell elvégeznie, majd várnia az új Windows Boot Manager-re:           
 

(Módszer I) Windows automatikus frissítésen keresztül

Ha a「Windows Update」engedélyezve van és a rendszerben a Secure Boot be van kapcsolva (lásd: hogyan kell engedélyezni a Secure Boot-ot), a támogatott Windows eszközök automatikusan letöltik és alkalmazzák az új Secure Boot tanúsítványokat és az új Boot Manager-t a megfelelő időben.

Az új Secure Boot adatbázis-frissítés 2024-től fokozatosan érkezik az olyan eszközökre, ahol a Secure Boot engedélyezve van, és automatikusan befejezi az eszköz frissítését a tanúsítvány lejárata előtt, 2026 júniusában.

Az alapértelmezett beállításokkal rendelkező felhasználóknak általában nincs szükségük további kézi műveletekre.

[Engedélyezze a Windows Update szolgáltatást, hogy új tanúsítványokat szerezzen be]           

 

 

 

(Módszer II) UEFI BIOS kézi frissítése

Figyelem: A BIOS frissítése után előfordulhat, hogy be kell írnia a BitLocker helyreállítási kulcsot az operációs rendszer feloldásához és eléréséhez. A részletes lépésekért kérjük, tekintse meg ezt a cikket: Hogyan találja meg a BitLocker kulcsot.
A BIOS frissítése előtt letilthatja az Eszköz titkosítást és a Standard BitLocker titkosítást, majd a BIOS frissítése után újra engedélyezheti a titkosítást az adatai védelme érdekében. A részletes lépésekért kérjük, tekintse meg ezt a cikket: Bevezetés az Eszköz titkosításba és a Standard BitLocker titkosításba.

Alaplap esetén    

Az ASUS hivatalos weboldaláról is letöltheti és frissítheti az UEFI BIOS legújabb verzióját, hogy megszerezze a frissített Secure Boot tanúsítványokat.

Ez a módszer inkább a haladó felhasználók számára alkalmas, akik jártasak a BIOS-frissítési folyamatban, vagy olyan rendszerek esetén, ahol a Windows Update-en keresztül nem érkeznek meg a frissítések.

1. Az UEFI BIOS legújabb verziójának letöltéséhez és frissítéséhez az ASUS hivatalos weboldaláról, lásd: BIOS frissítésének módja

2. Secure Boot kulcsok törlése           
2.1 A BIOS frissítése és a rendszer újraindítása után lépj vissza a BIOS Setup menübe, menj az Advanced\Boot > Secure Boot pontra.

Ha a Secure Boot mód Standard, állítsd át Custom-ra.

2.2 Kattints a Key Management-re.

2.3 Hajtsd végre a "Secure Boot kulcsok törlése" műveletet.

Kattints [Igen].

2.4 Ellenőrizd, hogy az összes UEFI Secure Boot kulcs (PK, KEK, DB, DBX) sikeresen törölve lett.

3. Alapértelmezett Secure Boot kulcsok telepítése         
3.1 A Secure Boot kulcsok törlése után hajtsa végre az „Alapértelmezett Secure Boot kulcsok telepítése” műveletet.         

Kattintson a [Igen] gombra.

3.2 Ellenőrizze, hogy a PK/KEK/DB/DBX mérete/darabja nem 0, és hogy a kulcs forrása [Alapértelmezett]. A UEFI Secure Boot kulcsok frissítési folyamata ezzel befejeződött.

 

GYIK         
Kérdés 1: Hogyan ellenőrizhető a UEFI Secure Boot kulcsok állapota?         
Válasz: Kérjük, kövesse az alábbi lépéseket:         
1. A BIOS oldalon lépjen az Advanced\Boot > Secure Boot > Key Management menüpontba.         
2. Válassza ki sorban a következő elemeket, majd válassza a „Kulcsok törlése” lehetőséget:         
➢ KEK Management         
➢ DB Management

3. Válassza a "Nem" lehetőséget a felugró ablakban. (Megjegyzés: Ez a művelet csak a Kulcs információinak megjelenítésére szolgál; az "Igen" kiválasztása törli a Kulcsot.)

4. Győződjön meg róla, hogy a KEK Management tartalmazza a "Microsoft Corporation KEK 2K CA 2023" bejegyzést.

5. Győződjön meg róla, hogy a DB Management tartalmazza mind a "Microsoft UEFI CA 2023", mind a "Windows UEFI CA 2023" bejegyzést.

Notebookhoz

Letöltheti és frissítheti a UEFI BIOS-t a legújabb verzióra a hivatalos ASUS weboldalról, hogy megszerezze a frissített Secure Boot tanúsítványokat.           
Ez a módszer inkább azok számára alkalmas, akik jártasak a UEFI BIOS frissítési folyamatában.           
1. Töltse le és frissítse a UEFI BIOS-t a legújabb verzióra a hivatalos ASUS weboldalról. További információért lásd: Hogyan frissítse a BIOS-t Windows alatt.           
2. Visszaállítás Setup módba           
2.1 A BIOS frissítése után indítsa újra a rendszert, és lépjen be újra a BIOS Setup-ba. Lépjen a Haladó\Boot > Secure Boot menüpontra.           
2.2 Kattintson a Kulcskezelésre.

2.3 Hajtsa végre a "Visszaállítás Setup módba" műveletet.

2.4 Kattintson a [Igen] lehetőségre.

 

 

2.5 Ellenőrizze, hogy minden UEFI Secure Boot kulcs (PK, KEK, DB, DBX) sikeresen törlésre került.

3. Gyári kulcsok visszaállítása           
3.1 Hajtsa végre a "Gyári kulcsok visszaállítása" műveletet.

          
3.2 Kattintson a [Igen] lehetőségre.

3.3 Ellenőrizze, hogy a PK/KEK/DB/DBX kulcsok Mérete/Száma nem nulla-e.           
A UEFI Secure Boot kulcsok frissítési folyamata most befejeződött.

          
 

GYIK           
1. kérdés: Hogyan tudom ellenőrizni a UEFI Secure Boot kulcsok állapotát?           
Válasz: Kérjük, kövesse az alábbi lépéseket:           
1. A BIOS oldalon lépjen az Advanced\Boot > Secure Boot > Key Management menüpontra.           
2. Válassza ki az alábbi elemeket, majd kattintson a „Details” gombra:           
➢ Key Exchange Keys (KEK)           
➢ Authorized Signatures (db)

3. Erősítse meg, hogy a Key Exchange Keys (KEK) tartalmazza a „Microsoft Corporation KEK 2K CA 2023”-at.

4. Erősítse meg, hogy az Authorized Signatures (db) tartalmazza mind a „Microsoft UEFI CA 2023”-at, mind a „Windows UEFI CA 2023”-at.

AIOT esetén

A felhasználók letölthetik és frissíthetik a legújabb UEFI BIOS verziót a hivatalos ASUS weboldalról, hogy megkapják a frissített Secure Boot tanúsítványokat. Ez a módszer inkább haladó felhasználók számára ajánlott, akik jártasak a BIOS frissítési folyamatában, vagy azoknál a rendszereknél, amelyek nem tudnak megfelelően frissíteni a Windows Update-en keresztül.

Töltse le és frissítse a legújabb UEFI BIOS verziót a hivatalos ASUS AIoT weboldalról. Az útmutatóért lásd:            
1. Töltse le és frissítse a legújabb UEFI BIOS verziót a hivatalos ASUS AIoT weboldalról. Az útmutatóért lásd: Hogyan frissítsem a BIOS-t           
2. Telepítse az alapértelmezett Secure Boot kulcsokat:           
2.1 A BIOS frissítése után indítsa újra a rendszert. Lépjen vissza a BIOS Setup segédprogramba, majd navigáljon a Security > Secure Boot menüpontra.

2.2 Ha a Secure Boot Mode értéke Custom, kérjük, állítsa Standard-ra.

2.3 Kattintson az OK gombra (az "Install factory default in Key Management" alkalmazásához)

2.4 Kattintson az Expert Key Management-re.

2.5 Ellenőrizze, hogy a PK, KEK, DB és DBX Size/Number of Keys értéke nem nulla.

 

GYIK           
Kérdés 1: Hogyan tudom ellenőrizni az UEFI Secure Boot Keys állapotát, hogy megbizonyosodjak arról, hogy a 2023-as Microsoft tanúsítványok telepítve lettek?           
Válasz: Kérjük, kövesse az alábbi lépéseket:

1. Ha a Secure Boot Mode értéke Standard, állítsa Custom-ra.           

2. Kattintson az OK gombra.

3. Kattintson a Szakértői kulcskezelésre.

4. Válassza a Kulcscsere kulcsot (KEK) > Részletek.

5. Ellenőrizze, hogy a KEK-kezelés tartalmazza-e a következőt: "Microsoft Corporation KEK 2K CA 2023".

6. Válassza a Hitelesített aláírásokat (db) > Részletek.

7. Ellenőrizze, hogy a DB-kezelés tartalmazza az összes következőt: "Windows UEFI CA 2023", "Microsoft UEFI CA 2023" és "Microsoft Option ROM UEFI CA 2023".