Masa berlaku sertifikat Secure Boot Windows dan pembaruan sertifikat

Jawaban 1: Silakan ikuti langkah-langkah di bawah ini:

1. Di bilah pencarian Windows, ketik Windows Security. 
   
2. Pilih [Keamanan perangkat] dari menu sebelah kiri. Di bawah [Secure boot], Anda akan melihat indikator status. Ikon Secure boot ditandai dengan lencana hijau, kuning, atau merah, masing-masing mewakili status Secure boot saat ini di sistem Anda. 
   

Jawaban 2: Silakan ikuti langkah-langkah di bawah ini:

1. Jalankan Windows Update dan pastikan bahwa build OS adalah 26100.6725 atau yang lebih baru. 
   Riwayat pembaruan Windows 11, versi 25H2 - Dukungan Microsoft
2. Pada bilah pencarian Windows, ketik Windows PowerShell. 
   Dari hasil pencarian, klik kanan Windows PowerShell dan pilih Jalankan sebagai Administrator. 
   
3. Masukkan perintah berikut: 
   reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0X5944 /f 
   
4. Kemudian masukkan perintah berikut: 
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" 
   
5. Restart komputer Anda.
6. Setelah reboot, buka kembali Windows PowerShell sebagai administrator.
7. Masukkan kembali perintah berikut: 
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" 
   
8. Restart komputer Anda sekali lagi.
9. Verifikasi bahwa ikon Secure Boot telah berubah menjadi hijau, yang menunjukkan bahwa Secure Boot sekarang sudah diaktifkan dan berfungsi dengan benar.

Jawaban 3: Setelah sertifikat Secure Boot kedaluwarsa, perangkat yang belum menerima sertifikat 2023 yang baru masih dapat menyala dan beroperasi secara normal, dan pembaruan Windows standar akan tetap terpasang. Namun, perangkat-perangkat ini tidak akan dapat memperoleh perlindungan keamanan baru selama proses boot awal, termasuk memperbarui administrator boot Windows, basis data secure boot, daftar pencabutan, atau langkah mitigasi untuk kerentanan tingkat boot yang baru ditemukan.

Seiring waktu, hal ini membatasi perlindungan perangkat terhadap ancaman yang muncul dan dapat memengaruhi skenario yang mengandalkan kepercayaan secure boot, seperti penguatan BitLocker atau boot loader pihak ketiga. Sebagian besar perangkat Windows akan secara otomatis menerima kredensial yang diperbarui, dan banyak produsen OEM juga akan menyediakan pembaruan firmware jika diperlukan. Selalu menjaga perangkat tetap diperbarui membantu memastikan bahwa perangkat dapat terus menerima perlindungan keamanan lengkap yang dirancang untuk boot up yang aman.

Jawaban 4: Perangkat yang mematikan secure boot tidak akan menerima kredensial secure boot baru di firmware. Oleh karena itu, perangkat tersebut tetap rentan terhadap malware pada lapisan boot (seperti bootkit) karena perlindungan secure boot tidak diterapkan.

Jawaban 5: Jika Windows sudah menggunakan boot manager dengan tanda tangan 2023, tetapi firmware direset ke nilai default yang tidak menyertakan sertifikat Windows UEFI CA 2023, secure boot akan memblokir proses booting.

Anda dapat merujuk ke FAQ:

[Notebook] Pemecahan Masalah - Kesalahan Secure Boot Violation Saat Startup

Jawaban 6: Ya. Meskipun kredensial yang ada telah kedaluwarsa, pembaruan kumulatif yang berisi kredensial secure boot baru masih dapat diterapkan. Jika perangkat dapat menjalankan Windows dan menginstal pembaruan, kredensial yang telah diperbarui dapat dituliskan ke dalam firmware sesuai dengan pedoman penerapan yang dipublikasikan. Sebagian besar perangkat akan menerima pembaruan ini secara otomatis, namun beberapa sistem mungkin memerlukan pembaruan firmware tambahan.

Jawaban 7: Silakan merujuk ke langkah-langkah berikut:

1. Masukkan PowerShell di kotak pencarian sistem Windows. 
   Pada hasil pencarian, klik ikon Windows PowerShell dan pilih Jalankan sebagai Administrator. 
   
2. Pastikan bahwa Key Exchange Key (KEK) mencakup "Microsoft Corporation KEK 2K CA 2023" 
   Masukkan [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' 
   Jika muncul True, itu berarti sudah termasuk "Microsoft Corporation KEK 2K CA 2023" 
   
3. Pastikan bahwa Signature Databases (DB) mencakup "Windows UEFI CA 2023" 
   Masukkan [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' 
   Jika muncul True, itu berarti sudah termasuk "Windows UEFI CA 2023" 
   
4. Pastikan bahwa Signature Databases (DB) mencakup "Microsoft UEFI CA 2023" 
   Masukkan [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023' 
   Jika muncul True, itu berarti sudah termasuk "Microsoft UEFI CA 2023" 
   

Jawaban 8: Alasan dari pesan kesalahan ini adalah kredensial secure boot telah diperbarui, namun belum diterapkan ke firmware perangkat.

Silakan jalankan Windows Update terlebih dahulu untuk memastikan bahwa build OS sudah 26100.6725 atau lebih baru, lalu lanjutkan dengan langkah-langkah yang dijelaskan pada Pertanyaan 2.

Riwayat pembaruan Windows 11, versi 25H2.

Jawaban 9: Alasan dari pesan kesalahan ini adalah pembaruan boot sengaja diblokir karena perangkat sesuai dengan kondisi firmware atau hardware yang diketahui, sehingga mencegah pembaruan selesai dengan aman.

Silakan laporkan masalah ini melalui pusat layanan ASUS.

Jawaban 10: Alasan untuk pesan kesalahan ini adalah karena perangkat tidak dapat menemukan Key Exchange Key (KEK) yang ditandatangani oleh PK.

Silakan laporkan masalah ini melalui pusat layanan ASUS.