[Pembaruan Sertifikat Secure Boot Windows]

Bagian 1. Latar Belakang

Microsoft berencana untuk secara bertahap mengganti sertifikat "Secure Boot" yang digunakan di sistem Windows mulai tahun 2026. Sertifikat Secure Boot dirancang untuk mencegah perangkat lunak berbahaya—seperti bootkit—dari menanamkan loader selama proses startup, sehingga memastikan integritas lingkungan boot.

Sertifikat yang saat ini digunakan—"Microsoft Corporation KEK CA 2011" dan "Microsoft Windows Production PCA 2011"—sudah mendekati masa kedaluwarsa. Jika tidak diperbarui ke sertifikat baru—"Microsoft Corporation KEK 2K CA 2023" dan "Windows UEFI CA 2023"—perangkat tidak akan dapat lagi menerima pembaruan untuk Windows Boot Manager dan komponen keamanan penting lainnya.

Untuk memastikan PC komersial Anda tetap mendapatkan perlindungan secure boot dan pembaruan sistem yang berkelanjutan, silakan ikuti panduan di bawah ini untuk memverifikasi status perangkat Anda.

 

Bagian 2. Apakah Perangkat Saya Terpengaruh?

2.1 Tidak Terpengaruh (Sertifikat Baru Didukung secara Default)

Semua PC bisnis yang dikirimkan pada tahun 2024 atau setelahnya, serta semua model baru ke depannya, sudah terintegrasi dengan sertifikat Secure Boot yang baru. Tidak diperlukan pembaruan manual.

Laptop (NB): Model berikut, serta semua seri yang diluncurkan setelah tahun 2024.

Nama Model
BM3406CGA
BM3606CGA
PM5406CGA
PM5606CGA
BM3406CHA
BM3606CHA
PM3406CHA
PM3606CHA
PM3406CKAZ
PM3406CKA
PM3606CKA
PM1403CDA
PM1503CDA
B5405CCA
B3405CCA
B5605CCA
B3605CCA
P3405CVA
P3605CVA
B5605CVA
B3605CVA
B5405CVA
B3405CVA
BR1204FTA
BR1204CTA
BR1104FTA
BR1104CTA
B1403CTA
B1503CTA
B3402FVA
BM1403CDA
BM1503CDA
B1403CVA
B1503CVA
P1403CVA
P1503CVA
P5405CSA

 

Desktop: Model berikut, serta semua seri yang diluncurkan setelah 2024.

Nama Model
P500SV
V500SV
PM700MK
PM700SK
D900MF
D900SF
T701MF
D700MF
T500MV
P500MV
D700MER
D700ME
X500MA
D701MER
S701TER
D901MDR
D500TER
D700TER
D901SDR
S501MER
PD500TE
G15DS
D800MDR
G16CH
G13CH
S501ME
D500TE
D700TE
G35CA
D900MD
D500SD
D500MD
D700MD
D500TD
D700TD
G15CF
D900MC
D500SC
D700SC
D500TC
D700TC
PD500TC
G10CE
G35CG
GA35DX
D700SF
V500MV
D501MER
D701SER
D501SER
T501MV
D900MDR
D800SDR
D900SDR
S502ME
S502MER
D500MER
D500SER
D700SER
D900SC
D900SD
G35DX
S501MC
S502MD
S500TD
S501MD
S500TC
S500MC
S700SC
D700MC
S500MD
S500SC
S500SD
D701TC
D700SD
D500SE
D500ME
D700SE

 

All-in-One (AIO): Model berikut, serta semua seri yang diluncurkan setelah 2024.

Nama Model
PM640KA
PM670KA

 

2.2 Model yang Memerlukan Pembaruan

Jika model Anda tidak tercantum di atas, itu berarti perangkat saat ini menggunakan sertifikat lama dan perlu diperbarui.

 

Bagaimana Cara Mendapatkan Pembaruan?

Untuk model yang terdampak, ASUS telah menyelesaikan pengajuan sertifikat baru. Pembaruan akan dikirimkan secara otomatis oleh Microsoft melalui Windows Update.

 

Tindakan yang disarankan: Buka Pengaturan > Windows Update dan pastikan pembaruan otomatis diaktifkan.

Instalasi otomatis: Sistem akan secara otomatis mengunduh dan memasang sertifikat keamanan terbaru—tidak diperlukan alat atau unduhan manual.

 

Bagian 3. Sertifikat Secure Boot Pihak Ketiga Microsoft: Fungsionalitas dan Kebutuhan

Bagian ini menjelaskan tentang sertifikat Secure Boot pihak ketiga Microsoft. Jika perangkat Anda perlu menjalankan lingkungan non-Windows [misalnya, Linux] atau perangkat keras pihak ketiga [misalnya, GPU eksternal], silakan tinjau hal berikut.

3.1 Tinjauan Sertifikat Pihak Ketiga Microsoft

Sertifikat AsliSertifikat DiperbaruiDeskripsi
Microsoft Corporation UEFI CA 2011Microsoft UEFI CA 2023

Ini adalah sertifikat opsional yang digunakan “selama proses boot” untuk menandatangani aplikasi atau sistem operasi pihak ketiga (seperti Linux) yang dijalankan di luar lingkungan Windows.

Ini tidak diperlukan jika kasus penggunaan seperti itu tidak berlaku.

Microsoft Option ROM UEFI CA 2023Ini adalah sertifikat opsional yang digunakan “selama proses boot” untuk menandatangani Option ROM dari perangkat keras eksternal
Jika perangkat keras pihak ketiga (seperti GPU eksternal) tidak penting selama proses boot sistem, sertifikat ini tidak berlaku.

 

3.2 Jika Sertifikat Pihak Ketiga Microsoft Diperlukan, Silakan Lihat Instruksi Berikut

Catatan: Jika komputer komersial Anda telah mengaktifkan Windows BitLocker, harap nonaktifkan sementara terlebih dahulu dengan mengikuti petunjuk di bawah sebelum melakukan operasi Secure Boot.

 

Bagian 4. Memeriksa Status Sertifikat BIOS dan Menentukan Pembaruan

Perangkat yang dikirimkan pada tahun 2026 sudah termasuk sertifikat ini. Anda dapat masuk ke Setup BIOS (tekan F2 saat memulai) untuk memverifikasi atau mengonfigurasi opsi sertifikat pihak ketiga.

 

Selain itu, Anda dapat merujuk ke Bagian 8.3 untuk memverifikasi apakah sertifikat pihak ketiga sudah ada. Jika belum termasuk, silakan perbarui BIOS ke versi terbaru dan ikuti Bagian 5. SOP 1: Perbarui Sertifikat Secure Boot.

 

Jika sertifikat pihak ketiga yang diperlukan masih belum muncul, silakan lanjutkan ke Bagian 6. SOP 2: Tambahkan Sertifikat Secure Boot.

 

Jika mereset kunci Secure Boot menyebabkan layar berikut muncul saat booting ke Windows, silakan ikuti Bagian 7. SOP 3: Pulihkan Sertifikat Secure Boot.

 

Referensi

  1. https://learn.microsoft.com/id-id/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
  2. https://support.microsoft.com//topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e

 

Bagian 5. SOP 1: Memperbarui Sertifikat Secure Boot

Catatan Pra-Operasi:

  1. Sangat disarankan untuk mencadangkan semua data di komputer Anda terlebih dahulu untuk mencegah potensi kehilangan data selama proses pembaruan manual.
  2. Jika BitLocker diaktifkan, pastikan BitLocker dijeda sebelum melanjutkan langkah-langkah berikut. Setelah proses selesai, BitLocker dapat diaktifkan kembali.
  3. Kegagalan menjeda BitLocker dapat mengakibatkan skenario terkunci. Dalam kasus di mana BitLocker tidak dapat membuka drive Windows terenkripsi secara otomatis, kunci pemulihan akan diperlukan. Kunci ini adalah kode numerik 48 digit yang memungkinkan Anda mengakses kembali hard drive Anda. Jika Anda tidak familiar dengan prosedur yang dijelaskan di bawah ini, silakan hubungi kami untuk bantuan.

Jika Anda perlu mengambil kunci pemulihan BitLocker Anda, silakan lihat artikel: Cara Mengambil Kembali Kunci Pemulihan BitLocker Anda.

 

Langkah-langkah Prosedur

  1. Nyalakan atau mulai ulang sistem, lalu tekan F2 untuk masuk ke pengaturan BIOS.   
    Tekan F7 untuk beralih ke Mode Lanjutan, lalu arahkan ke Keamanan > Secure Boot (atau langsung Keamanan > Secure Boot).   
  2. Pilih Manajemen Kunci.   
  3. Pilih Authorized Signatures (db).   
  4. Pilih Update.   
  5. Pilih Ya.   
      
    Catatan: Memilih “Ya” akan mengembalikan sertifikat terkait ke pengaturan pabrik. Sertifikat apa pun yang sebelumnya ditambahkan oleh sistem atau pengguna akan dihapus.
  6. Pilih Detail untuk memverifikasi bahwa sertifikat Authorized Signatures (db) telah berhasil diperbarui.   
  7. Tekan F10 untuk Simpan & Keluar.
  8. Jika BitLocker sebelumnya telah ditangguhkan, pastikan untuk mengaktifkannya kembali.

 

Bagian 6. SOP 2: Tambahkan Sertifikat Secure Boot
6.1 Tambahkan Microsoft UEFI CA 2023
  1. Unduh Microsoft UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239872, dan simpan ke direktori root USB drive (misal, "D:\microsoft uefi ca 2023.crt”).
  2. Nyalakan atau restart sistem, lalu tekan F2 untuk masuk ke pengaturan BIOS.   
    Tekan F7 untuk beralih ke Mode Lanjutan, lalu arahkan ke Security > Secure Boot (atau langsung Security > Secure Boot).   
  3. Pilih Key Management.   
  4. Pilih Tanda Tangan yang Diotorisasi (db).   
  5. Pilih Tambahkan.   
  6. Pilih Tidak.   
  7. Pilih USB Drive.   
  8. Temukan dan pilih file di direktori root: “microsoft uefi ca 2023.crt”.
  9. Pilih Sertifikat Kunci Publik, lalu tekan Enter pada layar konfirmasi GUID.   
  10. Pilih Ya.   
  11. Pastikan bahwa Microsoft UEFI CA 2023 tercantum di bawah Tanda Tangan yang Diotorisasi (db).   
  12. Tekan F10 untuk Simpan & Keluar.
  13. Jika BitLocker sebelumnya ditangguhkan, pastikan BitLocker diaktifkan kembali.

 

6.2 Tambahkan Microsoft Option ROM UEFI CA 2023
  1. Unduh Microsoft Option ROM UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2284009, dan simpan ke direktori root USB drive (misalnya, “D:\microsoft option rom uefi ca 2023.crt”).
  2. Nyalakan atau restart sistem, lalu tekan F2 untuk masuk ke pengaturan BIOS.   
    Tekan F7 untuk beralih ke Advanced Mode, lalu navigasikan ke Security > Secure Boot (atau langsung Security > Secure Boot).   
  3. Pilih Key Management.   
  4. Pilih Authorized Signatures (db).   
  5. Pilih Append.   
  6. Pilih No. 
  7.  
  8. Pilih USB Drive.
  9. Cari dan pilih file yang disimpan di direktori root: “microsoft option rom uefi ca 2023.crt”.
  10. Pilih Public Key Certificate, lalu tekan Enter pada layar konfirmasi GUID.  
  12. Pilih Yes.  
  14. Pastikan bahwa Microsoft Option ROM UEFI CA 2023 sekarang tercantum di bawah Tanda Tangan yang Disetujui (db).  
  16. Tekan F10 untuk Simpan & Keluar.
  17. Jika BitLocker sebelumnya ditangguhkan, pastikan untuk mengaktifkannya kembali.

 

Bagian 7. SOP 3: Kembalikan Sertifikat Secure Boot
  1. Unduh Windows UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239776, dan simpan ke direktori root USB drive (misal, “D:\windows uefi ca 2023.crt”).
  2. Nyalakan atau restart sistem, kemudian tekan F2 untuk masuk ke pengaturan BIOS.   
    Tekan F7 untuk beralih ke Mode Lanjutan, lalu navigasikan ke Security > Secure Boot (atau langsung Security > Secure Boot).   
  3. Pilih Key Management.   
  4. Pilih Authorized Signatures (db).   
  5. Pilih Append.   
  6. Pilih No.   
  7. Pilih USB drive.
  8. Temukan dan pilih file yang tersimpan di direktori root: “windows uefi ca 2023.crt”.
  9. Pilih Public Key Certificate, lalu tekan Enter pada layar konfirmasi GUID.   
  10. Pilih Yes.   
  11. Verifikasi bahwa Windows UEFI CA 2023 sekarang terdaftar di bawah Tanda Tangan yang Diizinkan (db).   
  12. Tekan F10 untuk Simpan & Keluar.
  13. Jika BitLocker diaktifkan, pastikan Anda memiliki kunci pemulihan BitLocker Anda yang siap digunakan.

 

Bagian 8. Metode Verifikasi Sertifikat PowerShell

Cara Memverifikasi Status Kunci UEFI Secure Boot? Prosedur berikut tidak memengaruhi status Windows BitLocker.

8.1 Langkah Awal

Ketik PowerShell di bilah pencarian Windows.

Dari hasil pencarian, klik kanan Windows PowerShell dan pilih Jalankan sebagai Administrator.

 

8.2 Memverifikasi Sertifikat Secure Boot Microsoft Windows

  1. Pastikan bahwa Key Exchange Key (KEK) mencakup “Microsoft Corporation KEK 2K CA 2023”.  
    Jalankan: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'   
    Hasil True menunjukkan bahwa sertifikat "Microsoft Corporation KEK 2K CA 2023" ada.
  2. Pastikan bahwa Signature Databases (DB) menyertakan "Windows UEFI CA 2023".  
    Jalankan: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'  
    Hasil True menunjukkan bahwa sertifikat "Windows UEFI CA 2023" ada.  

 

8.3 Memverifikasi Sertifikat Secure Boot Pihak Ketiga Microsoft

  1. Pastikan bahwa Signature Databases (DB) menyertakan "Microsoft UEFI CA 2023".  
    Jalankan: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'  
    Hasil True menunjukkan bahwa sertifikat "Microsoft UEFI CA 2023" ada.  
  2. Pastikan bahwa Signature Databases (DB) menyertakan "Microsoft Option ROM UEFI CA 2023".  
    Jalankan: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Option ROM UEFI CA 2023'   Hasil True menunjukkan bahwa sertifikat "Microsoft Option ROM UEFI CA 2023" ada.