פג תוקף תעודת Windows Secure Boot ועדכוני תעודות

מאז ש-Windows החלה לתמוך ב-Secure Boot, רוב מכשירי Windows השתמשו בסדרה של תעודות Microsoft במסד הנתונים של UEFI Secure Boot. תעודות אלו המוקדמות יותר יחלו לפוג בהדרגה משנת 2026. כדי לשמור על אבטחת האתחול ושלמות שרשרת האמון, יש לעדכן את המערכות לגרסה 2023 של תעודות Microsoft.

אם במערכת שלכם מופעל Secure Boot, ודאו שתעודות אלו מעודכנות לפני שיפוגו באמצע 2026.

 

מה לעשות?            
השלימו רק אחת משיטות העדכון הבאות והמתינו ל-Windows Boot Manager החדש:            
 

(שיטה I) עדכון אוטומטי דרך Windows

כאשר 「Windows Update」 מופעל והמערכת עם Secure Boot פעיל (אנא עיינו ב-הפעלת Secure Boot), מכשירי Windows נתמכים יורידו ויתקינו אוטומטית את תעודות Secure Boot החדשות ואת Boot Manager החדש בזמן המתאים.

עדכון מסד הנתונים Secure Boot החדש הופץ בשלבים למכשירים עם Secure Boot פעיל מאז 2024 וישלים את עדכון המכשיר באופן אוטומטי לפני פקיעת התעודה ביוני 2026.

משתמשים עם הגדרות ברירת מחדל בדרך כלל אינם נדרשים לבצע פעולות ידניות נוספות.

[אפשרו עדכון Windows לקבלת תעודות חדשות]            

 

 

 

(שיטה II) עדכון ידני של UEFI BIOS

הערה: לאחר עדכון ה-BIOS, ייתכן שתתבקשו להזין את מפתח שחזור BitLocker כדי לפתוח ולגשת למערכת ההפעלה. לשלבים מפורטים, עיינו במאמר זה: איתור מפתח BitLocker. 
ניתן גם להשבית הצפנת מכשיר והצפנת BitLocker רגילה לפני עדכון ה-BIOS, ולאחר מכן להפעיל מחדש את ההצפנה אחרי עדכון ה-BIOS כדי להגן על אבטחת המידע שלכם. לשלבים מפורטים, עיינו במאמר זה: מבוא להצפנת מכשיר והצפנת BitLocker רגילה.

ללוחות אם    

ניתן גם להוריד ולעדכן לגרסה האחרונה של UEFI BIOS מאתר ASUS הרשמי כדי לקבל את תעודות Secure Boot המעודכנות.

שיטה זו מתאימה יותר למשתמשים מתקדמים שמכירים את תהליך עדכון ה-BIOS או למערכות שאינן יכולות לקבל עדכונים דרך Windows Update כרגיל.

1. להורדת ועדכון לגרסה העדכנית ביותר של UEFI BIOS מאתר ASUS הרשמי, עיינו ב: עדכון BIOS

2. ניקוי מפתחות Secure Boot            
2.1 לאחר עדכון ה-BIOS ואתחול המערכת, היכנסו שוב ל-BIOS Setup, עברו ל-Advanced\Boot > Secure Boot.

אם Secure Boot Mode הוא Standard, שנו ל-Custom.

2.2 לחצו על Key Management.

2.3 בצעו "ניקוי מפתחות Secure Boot".

לחצו [כן].

2.4 ודאו שכל מפתחות UEFI Secure Boot (PK, KEK, DB, DBX) נוקו בהצלחה.

3. התקנת מפתחות Secure Boot ברירת מחדל            
3.1 לאחר ניקוי מפתחות Secure Boot, הפעילו את "התקנת מפתחות Secure Boot ברירת מחדל."            

לחצו על [כן].

3.2 ודאו כי הגודל/מספר המפתחות עבור PK/KEK/DB/DBX אינו 0 ומקור המפתח הוא [ברירת מחדל]. תהליך עדכון מפתחות UEFI Secure Boot הושלם.

 

שאלות ותשובות            
שאלה 1: בדיקת מצב מפתחות UEFI Secure Boot.            
תשובה: בצעו את השלבים הבאים:            
1. בדף ה-BIOS, עברו אל Advanced\Boot > Secure Boot > Key Management.            
2. בחרו את הפריטים הבאים בהתאמה ולאחר מכן בחרו "מחיקת מפתחות":            
➢ KEK Management            
➢ DB Management

3. בחרו "לא" בחלון ההנחיה. (הערה: פעולה זו נועדה רק להצגת מידע המפתחות; בחירה ב-"כן" תמחק את המפתח.)

4. ודאו כי KEK Management מכיל "Microsoft Corporation KEK 2K CA 2023".

5. ודאו כי DB Management מכיל גם "Microsoft UEFI CA 2023" וגם "Windows UEFI CA 2023".

למחשבים ניידים

באפשרותכם גם להוריד ולעדכן את UEFI BIOS לגרסה העדכנית ביותר מאתר ASUS הרשמי כדי לקבל את תעודות Secure Boot המעודכנות.            
שיטה זו מתאימה יותר למשתמשים מתקדמים שמכירים את תהליך עדכון UEFI BIOS.            
1. הורידו ועדכנו את UEFI BIOS לגרסה האחרונה מאתר ASUS הרשמי. תוכלו לעיין ב: עדכון BIOS ב-Windows.            
2. איפוס למצב הגדרה            
2.1 לאחר עדכון ה-BIOS, הפעילו את המערכת מחדש והיכנסו שוב להגדרות ה-BIOS. עברו ל-Advanced\Boot > Secure Boot.            
2.2 לחצו על ניהול מפתחות.

2.3 בצעו "איפוס למצב הגדרה".

2.4 לחצו על [כן].

 

 

2.5 ודאו שכל מפתחות ה-UEFI Secure Boot (PK, KEK, DB, DBX) נמחקו בהצלחה.

3. שחזור מפתחות יצרן            
3.1 בצעו "שחזור מפתחות יצרן".

           
3.2 לחצו על [כן].

3.3 בדקו שמספר/גודל המפתחות עבור PK/KEK/DB/DBX אינו אפס.            
תהליך עדכון מפתחות האתחול המאובטח של UEFI הושלם כעת.

           
 

שאלות ותשובות            
שאלה 1: בדיקת מצב מפתחות האתחול המאובטח של UEFI.            
תשובה: בצעו את השלבים הבאים:            
1. בעמוד ה-BIOS, עברו אל Advanced\Boot > Secure Boot > Key Management.            
2. בחרו כל אחד מהפריטים הבאים ולאחר מכן לחצו "פרטים":"            
➢ Key Exchange Keys (KEK)            
➢ Authorized Signatures (db)

3. ודאו שמפתחות החלפת מפתחות (KEK) כוללות את "Microsoft Corporation KEK 2K CA 2023".

4. ודאו שחתימות מורשות (db) כוללות גם את "Microsoft UEFI CA 2023" וגם את "Windows UEFI CA 2023".

ל-AIOT

משתמשים יכולים להוריד ולעדכן לגרסה המעודכנת ביותר של UEFI BIOS מאתר ASUS הרשמי כדי לקבל את אישורי Secure Boot המעודכנים. שיטה זו מתאימה יותר למשתמשים מתקדמים שמכירים את תהליך עדכון ה-BIOS, או עבור מערכות שאינן מסוגלות לקבל עדכונים כראוי דרך Windows Update.

הורידו ועדכנו לגרסה המעודכנת ביותר של UEFI BIOS מאתר ה-ASUS AIoT הרשמי. להוראות, עיינו ב:              
1. הורידו ועדכנו לגרסה העדכנית ביותר של UEFI BIOS מאתר ASUS AIoT הרשמי. להוראות, עיינו ב: עדכון BIOS              
2. התקנת מפתחות Secure Boot ברירת מחדל:              
2.1 לאחר עדכון ה-BIOS, הפעילו מחדש את המערכת. כנסו שוב ל-BIOS Setup utility ונווטו ל- Security > Secure Boot.

2.2 אם מצב Secure Boot מוגדר ל-Custom, נא לשנות אותו ל-Standard.

2.3 לחצו על אישור (כדי להחיל "התקנת הגדרות יצרן ב-Key Management")

2.4 לחצו על Expert Key Management.

2.5 ודאו ש-Size/Number of Keys עבור PK, KEK, DB, ו-DBX אינם אפס.

 

שאלות ותשובות            
שאלה 1: בדיקת מצב מפתחות UEFI Secure Boot לאימות התקנת תעודות 2023 של מיקרוסופט.            
תשובה: עקבו אחרי השלבים הבאים:

1. אם Secure Boot Mode מוגדר ל-Standard, שנו אותו ל-Custom.            

2. לחצו על אישור.

3. לחצו על ניהול מפתחות מתקדם.

4. בחרו Key Exchange Key (KEK) > פרטים.

5. ודאו שניהול KEK כולל "Microsoft Corporation KEK 2K CA 2023".

6. בחרו חתימות מורשות (db) > פרטים.

7. ודאו שניהול DB מכיל את כל הבאים: "Windows UEFI CA 2023", "Microsoft UEFI CA 2023", ו-"Microsoft Option ROM UEFI CA 2023".