פג תוקף של תעודת Windows Secure Boot ועדכוני תעודות

מאז ש-Windows החלה לתמוך ב-Secure Boot, רוב המכשירים עם Windows השתמשו בסדרת תעודות של Microsoft במסד הנתונים של UEFI Secure Boot. תעודות ישנות אלו יתחילו לפקוע בהדרגה משנת 2026. כדי לשמור על אבטחת ה-boot ושלמות שרשרת האמון, יש לעדכן את המערכות לגרסה משנת 2023 של תעודות Microsoft.

אם במערכת שלך כעת Secure Boot מופעל, אנא ודא שהתעודות האלו מעודכנות לפני פקיעתן באמצע 2026.

 

Microsoft ממליצה להשלים את עדכון תעודות ה-Secure Boot דרך Windows update

עבור רוב המשתמשים, העדכונים הנדרשים יסופקו אוטומטית דרך Windows Updates ללא צורך בפעולה מצד המשתמש.

ניתן לאמת אם העדכונים התקבלו בהצלחה דרך אפליקציית Windows Security, כפי שמתואר ב-סטטוס עדכון תעודת Secure Boot באפליקציית Windows Security.

כאשר [Windows Update] מופעל והמערכת עם Secure Boot פעיל (אנא עיין ב-איך להפעיל Secure Boot), מכשירי Windows נתמכים יורידו ויתקינו את תעודות ה-Secure Boot וה-Boot Manager החדשים אוטומטית בזמן המתאים.

עדכון מסד הנתונים החדש של Secure Boot הופץ בשלבים למכשירים עם Secure Boot פעיל החל מ-2024, והוא ישלים אוטומטית את עדכון המכשיר לפני שתוקף התעודה יפוג ביוני 2026.

[אפשר עדכון Windows לקבלת אישורים חדשים]

 

שאלות ותשובות

שאלה 1: כיצד ניתן לבדוק את מצב UEFI Secure Boot?

תשובה 1: אנא בצע את השלבים הבאים:

  1. בשורת החיפוש של Windows, הקלד Windows Security
  2. בחר [אבטחת התקן] מתפריט הצד השמאלי. תחת [אתחול מאובטח], תוכל לראות מדד סטטוס. הסמל של אתחול מאובטח מסומן בסימון ירוק, צהוב, או אדום, שכל אחד מהם מייצג את המצב הנוכחי של אתחול מאובטח במערכת שלך. 

 

שאלה 2: מה עליי לעשות אם הסמל של אתחול מאובטח מופיע עם סימן צהוב או אדום?

תשובה 2: אנא עיין בשלבי הפתרון שמפורטים במאמר: פתרון בעיות - סמל האתחול המאובטח מציג סימן צהוב או אדום.

 

שאלה 3: מה קורה אם המכשיר שלי לא מקבל תעודת Secure Boot חדשה לפני שפג תוקף התעודה הישנה?

תשובה 3: לאחר שפג תוקף תעודת האתחול המאובטח, מכשירים שעדיין לא קיבלו את תעודת 2023 החדשה יכולים להמשיך להידלק ולפעול כרגיל, ועדכוני Windows הרגילים ימשיכו להיות מותקנים. עם זאת, מכשירים אלו לא יוכלו לקבל הגנות אבטחה חדשות בתהליך האתחול המוקדם, כולל עדכון מנהלי אתחול של Windows, מסדי נתונים של Secure Boot, רשימות שלילה, או אמצעי התמודדות עם חולשות חדשות ברמת האתחול.

עם הזמן, הדבר מגביל את ההגנה של המכשיר מפני איומים מתפתחים ועלול להשפיע על תרחישים התלויים באמון Secure Boot, כמו חיזוק BitLocker או מנהלי אתחול של צד שלישי. רוב מכשירי Windows יקבלו אישורים מעודכנים באופן אוטומטי, ורבים מיצרני OEM יספקו גם עדכוני קושחה במידת הצורך. שמירה על עדכניות המכשיר בכל עת עוזרת להבטיח שהוא יוכל להמשיך ולקבל את ההגנה המלאה שנועדה עבור אתחול בטוח.

 

שאלה 4: מה ההשלכות של כיבוי מכשיר Secure Boot?

תשובה 4: מכשירים שמכבים את secure boot לא יקבלו אישורים (credentials) חדשים של secure boot בקושחה (firmware). לכן, הם עדיין יהיו פגיעים לנוזקות בשכבת האתחול (כגון bootkits) כיוון שההגנה של secure boot אינה נאכפת.

 

שאלה 5: לאחר איפוס הקושחה להגדרות ברירת המחדל, המכשיר הפסיק לאתחל - מה קרה? איך עליי לתקן זאת?

תשובה 5: אם Windows כבר השתמש ב-boot manager החתום של 2023, אך הקושחה אופסה לערך ברירת מחדל שאינו כולל את תעודת Windows UEFI CA 2023, secure boot יחסום את תהליך האתחול.

ניתן לעיין בשאלות נפוצות:

[מחשב נייד] פתרון בעיות - שגיאת Secure Boot Violation בעת אתחול

 

שאלה 6: אם תעודת ה-Secure Boot של המכשיר שלי פגה תוקף, האם אוכל לקבל תעודה מעודכנת?

תשובה 6: כן. גם אם האישורים (credentials) הקיימים פגו, ניתן עדיין להחיל עדכונים מצטברים הכוללים אישורים חדשים של secure boot. אם המכשיר יכול להפעיל את Windows ולהתקין עדכונים, ניתן לכתוב את האישורים המעודכנים לקושחה בהתאם להנחיות הפריסה שפורסמו. רוב המכשירים יקבלו עדכונים אלה באופן אוטומטי, אך ייתכן שמערכות מסוימות ידרשו עדכוני קושחה נוספים.

 

שאלה 7: כיצד לבדוק את מצב מפתחות UEFI Secure Boot?

תשובה 7: אנא עיין בשלבים הבאים:

  1. הזן PowerShell בתיבת החיפוש של מערכת Windows. 
    בתוצאות החיפוש, לחץ על סמל Windows PowerShell ובחר הפעל כמנהל מערכת. 
  2. אשר כי Key Exchange Key (KEK) כולל "Microsoft Corporation KEK 2K CA 2023" 
    הזן [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' 
    אם מופיע True, המשמעות היא שזה כולל "Microsoft Corporation KEK 2K CA 2023" 
  3. אשר כי Signature Databases (DB) כולל "Windows UEFI CA 2023" 
    הזן [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' 
    אם מופיע True, המשמעות היא שזה כולל "Windows UEFI CA 2023" 
  4. אשר כי Signature Databases (DB) כולל "Microsoft UEFI CA 2023" 
    הזן [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023' 
    אם מופיע True, המשמעות היא שזה כולל "Microsoft UEFI CA 2023" 

 

שאלה 8: מה עלי לעשות אם אני מוצא הודעת שגיאת TPM WMI (מזהה אירוע: 1801) בצופה האירועים?

תשובה 8: הסיבה להודעת שגיאה זו היא שפרטי האתחול המאובטח עודכנו, אך עדיין לא הוחלו על קושחת המכשיר.

אנא הפעל עדכון Windows תחילה כדי לוודא שגרסת מערכת ההפעלה היא 26100.6725 או מאוחרת יותר, ואז המשך עם השלבים המפורטים בשאלה 2.

היסטוריית עדכונים של Windows 11, גרסה 25H2.

 

שאלה 9: מה עלי לעשות אם אני מוצא הודעת שגיאת TPM WMI (מזהה אירוע: 1802) בצופה האירועים?

תשובה 9: הסיבה להודעת שגיאה זו היא שעידכון האתחול נחסם בכוונה מכיוון שהמכשיר עומד בתנאי קושחה או חומרה ידועים, מה שמונע את השלמת העדכון בבטחה.

אנא דווח על הבעיה דרך מרכז השירות של ASUS.

 

שאלה 10: מה עלי לעשות אם אני מוצא הודעת שגיאת TPM WMI (מזהה אירוע: 1803) בצופה האירועים?

תשובה 10: הסיבה להודעת שגיאה זו היא שהמכשיר לא מצליח למצוא את מפתח החלפת המפתחות (KEK) שנחתם על ידי PK.

אנא דווח/י על הבעיה דרך מרכז השירות של ASUS.

 

 

הפניה:

פג תוקף תעודת Windows Secure Boot ועדכוני CA - תמיכה של Microsoft  
סטטוס עדכון תעודת Secure Boot באפליקציית האבטחה של Windows  
שאלות נפוצות על תהליך עדכון Secure Boot - תמיכה של Microsoft  
אירועי עדכון משתני DB ו-DBX של Secure Boot - תמיכה של Microsoft  
היסטוריית עדכונים של Windows 11, גרסה 25H2 - תמיכה של Microsoft