Scadenza del certificato Secure Boot di Windows e aggiornamenti dei certificati

Risposta 1: Si prega di seguire i passaggi sotto:

1. Nella barra di ricerca di Windows, digita Windows Security. 
   
2. Seleziona [Sicurezza del dispositivo] dal menu a sinistra. Sotto [Secure boot], vedrai un indicatore di stato. L'icona Secure boot è contrassegnata con un badge verde, giallo o rosso, ognuno rappresenta lo stato attuale del Secure boot sul tuo sistema. 
   

Risposta 2: Si prega di seguire i passaggi sotto:

1. Run Windows Update e assicurati che la build del sistema operativo sia [26100.6725] o successiva. 
   Cronologia degli aggiornamenti di Windows 11, versione 25H2 - Supporto Microsoft
2. Nella barra di ricerca di Windows, digita Windows PowerShell. 
   Dai risultati della ricerca, fai clic con il tasto destro su Windows PowerShell e seleziona Esegui come amministratore. 
   
3. Inserisci il seguente comando: 
   reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0X5944 /f 
   
4. Quindi inserisci il seguente comando: 
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" 
   
5. Riavvia il computer.
6. Dopo il reboot, apri nuovamente Windows PowerShell come amministratore.
7. Inserisci di nuovo il seguente comando: 
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" 
   
8. Riavvia il computer un'altra volta.
9. Verifica che l'icona di Secure Boot sia diventata verde, indicando che Secure Boot è ora abilitato e funzionante correttamente.

Risposta 3: Dopo la scadenza del certificato di avvio sicuro, i dispositivi che non hanno ancora ricevuto il nuovo certificato 2023 possono comunque avviarsi e funzionare normalmente, e gli aggiornamenti standard di Windows continueranno ad essere installati. Tuttavia, questi dispositivi non potranno ottenere nuove protezioni di sicurezza durante il processo di avvio iniziale, incluso l'aggiornamento degli amministratori di avvio di Windows, dei database Secure Boot, delle liste di revoca, o delle misure di mitigazione per vulnerabilità di livello di avvio appena scoperte.

Nel tempo, questo limita la protezione del dispositivo contro minacce emergenti e può influenzare gli scenari che dipendono dalla fiducia Secure Boot, come il rafforzamento di BitLocker o i boot loader di terze parti. La maggior parte dei dispositivi Windows riceverà automaticamente credenziali aggiornate, e molti produttori OEM forniranno anche aggiornamenti firmware quando necessario. Mantenere il dispositivo sempre aggiornato aiuta a garantire che possa continuare a ricevere la completa protezione di sicurezza progettata per un avvio sicuro.

Risposta 4: I dispositivi che disattivano il secure boot non riceveranno nuove credenziali di secure boot nel firmware. Pertanto, saranno ancora vulnerabili al malware del livello di boot (come i bootkit) poiché la protezione del secure boot non viene applicata.

Risposta 5: Se Windows ha già utilizzato il boot manager firmato 2023, ma il firmware viene resettato al valore predefinito che non include il certificato Windows UEFI CA 2023, il secure boot bloccherà il processo di avvio.

Puoi consultare le FAQ:

[Notebook] Risoluzione dei problemi - Errore Secure Boot Violation all'avvio

Risposta 6: Sì. Anche se le credenziali esistenti sono scadute, è comunque possibile applicare aggiornamenti cumulativi che contengono nuove credenziali di secure boot. Se il dispositivo può avviare Windows e installare aggiornamenti, le credenziali aggiornate possono essere scritte nel firmware secondo le linee guida di distribuzione pubblicate. La maggior parte dei dispositivi riceverà automaticamente questi aggiornamenti, ma alcuni sistemi potrebbero richiedere ulteriori aggiornamenti firmware.

Risposta 7: Si prega di fare riferimento ai seguenti passaggi:

1. Inserire PowerShell nella casella di ricerca del sistema Windows. 
   Nei risultati della ricerca, cliccare sull'icona Windows PowerShell e selezionare Esegui come amministratore. 
   
2. Confermare che Key Exchange Key (KEK) include "Microsoft Corporation KEK 2K CA 2023" 
   Inserire [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' 
   Se appare True, significa che include "Microsoft Corporation KEK 2K CA 2023" 
   
3. Confermare che Signature Databases (DB) include "Windows UEFI CA 2023" 
   Inserire [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' 
   Se appare True, significa che include "Windows UEFI CA 2023" 
   
4. Confermare che Signature Databases (DB) include "Microsoft UEFI CA 2023" 
   Inserire [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023' 
   Se appare True, significa che include "Microsoft UEFI CA 2023" 
   

Risposta 8: Il motivo di questo messaggio di errore è che le credenziali di boot sicuro sono state aggiornate, ma non sono ancora state applicate al firmware del dispositivo.

Si prega di eseguire prima Windows Update per assicurarsi che la build del sistema operativo sia 26100.6725 o successiva, e poi procedere con i passaggi descritti nella Domanda 2.

Cronologia degli aggiornamenti di Windows 11, versione 25H2.

Risposta 9: Il motivo di questo messaggio di errore è che l'aggiornamento di boot è deliberatamente bloccato perché il dispositivo è conforme alle condizioni note di firmware o hardware, impedendo il completamento sicuro dell'aggiornamento.

Si prega di segnalare il problema tramite il centro assistenza ASUS.

Risposta 10: Il motivo di questo messaggio di errore è che il dispositivo non riesce a trovare la Key Exchange Key (KEK) firmata da PK.

Si prega di segnalare il problema tramite il centro assistenza ASUS.