[Commercial PC] Annuncio sull’aggiornamento del certificato Secure Boot di Windows

Sezione 1. Contesto

Microsoft prevede di sostituire progressivamente i certificati “Secure Boot” utilizzati nei sistemi Windows a partire dal 2026. I certificati Secure Boot sono progettati per impedire che software dannoso—come bootkit—incorporino loader durante il processo di avvio, garantendo così l'integrità dell'ambiente di boot.

I certificati attualmente distribuiti—“Microsoft Corporation KEK CA 2011” e “Microsoft Windows Production PCA 2011”—stanno per scadere. Se non vengono aggiornati ai nuovi certificati—“Microsoft Corporation KEK 2K CA 2023” e “Windows UEFI CA 2023”—i dispositivi non potranno più ricevere aggiornamenti per Windows Boot Manager e altri componenti critici di sicurezza.

Per garantire che il tuo PC commercial continui a beneficiare della protezione Secure Boot e degli aggiornamenti di sistema continui, segui le indicazioni qui sotto per verificare lo stato del tuo dispositivo.

 

Sezione 2. Il mio dispositivo è interessato?

2.1 Non interessato (Nuovo certificato supportato di default)

Tutti i PC aziendali spediti nel 2024 o dopo, così come tutti i futuri nuovi modelli, hanno il nuovo certificato Secure Boot pre-integrato. Non è richiesto alcun aggiornamento manuale.

Notebook (NB): I seguenti modelli, così come tutte le serie lanciate dopo il 2024.

Nome modello
BM3406CGA
BM3606CGA
PM5406CGA
PM5606CGA
BM3406CHA
BM3606CHA
PM3406CHA
PM3606CHA
PM3406CKAZ
PM3406CKA
PM3606CKA
PM1403CDA
PM1503CDA
B5405CCA
B3405CCA
B5605CCA
B3605CCA
P3405CVA
P3605CVA
B5605CVA
B3605CVA
B5405CVA
B3405CVA
BR1204FTA
BR1204CTA
BR1104FTA
BR1104CTA
B1403CTA
B1503CTA
B3402FVA
BM1403CDA
BM1503CDA
B1403CVA
B1503CVA
P1403CVA
P1503CVA
P5405CSA

 

Desktop: I seguenti modelli, così come tutte le serie lanciate dopo il 2024.

Nome modello
P500SV
V500SV
PM700MK
PM700SK
D900MF
D900SF
T701MF
D700MF
T500MV
P500MV
D700MER
D700ME
X500MA
D701MER
S701TER
D901MDR
D500TER
D700TER
D901SDR
S501MER
PD500TE
G15DS
D800MDR
G16CH
G13CH
S501ME
D500TE
D700TE
G35CA
D900MD
D500SD
D500MD
D700MD
D500TD
D700TD
G15CF
D900MC
D500SC
D700SC
D500TC
D700TC
PD500TC
G10CE
G35CG
GA35DX
D700SF
V500MV
D501MER
D701SER
D501SER
T501MV
D900MDR
D800SDR
D900SDR
S502ME
S502MER
D500MER
D500SER
D700SER
D900SC
D900SD
G35DX
S501MC
S502MD
S500TD
S501MD
S500TC
S500MC
S700SC
D700MC
S500MD
S500SC
S500SD
D701TC
D700SD
D500SE
D500ME
D700SE

 

All-in-One (AIO): I seguenti modelli, così come tutte le serie lanciate dopo il 2024.

Nome modello
PM640KA
PM670KA

 

2.2 Modelli che richiedono un aggiornamento

Se il tuo modello non è elencato sopra, significa che il dispositivo sta attualmente utilizzando il certificato precedente e dovrà essere aggiornato.

 

Come ottengo l’aggiornamento?

Per i modelli interessati, ASUS ha completato l’invio del nuovo certificato. L’aggiornamento sarà consegnato automaticamente da Microsoft tramite Windows Update.

 

Azione consigliata: Vai su Impostazioni > Windows Update e assicurati che gli aggiornamenti automatici siano abilitati.

Installazione automatica: Il sistema scaricherà e installerà automaticamente il certificato di sicurezza più recente—non sono necessari strumenti o download manuali.

 

Sezione 3. Certificati Secure Boot di terze parti Microsoft: Funzionalità e Necessità

Questa sezione spiega i certificati Secure Boot di terze parti Microsoft. Se il tuo dispositivo deve avviare ambienti non-Windows (ad esempio, Linux) o hardware di terze parti (ad esempio, GPU esterne), consulta quanto segue.

3.1 Panoramica dei certificati Microsoft di terze parti

Certificato originaleCertificato aggiornatoDescrizione
Microsoft Corporation UEFI CA 2011Microsoft UEFI CA 2023

Questo è un certificato opzionale utilizzato “durante il processo di boot” per firmare applicazioni o sistemi operativi di terze parti (come Linux) eseguiti al di fuori dell'ambiente Windows.

Non è necessario se tali casi d'uso non sono applicabili.

Microsoft Option ROM UEFI CA 2023Questo è un certificato opzionale utilizzato “durante il processo di boot” per firmare le Option ROM dell'hardware esterno.   
Se l'hardware di terze parti (come una GPU esterna) non è essenziale durante il boot del sistema, questo certificato non è applicabile.

 

3.2 Se sono necessari i certificati di terze parti Microsoft, fare riferimento alle istruzioni seguenti

Nota: Se il tuo computer aziendale ha Windows BitLocker attivato, sospendilo in anticipo seguendo le istruzioni riportate di seguito prima di eseguire qualsiasi operazione di Secure Boot.

 

Sezione 4. Verifica dello stato del certificato BIOS e determinazione degli aggiornamenti

I dispositivi spediti nel 2026 includono già questi certificati. È possibile accedere a BIOS Setup (premere F2 durante l'avvio) per verificare o configurare le opzioni dei certificati di terze parti.

 

Inoltre, è possibile consultare la Sezione 8.3 per verificare se i certificati di terze parti sono presenti. Se non sono inclusi, aggiornare il BIOS all'ultima versione e seguire Sezione 5. SOP 1: Aggiornare i certificati Secure Boot.

 

Se i certificati di terze parti richiesti non compaiono ancora, procedere con Sezione 6. SOP 2: Aggiungere i certificati Secure Boot.

 

Nel caso in cui il ripristino delle chiavi Secure Boot comporti la visualizzazione della seguente schermata durante l'avvio di Windows, seguire Sezione 7. SOP 3: Ripristinare i certificati Secure Boot.

 

Riferimenti

  1. https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
  2. https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e

 

Sezione 5. SOP 1: Aggiorna i certificati Secure Boot

Note Pre-Operative:

  1. È fortemente consigliato eseguire il backup di tutti i dati presenti sul computer in anticipo per prevenire qualsiasi potenziale perdita di dati durante il processo di aggiornamento manuale.
  2. Se BitLocker è abilitato, assicurarsi che sia sospeso prima di procedere con i seguenti passaggi. Una volta completato il processo, BitLocker può essere riabilitato.
  3. La mancata sospensione di BitLocker può causare una situazione di blocco. Nei casi in cui BitLocker non riesca a sbloccare automaticamente l'unità Windows criptata, sarà necessario una chiave di ripristino. Questa chiave è un codice numerico a 48 cifre che consente di recuperare l'accesso al disco rigido. Se non si conoscono le procedure riportate di seguito, si prega di contattarci per assistenza.

Se hai bisogno di recuperare la tua chiave di ripristino BitLocker, fai riferimento all'articolo: Come recuperare la chiave di ripristino BitLocker.

 

Passi della procedura

  1. Accendi o riavvia il sistema, poi premi F2 per entrare nella configurazione del BIOS.   
    Premi F7 per passare alla Modalità Avanzata, poi naviga su Sicurezza > Secure Boot (o direttamente Sicurezza > Secure Boot).   
  2. Seleziona Gestione delle chiavi.   
  3. Seleziona Firme autorizzate (db).   
  4. Scegli Aggiorna.   
  5. Seleziona Sì.   
      
    Nota: Selezionando "Sì" verranno ripristinati i certificati corrispondenti alle impostazioni di fabbrica. Tutti i certificati precedentemente aggiunti dal sistema o dall'utente verranno rimossi.
  6. Seleziona Dettagli per verificare che i certificati delle Firme autorizzate (db) siano stati aggiornati con successo.   
  7. Premi F10 per Salvare e Uscire.
  8. Se BitLocker era stato precedentemente sospeso, assicurati che venga riattivato.

 

Sezione 6. SOP 2: Aggiungi Certificati Secure Boot
6.1 Aggiungi Microsoft UEFI CA 2023
  1. Scarica Microsoft UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239872, e salvalo nella directory principale di una chiavetta USB (ad esempio, "D:\microsoft uefi ca 2023.crt").
  2. Accendi o riavvia il sistema, quindi premi F2 per entrare nella configurazione BIOS.    
    Premi F7 per passare alla Modalità Avanzata, quindi vai su Sicurezza > Secure Boot (o direttamente Sicurezza > Secure Boot).    
  3. Seleziona Gestione delle Chiavi.    
  4. Seleziona Firme Autorizzate (db).   
  5. Scegli Aggiungi.   
  6. Seleziona No.   
  7. Seleziona il Drive USB.   
  8. Trova e seleziona il file nella directory principale: “microsoft uefi ca 2023.crt”.
  9. Seleziona Certificato Chiave Pubblica, poi premi Invio nella schermata di conferma GUID.   
  10. Seleziona Sì.   
  11. Verifica che Microsoft UEFI CA 2023 sia elencato sotto Firme Autorizzate (db).   
  12. Premi F10 per Salvare & Uscire.
  13. Se BitLocker era stato precedentemente sospeso, assicurarsi che sia riattivato.

 

6.2 Aggiungi Microsoft Option ROM UEFI CA 2023
  1. Scarica Microsoft Option ROM UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2284009, e salvalo nella directory principale di una chiavetta USB (ad esempio, "D:\microsoft option rom uefi ca 2023.crt").
  2. Accendi o riavvia il sistema, poi premi F2 per entrare nel BIOS setup.   
    Premi F7 per passare alla Modalità Avanzata, poi vai su Sicurezza > Secure Boot (o direttamente Sicurezza > Secure Boot).   
  3. Seleziona Gestione Chiavi.   
  4. Seleziona Firme Autorizzate (db).   
  5. Scegli Aggiungi.   
  6. Seleziona No.   
  7. Seleziona l'unità USB.
  8. Individua e seleziona il file memorizzato nella directory principale: “microsoft option rom uefi ca 2023.crt”.
  9. Scegli il Certificato della Chiave Pubblica, poi premi Invio nella schermata di conferma GUID.   
  10. Seleziona Sì.   
  11. Verifica che Microsoft Option ROM UEFI CA 2023 sia ora elencato sotto Firme Autorizzate (db).   
  12. Premi F10 per Salvare & Uscire.
  13. Se BitLocker era stato precedentemente sospeso, assicurati che sia nuovamente abilitato.

 

Sezione 7. SOP 3: Ripristina Certificati Secure Boot
  1. Scarica Windows UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239776, e salvalo nella directory principale di una unità USB (ad esempio, “D:\windows uefi ca 2023.crt”).
  2. Accendi o riavvia il sistema, poi premi F2 per entrare nella configurazione BIOS.   
    Premi F7 per passare alla Modalità Avanzata, poi vai su Sicurezza > Secure Boot (o direttamente Sicurezza > Secure Boot).   
  3. Seleziona Gestione Chiavi.   
  4. Seleziona Firme Autorizzate (db).   
  5. Scegli Aggiungi.   
  6. Seleziona No.   
  7. Seleziona l'unità USB.
  8. Individua e seleziona il file memorizzato nella directory principale: "windows uefi ca 2023.crt".
  9. Seleziona Certificato Chiave Pubblica, poi premi Invio sulla schermata di conferma GUID.   
  10. Seleziona Sì.   
  11. Verifica che Windows UEFI CA 2023 sia ora elencato sotto Firme Autorizzate (db).   
  12. Premi F10 per Salvare & Uscire.
  13. Se BitLocker è abilitato, assicurati di avere a disposizione la chiave di recupero BitLocker.

 

Sezione 8. Metodo di Verifica Certificato PowerShell

Come verificare lo stato delle chiavi UEFI Secure Boot? Le procedure seguenti non influenzano lo stato di Windows BitLocker.

8.1 Passi Preliminari

Inserisci PowerShell nella barra di ricerca di Windows.

Dai risultati della ricerca, clicca con il tasto destro su Windows PowerShell e seleziona Esegui come Amministratore.

 

8.2 Verifica dei Certificati Secure Boot Microsoft Windows

  1. Conferma che la Key Exchange Key (KEK) includa “Microsoft Corporation KEK 2K CA 2023”.  
    Esegui: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'  
    Un risultato di True indica che il certificato "Microsoft Corporation KEK 2K CA 2023" è presente.  
  2. Conferma che i Database delle firme (DB) includono "Windows UEFI CA 2023".  
    Esegui: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'  
    Un risultato di True indica che il certificato "Windows UEFI CA 2023" è presente.  

 

8.3 Verifica dei certificati Secure Boot Microsoft di terze parti

  1. Conferma che i Database delle firme (DB) includono "Microsoft UEFI CA 2023".  
    Esegui: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'  
    Un risultato di True indica che il certificato "Microsoft UEFI CA 2023" è presente.  
  2. Conferma che i Database delle firme (DB) includono "Microsoft Option ROM UEFI CA 2023".  
    Esegui: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Microsoft Option ROM UEFI CA 2023'  
    Un risultato di True indica che il certificato "Microsoft Option ROM UEFI CA 2023" è presente.