Windows Secure Boot 인증서 만료 및 인증서 업데이트

답변 1: 아래 단계를 따라주세요:

1. Windows 검색창에 Windows 보안을 입력하세요. 
   
2. 왼쪽 메뉴에서 [장치 보안]을 선택하세요. [Secure boot] 아래에서 상태 표시기를 확인할 수 있습니다. Secure boot 아이콘에는 녹색, 노란색, 빨간색 배지가 표시되며, 각각 현재 시스템의 Secure boot 상태를 나타냅니다. 
   

답변 2: 아래 단계를 따라주세요:

1. Windows 업데이트를 실행하고 OS 빌드가 26100.6725 이상인지 확인하세요. 
   Windows 11, 버전 25H2 업데이트 기록 - Microsoft 지원
2. Windows 검색창에 Windows PowerShell을 입력하세요. 
   검색 결과에서 Windows PowerShell을 마우스 오른쪽 버튼으로 클릭하고 관리자로 실행을 선택하세요. 
   
3. 다음 명령어를 입력하세요: 
   reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0X5944 /f 
   
4. 그 다음, 다음 명령어를 입력하세요: 
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" 
   
5. 컴퓨터를 재시작하세요.
6. 재부팅 후, Windows PowerShell을 다시 관리자로 실행하세요.
7. 다음 명령어를 다시 입력하세요: 
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" 
   
8. 컴퓨터를 한 번 더 재시작하세요.
9. Secure Boot 아이콘이 초록색으로 변경되어 Secure Boot이 이제 활성화되고 정상적으로 작동하고 있음을 확인하세요.

답변 3: 보안 부트 인증서가 만료된 이후, 새로운 2023 인증서를 아직 받지 못한 장치는 정상적으로 시작하고 작동할 수 있으며, 표준 Windows 업데이트도 계속 설치됩니다. 하지만, 이러한 장치들은 초기 부트 과정에서 새로운 보안 보호를 받을 수 없으며, Windows 부트 관리자 업데이트, Secure Boot 데이터베이스, 취소 목록, 또는 새롭게 발견된 부트 수준 취약점에 대한 완화 조치 등을 받을 수 없습니다.

시간이 지남에 따라, 이는 장치가 새롭게 등장하는 위협에 대한 보호가 제한되며, BitLocker 강화나 서드파티 부트 로더와 같이 Secure Boot 신뢰에 의존하는 상황에 영향을 줄 수 있습니다. 대부분의 Windows 장치는 자동으로 업데이트된 자격 증명을 받으며, 많은 OEM 제조사들도 필요 시 펌웨어 업데이트를 제공합니다. 장치를 항상 최신 상태로 유지하면 안전한 부팅을 위해 설계된 완전한 보안 보호를 계속 받을 수 있습니다.

답변 4: Secure boot를 해제한 장치는 펌웨어에서 새로운 secure boot 인증서를 받지 않습니다. 따라서 secure boot 보호가 적용되지 않아 부트 레이어 악성코드(예: 부트킷)에 여전히 취약합니다.

답변 5: Windows가 이미 2023 서명된 부트 매니저를 사용했지만, 펌웨어가 Windows UEFI CA 2023 인증서가 포함되지 않은 기본값으로 초기화되면, secure boot가 부팅 과정을 차단합니다.

FAQ를 참고할 수 있습니다:

[노트북] 문제 해결 - 시작 시 Secure Boot 위반 오류

답변 6: 네. 기존 인증서가 만료되더라도, 새로운 secure boot 인증서를 포함한 누적 업데이트를 여전히 적용할 수 있습니다. 장치가 Windows를 실행하고 업데이트를 설치할 수 있다면, 게시된 배포 지침에 따라 업데이트된 인증서를 펌웨어에 기록할 수 있습니다. 대부분의 장치는 자동으로 이러한 업데이트를 받지만, 일부 시스템은 추가적인 펌웨어 업데이트가 필요할 수 있습니다.

답변 7: 다음 단계들을 참고해 주세요:

1. Windows 시스템 검색창에 PowerShell을 입력하세요. 
   검색 결과에서 Windows PowerShell 아이콘을 클릭하고 관리자 권한으로 실행을 선택하세요. 
   
2. Key Exchange Key (KEK)에 "Microsoft Corporation KEK 2K CA 2023"이 포함되어 있는지 확인하세요. 
   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'를 입력하세요. 
   True가 나타나면 "Microsoft Corporation KEK 2K CA 2023"이 포함되어 있다는 의미입니다. 
   
3. Signature Databases (DB)에 "Windows UEFI CA 2023"이 포함되어 있는지 확인하세요. 
   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'를 입력하세요. 
   True가 나타나면 "Windows UEFI CA 2023"이 포함되어 있다는 의미입니다. 
   
4. Signature Databases (DB)에 "Microsoft UEFI CA 2023"이 포함되어 있는지 확인하세요. 
   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'를 입력하세요. 
   True가 나타나면 "Microsoft UEFI CA 2023"이 포함되어 있다는 의미입니다. 
   

답변 8: 이 오류 메시지의 원인은 Secure Boot 자격 증명이 업데이트되었지만 아직 장치 펌웨어에 적용되지 않았기 때문입니다.

먼저 Windows Update를 실행하여 OS 빌드가 26100.6725 이상인지 확인한 후, 질문 2에 나와 있는 절차를 진행해 주세요.

Windows 11, 버전 25H2 업데이트 내역

답변 9: 이 오류 메시지의 원인은 장치가 알려진 펌웨어 또는 하드웨어 조건에 부합하여 부트 업데이트가 의도적으로 차단되어 업데이트가 안전하게 완료되지 않는 것입니다.

ASUS 서비스 센터를 통해 문제를 신고해 주세요.

답변 10: 이 오류 메시지의 원인은 장치가 PK로 서명된 Key Exchange Key (KEK)를 찾을 수 없기 때문입니다.

문제는 ASUS 서비스 센터를 통해 신고해 주세요.