Wygaśnięcie certyfikatu Windows Secure Boot i aktualizacje certyfikatów

Od czasu gdy Windows zaczął wspierać [Bezpieczny rozruch], większość urządzeń Windows korzystała z serii certyfikatów Microsoft w bazie danych UEFI [Bezpieczny rozruch]. Te wcześniejsze certyfikaty zaczną stopniowo wygasać od 2026 roku. Aby zachować bezpieczeństwo podczas [rozruchu] oraz integralność łańcucha zaufania, systemy muszą zostać zaktualizowane do wersji certyfikatów Microsoft z 2023 roku.

Jeśli Twój system ma obecnie włączony [Bezpieczny rozruch], upewnij się, że certyfikaty zostały zaktualizowane zanim wygasną w połowie 2026 roku.

 

Co należy zrobić?           
Wystarczy ukończyć jedną z poniższych metod aktualizacji i poczekać na nowy [Windows Boot Manager]:           
 

(Metoda I) Przez automatyczną aktualizację Windows

Gdy 「Aktualizacja Windows」 jest włączona i system ma aktywowany [Bezpieczny rozruch] (proszę sprawdzić jak włączyć [Bezpieczny rozruch]), obsługiwane urządzenia Windows automatycznie pobiorą i zastosują nowe certyfikaty [Bezpieczny rozruch] oraz nowy [Boot Manager] w odpowiednim momencie.

Nowa aktualizacja bazy danych [Bezpieczny rozruch] jest wdrażana etapami na urządzeniach z włączonym [Bezpiecznym rozruchem] od 2024 roku i automatycznie zakończy aktualizację urządzenia przed wygaśnięciem certyfikatu w czerwcu 2026 roku.

Użytkownicy z ustawieniami domyślnymi zazwyczaj nie muszą wykonywać dodatkowych operacji ręcznie.

[Włącz Aktualizacje Windows, aby uzyskać nowe certyfikaty]           

 

 

 

(Metoda II) Ręczna aktualizacja UEFI BIOS

Uwaga: Po zaktualizowaniu BIOS, możesz zostać poproszony o podanie klucza odzyskiwania BitLocker, aby odblokować i uzyskać dostęp do systemu operacyjnego. Szczegółowe kroki znajdziesz w tym artykule: Jak znaleźć klucz BitLocker.
Możesz także wyłączyć Szyfrowanie urządzenia oraz standardowe szyfrowanie BitLocker przed aktualizacją BIOS, a następnie ponownie włączyć szyfrowanie po aktualizacji BIOS, aby zabezpieczyć swoje dane. Szczegółowe kroki znajdziesz w tym artykule: Wprowadzenie do szyfrowania urządzenia oraz standardowego szyfrowania BitLocker.

Dla płyty głównej    

Możesz także pobrać i zaktualizować najnowszą wersję UEFI BIOS ze strony internetowej ASUS, aby uzyskać zaktualizowane certyfikaty Secure Boot.

Ta metoda jest bardziej odpowiednia dla zaawansowanych użytkowników zaznajomionych z procesem aktualizacji BIOS lub systemów, które nie mogą normalnie otrzymywać aktualizacji za pośrednictwem Windows Update.

1. Aby pobrać i zaktualizować do najnowszej wersji UEFI BIOS ze strony internetowej ASUS, możesz zapoznać się z: Jak zaktualizować BIOS

2. Wyczyść Klucze Secure Boot           
2.1 Po zaktualizowaniu BIOS i ponownym uruchomieniu systemu, ponownie przejdź do ustawień BIOS, przejdź do Zaawansowane\Boot > Secure Boot.

Jeśli Tryb Secure Boot jest Standardowy, zmień go na Niestandardowy.

2.2 Kliknij Zarządzanie Kluczami.

2.3 Wykonaj "Wyczyść Klucze Secure Boot".

Kliknij [Tak].

2.4 Potwierdź, że wszystkie klucze UEFI Secure Boot (PK, KEK, DB, DBX) zostały pomyślnie wyczyszczone.

3. Zainstaluj Domyślne Klucze Secure Boot           
3.1 Po wyczyszczeniu Kluczy Secure Boot, wykonaj „Zainstaluj Domyślne Klucze Secure Boot”.           

Kliknij [Tak].

3.2 Sprawdź, czy Rozmiar/Liczba Kluczy dla PK/KEK/DB/DBX nie wynosi 0 oraz czy Źródło Klucza to [Domyślne]. Proces aktualizacji Kluczy UEFI Secure Boot jest wtedy zakończony.

 

Pytania i odpowiedzi           
Pytanie 1: Jak sprawdzić status Kluczy Secure Boot UEFI?           
Odpowiedź: Proszę wykonać następujące kroki:           
1. Na stronie BIOS przejdź do Advanced\Boot > Secure Boot > Key Management.           
2. Wybierz kolejno następujące pozycje, a następnie wybierz „Usuń Klucze”:           
➢ Zarządzanie KEK           
➢ Zarządzanie DB

3. Wybierz „Nie” w oknie dialogowym. (Uwaga: Ta operacja służy tylko do wyświetlania informacji o Kluczu; wybranie „Tak” spowoduje usunięcie Klucza.)

4. Potwierdź, że Zarządzanie KEK zawiera „Microsoft Corporation KEK 2K CA 2023”.

5. Potwierdź, że Zarządzanie DB zawiera zarówno „Microsoft UEFI CA 2023”, jak i „Windows UEFI CA 2023”.

Dla notebooka

Możesz również pobrać i zaktualizować UEFI BIOS do najnowszej wersji ze strony internetowej ASUS, aby uzyskać zaktualizowane certyfikaty Secure Boot.           
Ta metoda jest bardziej odpowiednia dla zaawansowanych użytkowników, którzy są zaznajomieni z procesem aktualizacji UEFI BIOS.           
1. Pobierz i zaktualizuj UEFI BIOS do najnowszej wersji ze strony internetowej ASUS. Możesz odnieść się do: Jak zaktualizować BIOS w Windows.           
2. Zresetuj do trybu ustawień           
2.1 Po zaktualizowaniu BIOS, uruchom ponownie system i ponownie wejdź do ustawień BIOS. Przejdź do Zaawansowane\Boot > Secure Boot.           
2.2 Kliknij Zarządzanie kluczami.

2.3 Wykonaj „Resetuj do trybu ustawień”.

2.4 Kliknij [Tak].

 

 

2.5 Potwierdź, że wszystkie klucze UEFI Secure Boot (PK, KEK, DB, DBX) zostały pomyślnie wyczyszczone.

3. Przywróć klucze fabryczne           
3.1 Wykonaj „Przywróć klucze fabryczne”.

          
3.2 Kliknij [Tak].

3.3 Sprawdź, czy Rozmiar/Liczba Kluczy dla PK/KEK/DB/DBX nie jest zerowa.           
Proces aktualizacji Kluczy UEFI Secure Boot został zakończony.

          
 

Q&A           
Pytanie 1: Jak sprawdzić status Kluczy UEFI Secure Boot?           
Odpowiedź: Proszę wykonać następujące kroki:           
1. Na stronie BIOS przejdź do Advanced\Boot > Secure Boot > Key Management.           
2. Wybierz każdy z poniższych elementów, a następnie kliknij „Szczegóły”:           
➢ Key Exchange Keys (KEK)           
➢ Authorized Signatures (db)

3. Potwierdź, że Klucze Wymiany Kluczy (KEK) zawierają „Microsoft Corporation KEK 2K CA 2023”.

4. Potwierdź, że Autoryzowane Podpisy (db) zawierają zarówno „Microsoft UEFI CA 2023”, jak i „Windows UEFI CA 2023”.

Dla AIOT

Użytkownicy mogą pobrać i zaktualizować do najnowszej wersji UEFI BIOS ze strony internetowej ASUS, aby uzyskać zaktualizowane certyfikaty Secure Boot. Ta metoda jest bardziej odpowiednia dla zaawansowanych użytkowników, którzy znają proces aktualizacji BIOS, lub dla systemów, które nie mogą poprawnie otrzymywać aktualizacji przez Windows Update.

Pobierz i zaktualizuj do najnowszej wersji UEFI BIOS ze strony internetowej ASUS AIoT. Instrukcje można znaleźć w: 
1. Pobierz i zaktualizuj do najnowszej wersji UEFI BIOS ze strony internetowej ASUS AIoT. Instrukcje można znaleźć w: Jak zaktualizować BIOS 
2. Zainstaluj Domyślne Klucze Secure Boot: 
2.1 Po aktualizacji BIOS, uruchom ponownie system. Ponownie wejdź do narzędzia konfiguracji BIOS i przejdź do Security > Secure Boot.

2.2 Jeśli tryb Secure Boot jest ustawiony na Niestandardowy, proszę zmienić go na Standardowy.

2.3 Kliknij OK (aby zastosować „Zainstaluj domyślne ustawienia fabryczne w Zarządzaniu kluczami”)

2.4 Kliknij Zaawansowane Zarządzanie Kluczami.

2.5 Sprawdź, czy Rozmiar/Liczba Kluczy dla PK, KEK, DB i DBX nie jest zero.

 

Q&A           
Pytanie 1: Jak mogę sprawdzić status kluczy UEFI Secure Boot, aby potwierdzić, że certyfikaty Microsoft 2023 zostały zainstalowane?           
Odpowiedź: Proszę postępować zgodnie z poniższymi krokami:

1. Jeśli tryb Secure Boot jest ustawiony na Standardowy, zmień go na Niestandardowy.           

2. Kliknij OK.

3. Kliknij Zarządzanie kluczami eksperta. 

4. Wybierz Klucz wymiany kluczy (KEK) > Szczegóły.

5. Zweryfikuj, czy Zarządzanie KEK zawiera „Microsoft Corporation KEK 2K CA 2023”.

6. Wybierz Autoryzowane podpisy (db) > Szczegóły.

7. Zweryfikuj, czy Zarządzanie DB zawiera wszystkie następujące: „Windows UEFI CA 2023”, „Microsoft UEFI CA 2023” oraz „Microsoft Option ROM UEFI CA 2023”.