Wygaśnięcie certyfikatu Secure Boot w Windows oraz aktualizacje certyfikatów | Oficjalne Wsparcie

ASUS Wsparcie FAQ

FAQ

Wygaśnięcie certyfikatu Secure Boot w Windows oraz aktualizacje certyfikatów

Od czasu gdy Windows zaczął wspierać Secure Boot, większość urządzeń Windows używała serii certyfikatów Microsoft w bazie UEFI Secure Boot. Te wcześniejsze certyfikaty będą stopniowo wygasać od 2026 roku. Aby zachować bezpieczeństwo bootowania i integralność łańcucha zaufania, systemy muszą być zaktualizowane do wersji certyfikatów Microsoft z 2023 roku.

Jeśli twój system ma obecnie włączony Secure Boot, upewnij się, że te certyfikaty zostały zaktualizowane, zanim wygasną w połowie 2026 roku.

Microsoft zaleca przeprowadzenie aktualizacji certyfikatów Secure Boot za pośrednictwem Windows update

Dla większości użytkowników potrzebne aktualizacje zostaną dostarczone automatycznie przez Windows Update bez konieczności podejmowania żadnych działań.

Czy aktualizacje zostały pomyślnie odebrane, można zweryfikować przez aplikację Windows Security, jak opisano w status aktualizacji certyfikatów Secure Boot w aplikacji Windows Security.

Gdy [Windows Update] jest włączony i system ma aktywowany Secure Boot (proszę zobaczyć jak włączyć Secure Boot), obsługiwane urządzenia Windows automatycznie pobiorą i zastosują nowe certyfikaty Secure Boot oraz nowy Boot Manager we właściwym czasie.

Nowa aktualizacja bazy Secure Boot jest wdrażana etapami dla urządzeń z włączonym Secure Boot od 2024 roku i automatycznie zakończy aktualizację urządzenia przed wygaśnięciem certyfikatu w czerwcu 2026 roku.

[Włącz Windows Update, aby uzyskać nowe certyfikaty]

Pytania i odpowiedzi

Pytanie 1: Jak mogę sprawdzić status UEFI Secure Boot?

Odpowiedź 1: Proszę wykonać poniższe kroki:

W pasku wyszukiwania Windows wpisz Windows Security.
Wybierz [Bezpieczeństwo urządzenia] z menu po lewej stronie. Pod [Secure boot] zobaczysz wskaźnik statusu. Ikona Secure boot jest oznaczona zielonym, żółtym lub czerwonym znacznikiem, każdy oznacza aktualny stan Secure boot na Twoim systemie.

Pytanie 2: Co zrobić, jeśli ikona Secure boot jest żółta lub czerwona?

Odpowiedź 2: Proszę wykonać poniższe kroki:

Uruchom Windows Update i upewnij się, że wersja systemu operacyjnego to 26100.6725 lub nowsza.
Historia aktualizacji Windows 11, wersja 25H2 - Pomoc techniczna Microsoft
W pasku wyszukiwania Windows wpisz Windows PowerShell.
W wynikach wyszukiwania kliknij prawym przyciskiem na Windows PowerShell i wybierz Uruchom jako administrator.
Wprowadź następującą komendę:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0X5944 /f
Następnie wprowadź następującą komendę:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Uruchom ponownie komputer.
Po ponownym uruchomieniu, otwórz ponownie Windows PowerShell jako administrator.
Wprowadź ponownie następującą komendę:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Uruchom ponownie komputer jeszcze raz.
Sprawdź, czy ikona Secure Boot zmieniła się na zieloną, co oznacza, że funkcja Secure Boot jest teraz włączona i działa poprawnie.

Pytanie 3: Co się stanie, jeśli moje urządzenie nie uzyska nowego certyfikatu Secure Boot przed wygaśnięciem starego certyfikatu?

Odpowiedź 3: Po wygaśnięciu certyfikatu Secure Boot, urządzenia, które nie otrzymały jeszcze nowego certyfikatu 2023, nadal mogą się uruchamiać i działać normalnie, a standardowe aktualizacje Windows będą nadal instalowane. Jednak te urządzenia nie będą mogły uzyskać nowych zabezpieczeń podczas wczesnego procesu bootowania, w tym aktualizacji administratorów bootowania Windows, baz danych Secure Boot, list odwołań lub środków zaradczych dla nowo odkrytych luk na poziomie bootowania.

Z biegiem czasu ogranicza to ochronę urządzenia przed pojawiającymi się zagrożeniami i może wpłynąć na scenariusze polegające na zaufaniu Secure Boot, takie jak wzmocnienie BitLocker lub loaderów bootujących firm trzecich. Większość urządzeń Windows automatycznie otrzyma zaktualizowane poświadczenia, a wielu producentów OEM zapewni również aktualizacje firmware'u w razie potrzeby. Utrzymywanie urządzenia na bieżąco pomaga zapewnić, że nadal może ono otrzymywać pełną ochronę bezpieczeństwa zaprojektowaną dla bezpiecznego uruchamiania.

Pytanie 4: Jakie są skutki wyłączenia urządzenia Secure Boot?

Odpowiedź 4: Urządzenia, które wyłączają zabezpieczony boot, nie otrzymają nowych poświadczeń zabezpieczonego bootu w firmware. Dlatego pozostaną podatne na złośliwe oprogramowanie warstwy bootu (takie jak bootkity), ponieważ ochrona zabezpieczonego bootu nie jest egzekwowana.

Pytanie 5: Po zresetowaniu firmware do ustawień domyślnych urządzenie przestało się bootować - co się stało? Jak można to naprawić?

Odpowiedź 5: Jeśli Windows już używał menedżera bootu podpisanego w 2023 roku, ale firmware został zresetowany do domyślnej wartości, która nie zawiera certyfikatu Windows UEFI CA 2023, zabezpieczony boot zablokuje proces bootowania.

Możesz zapoznać się z FAQ:

[Notebook] Rozwiązywanie problemów - Błąd naruszenia zabezpieczonego bootu przy uruchamianiu

Pytanie 6: Jeśli certyfikat Secure Boot w moim urządzeniu wygasł, czy mogę nadal otrzymać zaktualizowany certyfikat?

Odpowiedź 6: Tak. Nawet jeśli obecne poświadczenia wygasły, można nadal zastosować aktualizacje zbiorcze zawierające nowe poświadczenia zabezpieczonego bootu. Jeśli urządzenie może uruchomić Windows i zainstalować aktualizacje, zaktualizowane poświadczenia mogą zostać zapisane w firmware zgodnie z opublikowanymi wytycznymi wdrożeniowymi. Większość urządzeń automatycznie otrzyma te aktualizacje, ale niektóre systemy mogą wymagać dodatkowych aktualizacji firmware.

Pytanie 7: Jak sprawdzić status kluczy UEFI Secure Boot?

Odpowiedź 7: Proszę odnieść się do poniższych kroków:

Wpisz PowerShell w polu wyszukiwania systemu Windows.
W wynikach wyszukiwania kliknij ikonę Windows PowerShell i wybierz Uruchom jako administrator.
Potwierdź, że Key Exchange Key (KEK) zawiera "Microsoft Corporation KEK 2K CA 2023"
Wprowadź [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Jeśli pojawi się True, oznacza to, że zawiera "Microsoft Corporation KEK 2K CA 2023"
Potwierdź, że Signature Databases (DB) zawiera "Windows UEFI CA 2023"
Wprowadź [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Jeśli pojawi się True, oznacza to, że zawiera "Windows UEFI CA 2023"
Potwierdź, że Signature Databases (DB) zawiera "Microsoft UEFI CA 2023"
Wprowadź [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
Jeśli pojawi się True, oznacza to, że zawiera "Microsoft UEFI CA 2023"

Pytanie 8: Co należy zrobić, jeśli pojawi się komunikat o błędzie TPM WMI (Identyfikator zdarzenia: 1801) w Podglądzie zdarzeń?

Odpowiedź 8: Powodem tego komunikatu o błędzie jest to, że poświadczenia zabezpieczonego bootowania zostały zaktualizowane, ale nie zostały jeszcze zastosowane do firmware urządzenia.

Najpierw uruchom Windows Update, aby upewnić się, że wersja systemu operacyjnego wynosi 26100.6725 lub nowsza, a następnie przejdź do kroków opisanych w Pytaniu 2.

Historia aktualizacji Windows 11, wersja 25H2.

Pytanie 9: Co należy zrobić, jeśli pojawi się komunikat o błędzie TPM WMI (Identyfikator zdarzenia: 1802) w Podglądzie zdarzeń?

Odpowiedź 9: Powodem tego komunikatu o błędzie jest to, że aktualizacja bootowania jest celowo zablokowana, ponieważ urządzenie spełnia znane warunki firmware lub sprzętowe, które uniemożliwiają bezpieczne zakończenie aktualizacji.

Proszę zgłosić problem za pośrednictwem centrum serwisowego ASUS.

Pytanie 10: Co należy zrobić, jeśli pojawi się komunikat o błędzie TPM WMI (Identyfikator zdarzenia: 1803) w Podglądzie zdarzeń?

Odpowiedź 10: Powodem pojawienia się tego komunikatu o błędzie jest to, że urządzenie nie może odnaleźć Klucza Wymiany Kluczy (KEK) podpisanego przez PK.

Proszę zgłosić problem poprzez centrum serwisowe ASUS.

Odnośnik:

Wygaśnięcie certyfikatu Secure Boot Windows oraz aktualizacje CA - Pomoc techniczna Microsoft
Status aktualizacji certyfikatu Secure Boot w aplikacji bezpieczeństwa Windows
Najczęściej zadawane pytania dotyczące procesu aktualizacji Secure Boot - Pomoc techniczna Microsoft
Zdarzenia aktualizacji zmiennych Secure Boot DB i DBX - Pomoc techniczna Microsoft
Historia aktualizacji Windows 11, wersja 25H2 - Pomoc techniczna Microsoft

Czy informacja okazała się przydatna?

Yes No

Skontaktuj się z działem pomocy

Skontaktuj się z nami, jeśli powyższe informacje nie rozwiążą Twojego problemu

Above information might be partly or entirely quoted from exterior websites or sources. please refer to the information based on the source that we noted. Please directly contact or inquire the sources if there is any further question and note that ASUS is neither relevant nor responsible for its content/service
This information may not suitable for all the products from the same category/series. Some of the screen shots and operations could be different from the software versions.
ASUS provides the above information for reference only. If you have any questions about the content, please contact the above product vendor directly. Please note that ASUS is not responsible for the content or service provided by the above product vendor.

ASUS Wsparcie FAQ

Powrót do początku strony