Wygaśnięcie certyfikatu Windows Secure Boot i aktualizacje certyfikatów
Od czasu, gdy Windows zaczął obsługiwać Secure Boot, większość urządzeń Windows używała serii certyfikatów Microsoft w bazie danych UEFI Secure Boot. Te wcześniejsze certyfikaty zaczną stopniowo wygasać od 2026 roku. Aby utrzymać bezpieczeństwo rozruchu i integralność łańcucha zaufania, systemy muszą zostać zaktualizowane do wersji 2023 certyfikatów Microsoft.
Jeśli Twój system ma obecnie włączony Secure Boot, upewnij się, że certyfikaty zostały zaktualizowane zanim wygasną w połowie 2026 roku.
Microsoft zaleca ukończenie aktualizacji certyfikatów Secure Boot poprzez aktualizację Windows
Dla większości użytkowników, wymagane aktualizacje zostaną dostarczone automatycznie przez Windows Updates i nie będzie wymagane żadnego działania ze strony użytkownika.
Czy aktualizacje zostały pomyślnie odebrane, można zweryfikować za pomocą aplikacji Windows Security, jak opisano w Status aktualizacji certyfikatu Secure Boot w aplikacji Windows Security.
Kiedy [Windows Update] jest włączony i system ma aktywowany Secure Boot (proszę zapoznać się z jak włączyć Secure Boot), obsługiwane urządzenia Windows automatycznie pobiorą i zastosują nowe certyfikaty Secure Boot oraz nowy Boot Manager w odpowiednim czasie.
Nowa aktualizacja bazy danych Secure Boot została wdrożona etapami na urządzeniach z włączonym Secure Boot od 2024 roku i automatycznie zakończy aktualizację urządzenia zanim certyfikat wygaśnie w czerwcu 2026.
[Włącz Windows Update, aby uzyskać nowe certyfikaty]

Pytanie 1: Jak sprawdzić status UEFI Secure Boot?
Odpowiedź 1: Proszę wykonać poniższe kroki:
- W pasku wyszukiwania Windows wpisz Windows Security.

- Wybierz [Bezpieczeństwo urządzenia] z menu po lewej stronie. Pod [Secure boot] zobaczysz wskaźnik statusu. Ikona Secure boot jest oznaczona zielonym, żółtym lub czerwonym znacznikiem, każdy reprezentuje aktualny stan Secure boot na Twoim systemie.

Pytanie 2: Co zrobić, jeśli ikona Secure boot jest żółta lub czerwona?
Odpowiedź 2: Proszę zapoznać się z krokami rozwiązywania opisanymi w artykule: Rozwiązywanie problemów – Ikona Secure Boot ma żółty lub czerwony znacznik.
Pytanie 3: Co się stanie, jeśli moje urządzenie nie uzyska nowego certyfikatu Secure Boot przed wygaśnięciem starego certyfikatu?
Odpowiedź 3: Po wygaśnięciu certyfikatu Secure Boot, urządzenia, które nie otrzymały jeszcze nowego certyfikatu z 2023 roku, nadal mogą się uruchamiać i działać normalnie, a standardowe aktualizacje Windows będą nadal instalowane. Jednak te urządzenia nie będą mogły uzyskać nowych zabezpieczeń podczas wczesnej fazy uruchamiania, w tym aktualizacji administratorów rozruchu Windows, baz danych Secure Boot, list odwołań lub zastosowania środków zaradczych dla nowo wykrytych luk na poziomie rozruchu.
Z czasem ogranicza to ochronę urządzenia przed pojawiającymi się zagrożeniami i może mieć wpływ na scenariusze polegające na zaufaniu Secure Boot, takie jak wzmocnienie BitLocker lub bootloaderów firm trzecich. Większość urządzeń Windows automatycznie otrzyma zaktualizowane poświadczenia, a wielu producentów OEM zapewni również aktualizacje firmware, gdy będzie to konieczne. Utrzymywanie urządzenia zawsze zaktualizowanego pomaga zapewnić, że będzie ono dalej otrzymywać pełną ochronę bezpieczeństwa zaprojektowaną dla bezpiecznego uruchamiania.
Pytanie 4: Jakie są skutki wyłączenia Secure Boot na urządzeniu?
Odpowiedź 4: Urządzenia, które wyłączą Secure Boot, nie otrzymają nowych poświadczeń Secure Boot w firmware. W związku z tym nadal będą podatne na złośliwe oprogramowanie warstwy rozruchowej (takie jak bootkity), ponieważ ochrona Secure Boot nie jest egzekwowana.
Pytanie 5: Po zresetowaniu firmware do ustawień domyślnych, urządzenie przestało się uruchamiać - co się stało? Jak to naprawić?
Odpowiedź 5: Jeśli Windows już używał podpisanego menedżera uruchamiania 2023, ale firmware został zresetowany do wartości domyślnej, która nie zawiera certyfikatu Windows UEFI CA 2023, secure boot zablokuje proces uruchamiania.
Możesz zapoznać się z FAQ:
[Notebook] Rozwiązywanie problemów - Błąd naruszenia Secure Boot przy uruchamianiu
Pytanie 6: Jeśli certyfikat Secure Boot mojego urządzenia wygasł, czy mogę nadal otrzymać zaktualizowany certyfikat?
Odpowiedź 6: Tak. Nawet jeśli istniejące poświadczenia wygasły, zbiorcze aktualizacje zawierające nowe poświadczenia secure boot mogą nadal zostać zastosowane. Jeśli urządzenie może uruchomić Windows i zainstalować aktualizacje, zaktualizowane poświadczenia mogą być zapisane do firmware zgodnie z opublikowanymi wytycznymi wdrożenia. Większość urządzeń automatycznie otrzyma te aktualizacje, ale niektóre systemy mogą wymagać dodatkowych aktualizacji firmware.
Pytanie 7: Jak sprawdzić status kluczy UEFI Secure Boot?
Odpowiedź 7: Proszę zapoznać się z poniższymi krokami:
- Wpisz PowerShell w polu wyszukiwania systemu Windows.
W wynikach wyszukiwania kliknij ikonę Windows PowerShell i wybierz Uruchom jako administrator.
- Potwierdź, że Key Exchange Key (KEK) zawiera „Microsoft Corporation KEK 2K CA 2023”
Wprowadź [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Jeśli pojawi się True, oznacza to, że zawiera „Microsoft Corporation KEK 2K CA 2023”
- Potwierdź, że Signature Databases (DB) zawiera „Windows UEFI CA 2023”
Wprowadź [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Jeśli pojawi się True, oznacza to, że zawiera „Windows UEFI CA 2023”
- Potwierdź, że Signature Databases (DB) zawiera „Microsoft UEFI CA 2023”
Wprowadź [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
Jeśli pojawi się True, oznacza to, że zawiera „Microsoft UEFI CA 2023”
Pytanie 8: Co powinienem zrobić, jeśli znajdę komunikat o błędzie TPM WMI (ID zdarzenia: 1801) w Podglądzie zdarzeń?
Odpowiedź 8: Powodem tego komunikatu o błędzie jest to, że poświadczenia bezpiecznego bootowania zostały zaktualizowane, ale nie zostały jeszcze zastosowane do firmware urządzenia.
Najpierw uruchom Aktualizację Windows, aby upewnić się, że wersja systemu operacyjnego to 26100.6725 lub nowsza, a następnie wykonaj kroki opisane w Pytaniu 2.
Historia aktualizacji Windows 11, wersja 25H2.
Pytanie 9: Co powinienem zrobić, jeśli znajdę komunikat o błędzie TPM WMI (ID zdarzenia: 1802) w Podglądzie zdarzeń?
Odpowiedź 9: Powodem tego komunikatu o błędzie jest to, że aktualizacja bootowania jest celowo zablokowana, ponieważ urządzenie spełnia znane warunki firmware lub sprzętowe, co uniemożliwia bezpieczne zakończenie aktualizacji.
Proszę zgłosić problem poprzez centrum serwisowe ASUS.
Pytanie 10: Co powinienem zrobić, jeśli znajdę komunikat o błędzie TPM WMI (ID zdarzenia: 1803) w Podglądzie zdarzeń?
Odpowiedź 10: Powodem tego komunikatu o błędzie jest to, że urządzenie nie może znaleźć Key Exchange Key (KEK) podpisanego przez PK.
Proszę zgłosić problem poprzez centrum serwisowe ASUS.
Odnośnik:
Wygaśnięcie certyfikatu Windows Secure Boot i aktualizacje CA - Pomoc techniczna Microsoft
Status aktualizacji certyfikatu Secure Boot w aplikacji Windows Security
Najczęściej zadawane pytania dotyczące procesu aktualizacji Secure Boot - Pomoc techniczna Microsoft
Zdarzenia aktualizacji zmiennych Secure Boot DB i DBX - Pomoc techniczna Microsoft
Historia aktualizacji Windows 11, wersja 25H2 - Pomoc techniczna Microsoft