Expirarea certificatului Windows Secure Boot și actualizările certificatelor

De când Windows a început să ofere suport pentru Secure Boot, majoritatea dispozitivelor Windows au folosit o serie de certificate Microsoft în baza de date UEFI Secure Boot. Aceste certificate mai vechi vor începe să expire treptat din 2026. Pentru a menține securitatea la boot și integritatea lanțului de încredere, sistemele trebuie actualizate la versiunea din 2023 a certificatelor Microsoft.

Dacă sistemul tău are în prezent Secure Boot activat, te rugăm să te asiguri că aceste certificate sunt actualizate înainte de a expira la mijlocul anului 2026.

 

Ce trebuie să faci?           
Este necesar doar să finalizezi una dintre următoarele metode de actualizare și să aștepți noul Windows Boot Manager:           
 

(Metoda I) Prin Actualizarea Automată Windows

Când „Windows Update” este activat și sistemul are Secure Boot activat (te rugăm să consulți cum să activezi Secure Boot), dispozitivele Windows compatibile vor descărca și aplica automat noile certificate Secure Boot și noul Boot Manager la momentul potrivit.

Noua actualizare a bazei de date Secure Boot a fost implementată în etape pentru dispozitivele cu Secure Boot activat începând cu 2024 și va finaliza automat actualizarea dispozitivului înainte ca certificatul să expire în iunie 2026.

Utilizatorii cu setările implicite, de obicei, nu trebuie să efectueze operațiuni manuale suplimentare.

[Activează Windows Update pentru a obține certificate noi]           

 

 

 

(Metoda II) Actualizare manuală UEFI BIOS

Atenție: După actualizarea BIOS-ului, este posibil să vi se ceară să introduceți cheia de recuperare BitLocker pentru a debloca și a accesa sistemul de operare. Pentru pași detaliați, vă rugăm să consultați acest articol: Cum să găsiți cheia BitLocker.
Puteți, de asemenea, să dezactivați Device Encryption și Standard BitLocker Encryption înainte de a actualiza BIOS-ul, apoi să reactivați criptarea după actualizarea BIOS pentru a vă proteja securitatea datelor. Pentru pași detaliați, vă rugăm să consultați acest articol: Introducere în Device Encryption și Standard BitLocker Encryption.

Pentru placa de bază    

Puteți descărca și actualiza la cea mai recentă versiune UEFI BIOS de pe site-ul oficial ASUS pentru a obține certificatele Secure Boot actualizate.

Această metodă este mai potrivită pentru utilizatorii avansați familiarizați cu procesul de actualizare BIOS sau pentru sistemele care nu pot primi actualizări în mod normal prin Windows Update.

1. Pentru a descărca și actualiza la cea mai recentă versiune de UEFI BIOS de pe site-ul oficial ASUS, poți consulta: Cum să actualizezi BIOS

2. Șterge Secure Boot Keys           
2.1 După actualizarea BIOS și repornirea sistemului, intră din nou în BIOS Setup, accesează Advanced\Boot > Secure Boot.

Dacă Secure Boot Mode este Standard, schimbă-l pe Custom.

2.2 Fă clic pe Key Management.

2.3 Execută "Clear Secure Boot Keys".

Apasă pe [Da].

2.4 Confirmă că toate UEFI Secure Boot keys (PK, KEK, DB, DBX) au fost șterse cu succes.

3. Instalează Cheile Implicite Secure Boot           
3.1 După ștergerea Cheilor Secure Boot, execută „Instalează Cheile Implicite Secure Boot.”           

Apasă pe [Da].

3.2 Verifică dacă Mărimea/Numărul Cheilor pentru PK/KEK/DB/DBX nu este 0 și Sursa Cheii este [Implicit]. Procesul de actualizare a Cheilor UEFI Secure Boot este finalizat.

 

Întrebări și răspunsuri           
Întrebarea 1: Cum verifici starea Cheilor UEFI Secure Boot?           
Răspuns: Te rugăm să urmezi acești pași:           
1. Pe pagina BIOS, mergi la Advanced\Boot > Secure Boot > Key Management.           
2. Selectează următoarele elemente, pe rând, și apoi selectează „Șterge Cheile”:           
➢ KEK Management           
➢ DB Management

3. Selectează „Nu” în fereastra de avertizare. (Notă: Această operațiune este doar pentru afișarea informațiilor despre Cheie; selectarea „Da” va șterge Cheia.)

4. Confirmă că Managementul KEK conține „Microsoft Corporation KEK 2K CA 2023”.

5. Confirmă că Managementul DB conține atât „Microsoft UEFI CA 2023”, cât și „Windows UEFI CA 2023”.

Pentru Notebook

Poți de asemenea descărca și actualiza UEFI BIOS la cea mai recentă versiune de pe site-ul oficial ASUS pentru a obține certificatele Secure Boot actualizate.           
Această metodă este mai potrivită pentru utilizatorii avansați care sunt familiarizați cu procesul de actualizare a UEFI BIOS.           
1. Descarcă și actualizează UEFI BIOS la cea mai recentă versiune de pe site-ul oficial ASUS. Poți consulta: Cum să actualizați BIOS în Windows.           
2. Resetare la modul Setup           
2.1 După actualizarea BIOS, reporniți sistemul și intrați din nou în BIOS Setup. Accesați Advanced\Boot > Secure Boot.           
2.2 Faceți clic pe Key Management.

2.3 Efectuați „Resetare la modul Setup”.

2.4 Faceți clic pe [Da].

 

 

2.5 Confirmați că toate cheile UEFI Secure Boot (PK, KEK, DB, DBX) au fost șterse cu succes.

3. Restaurare Chei de fabrică           
3.1 Efectuați „Restaurare Chei de fabrică”.

          
3.2 Faceți clic pe [Da].

3.3 Verifică dacă Mărimea/Numărul de chei pentru PK/KEK/DB/DBX nu este zero.           
Procesul de actualizare a cheilor UEFI Secure Boot este acum complet.

          
 

Întrebări & Răspunsuri           
Întrebarea 1: Cum verific starea cheilor UEFI Secure Boot?           
Răspuns: Te rog să urmezi acești pași:           
1. Pe pagina BIOS, mergi la Advanced\Boot > Secure Boot > Key Management.           
2. Selectează fiecare dintre următoarele elemente și apoi apasă pe „Details”:           
➢ Key Exchange Keys (KEK)           
➢ Authorized Signatures (db)

3. Confirmă că Key Exchange Keys (KEK) include „Microsoft Corporation KEK 2K CA 2023”.

4. Confirmă că Authorized Signatures (db) include atât „Microsoft UEFI CA 2023” cât și „Windows UEFI CA 2023”.

Pentru AIOT

Utilizatorii pot descărca și actualiza la cea mai recentă versiune de UEFI BIOS de pe site-ul oficial ASUS pentru a obține certificatele Secure Boot actualizate. Această metodă este mai potrivită pentru utilizatorii avansați familiarizați cu procesul de actualizare a BIOS-ului sau pentru sistemele care nu pot primi actualizările corect prin intermediul Windows Update.

Descarcă și actualizează la cea mai recentă versiune de UEFI BIOS de pe site-ul oficial ASUS AIoT. Pentru instrucțiuni, poți consulta: 
1. Descarcă și actualizează la cea mai recentă versiune de UEFI BIOS de pe site-ul oficial ASUS AIoT. Pentru instrucțiuni, poți consulta: Cum să actualizezi BIOS 
2. Instalează cheile implicite Secure Boot: 
2.1 După actualizarea BIOS-ului, repornește sistemul. Intră din nou în utilitarul BIOS Setup și navighează la Security > Secure Boot.

2.2 Dacă modul Secure Boot este setat pe Custom, vă rugăm să îl schimbați pe Standard.

2.3 Faceți clic pe OK (pentru a aplica „Instalează setările din fabrică în Key Management”)

2.4 Faceți clic pe Expert Key Management.

2.5 Verificați ca dimensiunea/numărul de chei pentru PK, KEK, DB și DBX să nu fie zero.

 

Întrebări și răspunsuri           
Întrebare 1: Cum pot verifica starea cheilor UEFI Secure Boot pentru a confirma că certificatele Microsoft din 2023 au fost instalate?           
Răspuns: Vă rugăm să urmați pașii de mai jos:

1. Dacă modul Secure Boot este setat pe Standard, schimbați-l pe Custom.           

2. Apăsați OK.

3. Apăsați pe Expert Key Management.

4. Selectați Key Exchange Key (KEK) > Detalii.

5. Verificați că Managementul KEK include „Microsoft Corporation KEK 2K CA 2023”.

6. Selectați Authorized Signatures (db) > Detalii.

7. Verificați că Managementul DB conține toate următoarele: „Windows UEFI CA 2023”, „Microsoft UEFI CA 2023” și „Microsoft Option ROM UEFI CA 2023”.