Expirarea certificatului Windows Secure Boot și actualizările de certificate

Răspuns 1: Vă rugăm să urmați pașii de mai jos:

1. În bara de căutare Windows, tastați Windows Security. 
   
2. Selectați [Securitate dispozitiv] din meniul din stânga. Sub [Secure boot], veți vedea un indicator de stare. Pictograma Secure boot este marcată cu o insignă verde, galbenă sau roșie, fiecare reprezentând starea curentă a Secure boot pe sistemul dumneavoastră. 
   

Răspuns 2: Vă rugăm să urmați pașii de mai jos:

1. Run Windows Update și asigură-te că versiunea sistemului de operare este 26100.6725 sau o versiune mai recentă. 
   Istoricul actualizărilor pentru Windows 11, versiunea 25H2 - Asistență Microsoft
2. În bara de căutare Windows, tastează Windows PowerShell. 
   Din rezultatele căutării, fă clic dreapta pe Windows PowerShell și selectează Rulează ca administrator. 
   
3. Introdu următoarea comandă: 
   reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0X5944 /f 
   
4. Apoi introdu următoarea comandă: 
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" 
   
5. Repornește computerul.
6. După reboot, deschide din nou Windows PowerShell ca administrator.
7. Introdu din nou următoarea comandă: 
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" 
   
8. Reporniți computerul încă o dată.
9. Verificați dacă pictograma Secure Boot s-a schimbat în verde, indicând că Secure Boot este acum activat și funcționează corect.

Răspuns 3: După expirarea certificatului de Secure Boot, dispozitivele care nu au primit încă noul certificat din 2023 pot porni și funcționa normal, iar actualizările standard Windows vor continua să fie instalate. Totuși, aceste dispozitive nu vor putea obține noi protecții de securitate în timpul procesului de pornire timpurie, inclusiv actualizarea administratorilor de boot Windows, bazelor de date secure boot, listelor de revocare sau măsurilor de atenuare pentru vulnerabilitățile de nivel boot descoperite recent.

Pe termen lung, acest lucru limitează protecția dispozitivului împotriva amenințărilor emergente și poate afecta scenariile care se bazează pe încrederea secure boot, cum ar fi întărirea BitLocker sau boot loader-ele terțe. Majoritatea dispozitivelor Windows vor primi automat acreditările actualizate, iar mulți producători OEM vor furniza de asemenea actualizări de firmware atunci când este necesar. Menținerea dispozitivului mereu actualizat ajută la asigurarea faptului că acesta poate continua să beneficieze de protecția completă de securitate proiectată pentru pornirea sigură.

Răspuns 4: Dispozitivele care dezactivează secure boot nu vor primi noi credențiale secure boot în firmware. Prin urmare, acestea vor fi în continuare vulnerabile la malware de tip boot layer (cum ar fi bootkit-urile), deoarece protecția secure boot nu este aplicată.

Răspuns 5: Dacă Windows a folosit deja boot manager-ul semnat din 2023, dar firmware-ul este resetat la valoarea implicită care nu include certificatul Windows UEFI CA 2023, secure boot va bloca procesul de boot.

Poți consulta întrebările frecvente:

[Notebook] Soluționarea problemelor - Eroare Secure Boot Violation la pornire

Răspuns 6: Da. Chiar dacă credențialele existente au expirat, actualizările cumulative care conțin noi credențiale secure boot pot fi aplicate în continuare. Dacă dispozitivul poate porni Windows și instala actualizări, credențialele actualizate pot fi scrise în firmware conform ghidului de implementare publicat. Majoritatea dispozitivelor vor primi automat aceste actualizări, dar unele sisteme pot necesita actualizări suplimentare de firmware.

Răspuns 7: Vă rugăm să consultați următorii pași:

1. Introduceți PowerShell în caseta de căutare a sistemului Windows. 
   În rezultatele căutării, faceți clic pe pictograma Windows PowerShell și selectați Rulare ca Administrator. 
   
2. Confirmați că Key Exchange Key (KEK) include „Microsoft Corporation KEK 2K CA 2023” 
   Introduceți [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' 
   Dacă apare True, înseamnă că include „Microsoft Corporation KEK 2K CA 2023” 
   
3. Confirmați că Signature Databases (DB) include „Windows UEFI CA 2023” 
   Introduceți [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' 
   Dacă apare True, înseamnă că include „Windows UEFI CA 2023” 
   
4. Confirmați că Signature Databases (DB) include „Microsoft UEFI CA 2023” 
   Introduceți [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023' 
   Dacă apare True, înseamnă că include „Microsoft UEFI CA 2023” 
   

Răspuns 8: Motivul pentru acest mesaj de eroare este că acreditările secure boot au fost actualizate, dar nu au fost încă aplicate firmware-ului dispozitivului.

Vă rugăm să rulați Windows Update mai întâi pentru a vă asigura că versiunea OS este 26100.6725 sau mai târziu, apoi urmați pașii descriși la Întrebarea 2.

Istoric actualizări Windows 11, versiunea 25H2.

Răspuns 9: Motivul pentru acest mesaj de eroare este că actualizarea boot este blocată deliberat deoarece dispozitivul respectă condițiile cunoscute de firmware sau hardware, ceea ce împiedică finalizarea actualizării în siguranță.

Vă rugăm să raportați problema prin centrul de service ASUS.

Răspuns 10: Motivul pentru acest mesaj de eroare este că dispozitivul nu poate găsi Key Exchange Key (KEK) semnat de PK.

Vă rugăm să raportați problema prin intermediul centrului de servicii ASUS.