Expirarea certificatului Windows Secure Boot și actualizările certificatelor

De când Windows a început să suporte Secure Boot, majoritatea dispozitivelor Windows au folosit o serie de certificate Microsoft în baza de date UEFI Secure Boot. Aceste certificate mai vechi vor începe să expire treptat din 2026. Pentru a menține securitatea la boot și integritatea lanțului de încredere, sistemele trebuie actualizate la versiunea 2023 a certificatelor Microsoft.

Dacă sistemul tău are Secure Boot activat în prezent, te rugăm să te asiguri că aceste certificate sunt actualizate înainte de a expira la jumătatea anului 2026.

 

Microsoft recomandă completarea actualizării certificatelor Secure Boot prin actualizarea Windows

Pentru majoritatea utilizatorilor, actualizările necesare vor fi livrate automat prin Actualizările Windows, fără a fi necesară vreo acțiune din partea utilizatorului.

Dacă actualizările au fost primite cu succes poate fi verificat prin aplicația de securitate Windows, după cum este descris în Starea actualizării certificatelor Secure Boot în aplicația de securitate Windows.

Când [Windows Update] este activat și sistemul are Secure Boot activat (te rugăm să consulți cum să activezi Secure Boot), dispozitivele Windows suportate vor descărca și aplica automat noile certificate Secure Boot și noul Boot Manager la momentul potrivit.

Noua actualizare a bazei de date Secure Boot a fost implementată în faze pentru dispozitivele cu Secure Boot activat începând din 2024 și va finaliza automat actualizarea dispozitivului înainte ca certificatul să expire în iunie 2026.

[Permiteți Actualizarea Windows pentru a obține certificate noi]

 

Întrebări & Răspunsuri

Întrebarea 1: Cum pot verifica starea UEFI Secure Boot?

Răspuns 1: Vă rugăm să urmați pașii de mai jos:

  1. În bara de căutare Windows, tastați Windows Security
  2. Selectați [Securitatea dispozitivului] din meniul din stânga. Sub [Secure boot], veți vedea un indicator de stare. Pictograma Secure boot este marcată cu o insignă verde, galbenă sau roșie, fiecare reprezentând starea actuală a Secure boot pe sistemul dvs. 

 

Întrebarea 2: Ce trebuie să fac dacă pictograma Secure boot este galbenă sau roșie?

Răspuns 2: Vă rugăm să consultați pașii de rezolvare detaliați în articolul: Depanare - Pictograma Secure Boot afișează o insignă galbenă sau roșie.

 

Întrebarea 3: Ce se întâmplă dacă dispozitivul meu nu obține un nou certificat Secure Boot înainte ca vechiul certificat să expire?

Răspuns 3: După expirarea certificatului de boot securizat, dispozitivele care nu au primit încă noul certificat din 2023 pot în continuare să pornească și să funcționeze normal, iar actualizările standard Windows vor continua să fie instalate. Totuși, aceste dispozitive nu vor mai putea obține noi protecții de securitate în timpul procesului de bootare timpurie, inclusiv actualizarea administratorilor de boot Windows, bazelor de date de boot securizat, listelor de revocare sau măsurilor de atenuare pentru vulnerabilitățile descoperite la nivelul bootului.

În timp, acest lucru limitează protecția dispozitivului împotriva amenințărilor emergente și poate afecta scenariile care se bazează pe încrederea Secure Boot, cum ar fi întărirea BitLocker sau încărcătoarele de boot ale unor terți. Majoritatea dispozitivelor Windows vor primi automat credențiale actualizate, iar mulți producători OEM vor furniza și actualizări de firmware când este necesar. Menținerea dispozitivului actualizat în permanență ajută la asigurarea faptului că acesta poate continua să beneficieze de întreaga protecție de securitate concepută pentru bootare sigură.

 

Întrebarea 4: Care sunt efectele opririi dispozitivului secure boot?

Răspuns 4: Dispozitivele care opresc secure boot nu vor primi noi credențiale Secure Boot în firmware. Prin urmare, ele vor fi în continuare vulnerabile la malware de nivel boot (precum bootkit-urile), deoarece protecția Secure Boot nu este aplicată.

 

Întrebarea 5: După resetarea firmware-ului la setările implicite, dispozitivul a încetat să pornească - ce s-a întâmplat? Cum ar trebui să rezolv această problemă?

Răspuns 5: Dacă Windows a folosit deja managerul de boot semnat 2023, dar firmware-ul este resetat la valoarea implicită care nu include certificatul Windows UEFI CA 2023, secure boot va bloca procesul de pornire.

Puteți consulta întrebările frecvente:

[Notebook] Rezolvarea problemelor - Eroare Secure Boot Violation la pornire

 

Întrebarea 6: Dacă certificatul Secure Boot al dispozitivului meu a expirat, pot primi în continuare un certificat actualizat?

Răspuns 6: Da. Chiar dacă credențialele existente au expirat, actualizările cumulative care conțin noi credențiale secure boot pot fi aplicate în continuare. Dacă dispozitivul poate porni Windows și instala actualizări, credențialele actualizate pot fi scrise în firmware conform ghidurilor de implementare publicate. Majoritatea dispozitivelor vor primi aceste actualizări automat, dar unele sisteme pot necesita actualizări suplimentare de firmware.

 

Întrebarea 7: Cum verific starea cheilor UEFI Secure Boot?

Răspuns 7: Vă rugăm să urmați pașii de mai jos:

  1. Introduceți PowerShell în caseta de căutare a sistemului Windows. 
    În rezultatele căutării, faceți clic pe pictograma Windows PowerShell și selectați Rulare ca Administrator. 
  2. Confirmați că Key Exchange Key (KEK) include „Microsoft Corporation KEK 2K CA 2023” 
    Introduceți [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' 
    Dacă apare True, înseamnă că este inclus „Microsoft Corporation KEK 2K CA 2023” 
  3. Confirmați că Signature Databases (DB) include „Windows UEFI CA 2023” 
    Introduceți [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' 
    Dacă apare True, înseamnă că este inclus „Windows UEFI CA 2023” 
  4. Confirmați că Signature Databases (DB) include „Microsoft UEFI CA 2023” 
    Introduceți [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023' 
    Dacă apare True, înseamnă că este inclus „Microsoft UEFI CA 2023” 

 

Întrebarea 8: Ce trebuie să fac dacă găsesc un mesaj de eroare TPM WMI (ID Eveniment: 1801) în Event Viewer?

Răspuns 8: Motivul acestui mesaj de eroare este că acreditările pentru secure boot au fost actualizate, dar nu au fost încă aplicate la firmware-ul dispozitivului.

Vă rugăm să rulați Windows Update mai întâi pentru a vă asigura că versiunea OS este 26100.6725 sau mai recentă, și apoi să continuați cu pașii descriși la Întrebarea 2.

Istoricul actualizărilor pentru Windows 11, versiunea 25H2.

 

Întrebarea 9: Ce trebuie să fac dacă găsesc un mesaj de eroare TPM WMI (ID Eveniment: 1802) în Event Viewer?

Răspuns 9: Motivul acestui mesaj de eroare este că actualizarea pentru boot este blocată deliberat deoarece dispozitivul respectă anumite condiții cunoscute de firmware sau hardware, ceea ce împiedică finalizarea actualizării în siguranță.

Vă rugăm să raportați problema prin centrul de service ASUS.

 

Întrebarea 10: Ce trebuie să fac dacă găsesc un mesaj de eroare TPM WMI (ID Eveniment: 1803) în Event Viewer?

Răspuns 10: Motivul acestui mesaj de eroare este că dispozitivul nu poate găsi Key Exchange Key (KEK) semnat de PK.

Vă rugăm să raportați problema prin centrul de service ASUS.

 

 

Referință:

Expirarea certificatelor Secure Boot Windows și actualizări CA - Suport Microsoft  
Starea actualizării certificatului Secure Boot în aplicația Windows Security  
Întrebări frecvente despre procesul de actualizare Secure Boot - Suport Microsoft  
Evenimente de actualizare a variabilelor Secure Boot DB și DBX - Suport Microsoft  
Istoricul actualizărilor Windows 11, versiunea 25H2 - Suport Microsoft