[PC Comercial] Anunț privind actualizarea certificatului Windows Secure Boot

2.1 Neafectat (Certificat Nou Acceptat Implicit)

Toate PC-urile de afaceri livrate în 2024 sau mai târziu, precum și toate modelele noi viitoare, au noul certificat Secure Boot preintegrat. Nu este necesară nicio actualizare manuală.

Laptopuri (NB): Următoarele modele, precum și toate seriile lansate după 2024.

Desktop-uri: Următoarele modele, precum și toate seriile lansate după 2024.

All-in-One (AIO): Următoarele modele, precum și toate seriile lansate după 2024.

2.2 Modele care necesită actualizare

Dacă modelul dvs. nu este menționat mai sus, înseamnă că dispozitivul utilizează în prezent certificatul vechi și va trebui actualizat.

Cum obțin actualizarea?

Pentru modelele afectate, ASUS a finalizat trimiterea noului certificat. Actualizarea va fi livrată automat de Microsoft prin Windows Update.

Acțiune recomandată: Accesați Setări > Windows Update și asigurați-vă că actualizările automate sunt activate.

Instalare automată: Sistemul va descărca și instala automat cel mai recent certificat de securitate—nu sunt necesare instrumente sau descărcări manuale.

Această secțiune explică certificatele Secure Boot Microsoft de la terți. Dacă dispozitivul dvs. trebuie să ruleze medii non-Windows (de exemplu, Linux) sau hardware de la terți (de exemplu, GPU externe), vă rugăm să consultați următoarele.

3.1 Prezentare generală certificat Microsoft de la terți

3.2 Dacă sunt necesare certificate Microsoft terțe, vă rugăm să consultați instrucțiunile de mai jos

Notă: Dacă computerul dvs. comercial are Windows BitLocker activat, vă rugăm să îl suspendați în prealabil urmând instrucțiunile de mai jos înainte de a efectua orice operațiuni Secure Boot.

Dispozitivele livrate în 2026 includ deja aceste certificate. Puteți intra în configurarea BIOS (apăsați F2 în timpul pornirii) pentru a verifica sau a configura opțiunile de certificate terțe.

În plus, puteți consulta Secțiunea 8.3 pentru a verifica dacă certificatele terțe sunt prezente. Dacă acestea nu sunt incluse, vă rugăm să actualizați BIOS-ul la cea mai recentă versiune și să urmați Secțiunea 5. SOP 1: Actualizați certificatele Secure Boot.

Dacă certificatele terțe necesare încă nu apar, vă rugăm să continuați cu Secțiunea 6. SOP 2: Adăugați certificate Secure Boot.

În cazul în care resetarea cheilor Secure Boot duce la apariția următorului ecran la pornirea în Windows, vă rugăm să urmați Secțiunea 7. SOP 3: Restaurați certificatele Secure Boot.

Referințe

1. https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
2. https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e

Note pre-operaționale:

1. Este recomandat cu tărie să faceți o copie de siguranță a tuturor datelor de pe computerul dumneavoastră în avans, pentru a preveni orice posibilă pierdere de date în timpul procesului manual de actualizare.
2. Dacă BitLocker este activat, vă rugăm să vă asigurați că este suspendat înainte de a urma pașii următori. După finalizarea procesului, BitLocker poate fi reactivat.
3. Nesuspendarea BitLocker poate duce la un scenariu de blocare. În cazurile în care BitLocker nu poate debloca automat unitatea Windows criptată, va fi necesară o cheie de recuperare. Această cheie este un cod numeric de 48 de cifre care vă permite să recăpătați accesul la hard disk-ul dumneavoastră. Dacă nu sunteți familiarizat cu procedurile descrise mai jos, vă rugăm să ne contactați pentru asistență.

Dacă aveți nevoie să recuperați cheia de recuperare BitLocker, vă rugăm să consultați articolul: Cum să recuperezi cheia de recuperare BitLocker.

Pași procedurali

1. Pornește sau repornește sistemul, apoi apasă F2 pentru a intra în setările BIOS.   
   Apasă F7 pentru a trece în Modul Avansat, apoi navighează la Security > Secure Boot (sau direct Security > Secure Boot).   
   
2. Selectează Key Management.   
   
3. Selectează Authorized Signatures (db).   
   
4. Alege Update.   
   
5. Selectează Yes.   
     
   Notă: Selectarea „Yes” va restaura certificatele corespunzătoare la setările din fabrică. Orice certificat adăugat anterior de sistem sau utilizator va fi eliminat.
6. Selectează Details pentru a verifica dacă certificatele Authorized Signatures (db) au fost actualizate cu succes.   
   
7. Apăsați F10 pentru a salva și a ieși.
8. Dacă BitLocker a fost suspendat anterior, vă rugăm să vă asigurați că este reactivat.

1. Descărcați Windows UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239776 și salvați-l în directorul rădăcină al unui stick USB (de exemplu, "D:\windows uefi ca 2023.crt").
2. Porniți sau reporniți sistemul, apoi apăsați F2 pentru a intra în configurarea BIOS.   
   Apăsați F7 pentru a comuta la Modul Avansat, apoi navigați la Securitate > Boot Securizat (sau direct Securitate > Boot Securizat).   
   
3. Selectați Management Chei.   
   
4. Selectați Semnături Autorizate (db).   
   
5. Alegeți Adăugare.   
   
6. Selectați Nu.   
   
7. Selectați unitatea USB.
8. Găsiți și selectați fișierul stocat în directorul rădăcină: „windows uefi ca 2023.crt”.
9. Selectați Certificat Cheie Publică, apoi apăsați Enter pe ecranul de confirmare GUID.   
   
10. Selectați Da.   
    
11. Verifică dacă Windows UEFI CA 2023 este acum listat sub Semnături autorizate (db).   
    
12. Apasă F10 pentru a salva & ieși.
13. Dacă BitLocker este activat, asigură-te că ai cheia de recuperare BitLocker la îndemână.

Cum să verifici starea cheii UEFI Secure Boot? Următoarele proceduri nu afectează starea Windows BitLocker.

8.1 Pași preliminari

Introdu PowerShell în bara de căutare Windows.

Din rezultatele căutării, dă clic dreapta pe Windows PowerShell și selectează Rulare ca administrator.

8.2 Verificarea certificatelor Microsoft Windows Secure Boot

1. Confirmă că Key Exchange Key (KEK) include „Microsoft Corporation KEK 2K CA 2023”.  
   Execută: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' Un rezultat True indică faptul că certificatul „Microsoft Corporation KEK 2K CA 2023” este prezent.
2. Confirmă că Baza de Date de Semnături (DB) include „Windows UEFI CA 2023”. Execută: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' Un rezultat True indică faptul că certificatul „Windows UEFI CA 2023” este prezent.

8.3 Verificarea Certificatelor Secure Boot Microsoft 3rd Party

1. Confirmă că Baza de Date de Semnături (DB) include „Microsoft UEFI CA 2023”. Execută: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023' Un rezultat True indică faptul că certificatul „Microsoft UEFI CA 2023” este prezent.
2. Confirmă că Baza de Date de Semnături (DB) include „Microsoft Option ROM UEFI CA 2023”. Execută: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Microsoft Option ROM UEFI CA 2023'  
   Un rezultat de True indică faptul că certificatul „Microsoft Option ROM UEFI CA 2023” este prezent.