[Commercial PC] Obaveštenje o ažuriranju Windows Secure Boot sertifikata

Sekcija 1. Pozadina

Microsoft planira postepeno zameniti „Secure Boot” sertifikate koji se koriste u Windows sistemima počev od 2026. Secure Boot sertifikati su dizajnirani da spreče zlonamerni softver—kao što su bootkit-i—da ugrađuju učitavače tokom procesa pokretanja, čime se obezbeđuje integritet okruženja za boot.

Trenutno implementirani sertifikati—„Microsoft Corporation KEK CA 2011” i „Microsoft Windows Production PCA 2011”—bliže se isteku. Ako se ne ažuriraju na nove sertifikate—„Microsoft Corporation KEK 2K CA 2023” i „Windows UEFI CA 2023”—uređaji više neće moći da primaju ažuriranja za Windows Boot Manager i druge ključne bezbednosne komponente.

Da bi vaš komercijalni PC nastavio da koristi Secure Boot zaštitu i redovna ažuriranja sistema, molimo vas da sledite uputstva ispod za proveru statusa vašeg uređaja.

 

Sekcija 2. Da li je moj uređaj pogođen?

2.1 Nije pogođen (Novi sertifikat podržan po default-u)

Svi poslovni PC-ji isporučeni 2024. ili kasnije, kao i svi budući novi modeli, imaju novi Secure Boot sertifikat unapred integrisan. Ručno ažuriranje nije potrebno.

Laptopovi (NB): Sledeći modeli, kao i sve serije lansirane nakon 2024.

Ime modela
BM3406CGA
BM3606CGA
PM5406CGA
PM5606CGA
BM3406CHA
BM3606CHA
PM3406CHA
PM3606CHA
PM3406CKAZ
PM3406CKA
PM3606CKA
PM1403CDA
PM1503CDA
B5405CCA
B3405CCA
B5605CCA
B3605CCA
P3405CVA
P3605CVA
B5605CVA
B3605CVA
B5405CVA
B3405CVA
BR1204FTA
BR1204CTA
BR1104FTA
BR1104CTA
B1403CTA
B1503CTA
B3402FVA
BM1403CDA
BM1503CDA
B1403CVA
B1503CVA
P1403CVA
P1503CVA
P5405CSA

 

Desktop računari: Sledeći modeli, kao i sve serije lansirane nakon 2024.

Ime modela
P500SV
V500SV
PM700MK
PM700SK
D900MF
D900SF
T701MF
D700MF
T500MV
P500MV
D700MER
D700ME
X500MA
D701MER
S701TER
D901MDR
D500TER
D700TER
D901SDR
S501MER
PD500TE
G15DS
D800MDR
G16CH
G13CH
S501ME
D500TE
D700TE
G35CA
D900MD
D500SD
D500MD
D700MD
D500TD
D700TD
G15CF
D900MC
D500SC
D700SC
D500TC
D700TC
PD500TC
G10CE
G35CG
GA35DX
D700SF
V500MV
D501MER
D701SER
D501SER
T501MV
D900MDR
D800SDR
D900SDR
S502ME
S502MER
D500MER
D500SER
D700SER
D900SC
D900SD
G35DX
S501MC
S502MD
S500TD
S501MD
S500TC
S500MC
S700SC
D700MC
S500MD
S500SC
S500SD
D701TC
D700SD
D500SE
D500ME
D700SE

 

All-in-One (AIO): Sledeći modeli, kao i sve serije lansirane nakon 2024.

Ime modela
PM640KA
PM670KA

 

2.2 Modeli koji zahtevaju ažuriranje

Ako vaš model nije naveden iznad, to znači da uređaj trenutno koristi stariji sertifikat i da će morati da se ažurira.

 

Kako da preuzmem ažuriranje?

Za pogođene modele, ASUS je završio podnošenje novog sertifikata. Ažuriranje će automatski biti dostavljeno od strane Microsoft-a putem Windows Update.

 

Preporučena akcija: Idite na Podešavanja > Windows Update i uverite se da su automatska ažuriranja omogućena.

Automatska instalacija: Sistem će automatski preuzeti i instalirati najnoviji bezbednosni sertifikat—nije potrebno ručno korišćenje alata ili preuzimanje.

 

Sekcija 3. Microsoft sertifikati za bezbedno pokretanje treće strane: Funkcionalnost i neophodnost

Ova sekcija objašnjava Microsoft sertifikate treće strane za bezbedno pokretanje. Ako vaš uređaj treba da pokreće okruženja koja nisu Windows (npr. Linux) ili hardver treće strane (npr. eksterni GPU-ovi), molimo pregledajte sledeće.

3.1 Pregled Microsoft sertifikata treće strane

Originalni sertifikatAžurirani sertifikatOpis
Microsoft Corporation UEFI CA 2011Microsoft UEFI CA 2023

Ovo je opciono uverenje koje se koristi „tokom procesa pokretanja” za potpisivanje aplikacija ili operativnih sistema trećih strana (kao što je Linux) koji se izvršavaju izvan Windows okruženja.

Nije potrebno ako takvi slučajevi upotrebe nisu primenljivi.

Microsoft Option ROM UEFI CA 2023Ovo je opciono uverenje koje se koristi „tokom procesa pokretanja” za potpisivanje Option ROM-ova spoljne hardverske opreme.   
Ako hardver treće strane (kao što je eksterni GPU) nije neophodan tokom procesa pokretanja sistema, ovo uverenje je nije primenljivo.

 

3.2 Ako su potrebni Microsoft sertifikati trećih strana, pogledajte sledeća uputstva

Napomena: Ako vaš komercijalni računar ima Windows BitLocker aktiviran, ljubazno ga pauzirajte unapred prema uputstvima ispod pre izvođenja bilo kakvih Secure Boot operacija.

 

Sekcija 4. Provera statusa BIOS sertifikata i određivanje ažuriranja

Uređaji isporučeni u 2026. godini već uključuju ove sertifikate. Možete ući u BIOS Setup (pritisnite F2 tokom pokretanja) kako biste proverili ili konfigurisali opcije sertifikata treće strane.

 

Dalje, možete se pozvati na Odeljak 8.3 kako biste proverili da li su sertifikati treće strane prisutni. Ako nisu uključeni, ažurirajte BIOS na najnoviju verziju i pratite Odeljak 5. SOP 1: Ažuriranje Secure Boot sertifikata.

 

Ako potrebni sertifikati treće strane i dalje nisu prikazani, nastavite sa Odeljak 6. SOP 2: Dodavanje Secure Boot sertifikata.

 

U slučaju da resetovanje Secure Boot ključeva dovede do pojave sledećeg ekrana prilikom pokretanja Windows-a, molimo pratite Odeljak 7. SOP 3: Vraćanje Secure Boot sertifikata.

 

Reference

  1. https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
  2. https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e

 

Odeljak 5. SOP 1: Ažuriranje Secure Boot sertifikata

Napomene pre operacije:

  1. Preporučuje se da unapred napravite rezervnu kopiju svih podataka na vašem računaru kako biste sprečili eventualni gubitak podataka tokom ručnog procesa ažuriranja.
  2. Ako je BitLocker uključen, obavezno ga stavite u pauzu pre nego što nastavite sa sledećim koracima. Nakon završetka procesa, BitLocker može ponovo biti uključen.
  3. Nedostatak pauziranja BitLocker-a može dovesti do scenarija zaključavanja. U slučajevima kada BitLocker ne može automatski otključati enkriptovani Windows disk, biće potreban ključ za oporavak. Ovaj ključ je numerički kod od 48 cifara koji vam omogućava da ponovo pristupite vašem hard disku. Ukoliko niste upoznati sa procedurama navedenim ispod, kontaktirajte nas za pomoć.

Ako treba da preuzmete svoj BitLocker ključ za oporavak, pogledajte članak: Kako da preuzmete svoj BitLocker Recovery Key.

 

Koraci postupka

  1. Uključite ili restartujte sistem, zatim pritisnite F2 da biste ušli u BIOS podešavanja.   
    Pritisnite F7 da pređete u Napredni režim, zatim idite na Bezbednost > Secure Boot (ili direktno Bezbednost > Secure Boot).   
  2. Izaberite Upravljanje ključevima.   
  3. Izaberite Ovlašćene potpise (db).   
  4. Odaberite Ažuriranje.   
  5. Izaberite Da.   
      
    Napomena: Izborom „Da” vraćate odgovarajuće sertifikate na fabrička podrazumevana podešavanja. Svi sertifikati koje je prethodno dodao sistem ili korisnik biće uklonjeni.
  6. Izaberite Detalji da proverite da li su sertifikati Ovlašćenih potpisa (db) uspešno ažurirani.   
  7. Pritisnite F10 da sačuvate i izađete.
  8. Ako je BitLocker prethodno bio suspendovan, molimo vas da se uverite da je ponovo omogućen.

 

Sekcija 6. SOP 2: Dodavanje Secure Boot sertifikata
6.1 Dodaj Microsoft UEFI CA 2023
  1. Preuzmite Microsoft UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239872, i sačuvajte ga u korenskom direktorijumu USB drajva (npr., "D:\microsoft uefi ca 2023.crt").
  2. Uključite ili restartujte sistem, zatim pritisnite F2 da uđete u BIOS podešavanja.   
    Pritisnite F7 za prelazak u Napredni režim, zatim idite na Security > Secure Boot (ili direktno Security > Secure Boot).   
  3. Izaberite Key Management.   
  4. Izaberite Ovlašćene potpise (db).   
  5. Izaberite Dodaj.   
  6. Izaberite Ne.   
  7. Izaberite USB disk.   
  8. Pronađite i izaberite fajl u glavnom direktorijumu: „microsoft uefi ca 2023.crt”.
  9. Izaberite Sertifikat javnog ključa, zatim pritisnite Enter na ekranu za potvrdu GUID-a.   
  10. Izaberite Da.   
  11. Proverite da li je Microsoft UEFI CA 2023 prikazan pod Ovlašćenim potpisima (db).   
  12. Pritisnite F10 za čuvanje & izlaz.
  13. Ako je BitLocker prethodno bio obustavljen, molimo vas da se uverite da je ponovo omogućen.

 

6.2 Dodajte Microsoft Option ROM UEFI CA 2023
  1. Preuzmite Microsoft Option ROM UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2284009, i sačuvajte ga u korenskom direktorijumu USB drajva (npr., „D:\microsoft option rom uefi ca 2023.crt”).
  2. Uključite ili restartujte sistem, zatim pritisnite F2 da biste ušli u BIOS podešavanje.   
    Pritisnite F7 za prelazak u napredni režim, zatim idite na Bezbednost > Secure Boot (ili direktno Bezbednost > Secure Boot).   
  3. Izaberite Upravljanje ključevima.   
  4. Izaberite Ovlašćene potpise (db).   
  5. Izaberite Dodaj.   
  6. Izaberite broj.   
  7. Izaberite USB uređaj.
  8. Pronađite i izaberite fajl koji je sačuvan u osnovnom direktorijumu: \„microsoft option rom uefi ca 2023.crt”.
  9. Izaberite Sertifikat javnog ključa, zatim pritisnite Enter na GUID ekranu za potvrdu.   
  10. Izaberite Da.   
  11. Proverite da li je Microsoft Option ROM UEFI CA 2023 sada prikazan pod Ovlašćenim potpisima (db).   
  12. Pritisnite F10 za čuvanje i izlazak.
  13. Ako je BitLocker ranije bio suspendovan, molimo vas da se uverite da je ponovo omogućen.

 

Sekcija 7. SOP 3: Vraćanje Secure Boot sertifikata
  1. Preuzmite Windows UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239776 i sačuvajte ga u osnovnom direktorijumu USB uređaja (npr., \„D:\windows uefi ca 2023.crt”).
  2. Uključite ili restartujte sistem, zatim pritisnite F2 da biste ušli u BIOS podešavanja.   
    Pritisnite F7 da biste prešli u Napredni režim, zatim idite na Bezbednost > Secure Boot (ili direktno Bezbednost > Secure Boot).   
  3. Izaberite Upravljanje ključevima.   
  4. Izaberite Ovlašćene potpise (db).   
  5. Izaberite Dodaj.   
  6. Izaberite Ne.   
  7. Izaberite USB disk.
  8. Pronađite i izaberite fajl koji je smešten u glavnom direktorijumu: „windows uefi ca 2023.crt”.
  9. Izaberite Sertifikat javnog ključa, zatim pritisnite Enter na GUID ekranu za potvrdu.   
  10. Izaberite Da.   
  11. Proverite da li je Windows UEFI CA 2023 sada naveden pod Ovlašćenim potpisima (db).   
  12. Pritisnite F10 za čuvanje i izlaz.
  13. Ako je BitLocker omogućen, uverite se da imate svoj BitLocker ključ za oporavak pri ruci.

 

Sekcija 8. PowerShell metoda verifikacije sertifikata

Kako proveriti status ključa UEFI Secure Boot? Sledeće procedure ne utiču na status Windows BitLocker-a.

8.1 Pripremni koraci

Unesite PowerShell u Windows traku za pretragu.

Iz rezultata pretrage, kliknite desnim tasterom na Windows PowerShell i izaberite Pokreni kao administrator.

 

8.2 Provera Microsoft Windows Secure Boot sertifikata

  1. Potvrdite da Key Exchange Key (KEK) uključuje „Microsoft Corporation KEK 2K CA 2023”.  
    Izvrši: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'  
    Rezultat True označava da je sertifikat „Microsoft Corporation KEK 2K CA 2023“ prisutan.  
  2. Potvrdite da Signature Databases (DB) uključuje „Windows UEFI CA 2023“.  
    Izvrši: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'  
    Rezultat True označava da je sertifikat „Windows UEFI CA 2023“ prisutan.  

 

8.3 Provera Microsoft Secure Boot sertifikata treće strane

  1. Potvrdite da Signature Databases (DB) uključuje „Microsoft UEFI CA 2023“.  
    Izvrši: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'  
    Rezultat True označava da je sertifikat „Microsoft UEFI CA 2023“ prisutan.  
  2. Potvrdite da Signature Databases (DB) uključuje „Microsoft Option ROM UEFI CA 2023“.  
    Izvršite: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Microsoft Option ROM UEFI CA 2023'  
    Rezultat „True“ označava da je sertifikat „Microsoft Option ROM UEFI CA 2023“ prisutan.