Срок действия сертификата Windows Secure Boot и обновления сертификатов

С тех пор как Windows начала поддерживать Secure Boot, большинство устройств на Windows использовали серию сертификатов Microsoft в базе данных UEFI Secure Boot. Эти ранние сертификаты начнут постепенно истекать с 2026 года. Для поддержания безопасности загрузки и целостности цепочки доверия системы необходимо обновить до версии сертификатов Microsoft 2023 года.

Если на Вашей системе в данный момент включён Secure Boot, пожалуйста, убедитесь, что эти сертификаты обновлены до того, как срок их действия истечет в середине 2026 года.

 

Что нужно сделать?           
Вам необходимо выполнить только один из следующих способов обновления и дождаться появления нового Windows Boot Manager:           
 

(Метод I) Через автоматическое обновление Windows

 

Когда функция「Windows Update」включена, а в системе активирован Secure Boot (см. как включить Secure Boot), поддерживаемые устройства Windows автоматически загрузят и применят новые сертификаты Secure Boot и новый Boot Manager в соответствующее время.

Обновление базы данных Secure Boot распространяется поэтапно на устройства с включённым Secure Boot начиная с 2024 года и автоматически завершит обновление устройства до истечения срока действия сертификатов в июне 2026 года.

Пользователям с настройками по умолчанию, как правило, не требуется выполнять дополнительные действия вручную.

[Включите Windows Update для получения новых сертификатов]           

 

 

 

(Метод II) Через ручное обновление UEFI BIOS

 

Внимание: после обновления BIOS может появиться запрос на ввод Ключа Восстановления BitLocker для разблокировки и доступа к операционной системе. Подробные шаги смотрите в этой статье: Как найти Ключ Восстановления BitLocker.
Вы также можете отключить Device Encryption и стандартное шифрование BitLocker перед обновлением BIOS, а затем повторно включить шифрование после обновления BIOS для защиты безопасности Ваших данных. Подробные шаги смотрите в этой статье: Введение в Шифрование устройства и шифрование BitLocker.

 

Для материнской платы    

Вы также можете загрузить и обновить до последней версии UEFI BIOS с официального сайта ASUS, чтобы получить обновленные сертификаты Secure Boot.

Этот способ больше подходит для опытных пользователей, знакомых с процессом обновления BIOS, или систем, которые не могут получать обновления через Windows Update.

1. Чтобы загрузить и обновить до последней версии UEFI BIOS с официального сайта ASUS, вы можете обратиться к: Как обновить BIOS

2. Очистите ключи Secure Boot           
2.1 После обновления BIOS и перезагрузки системы снова войдите в настройки BIOS, перейдите в Advanced\Boot > Secure Boot.

Если Secure Boot Mode установлен на Standard, измените его на Custom.

2.2 Нажмите Key Management.

2.3 Выполните "Clear Secure Boot Keys".

Нажмите [Да].

2.4 Убедитесь, что все ключи UEFI Secure Boot (PK, KEK, DB, DBX) были успешно очищены.

3. Установить ключи Secure Boot по умолчанию           
3.1 После очистки ключей Secure Boot выполните "Установить ключи Secure Boot по умолчанию".           

Нажмите [Да].

3.2 Проверьте, что размер/количество ключей для PK/KEK/DB/DBX не равно 0 и источник ключей [По умолчанию]. Процесс обновления ключей UEFI Secure Boot завершен.

 

Вопросы и ответы           
Вопрос 1: Как проверить статус UEFI Secure Boot Keys?           
Ответ: Пожалуйста, выполните следующие шаги:           
1. На странице BIOS перейдите в Advanced\Boot > Secure Boot > Key Management.           
2. Выберите по очереди следующие пункты и затем выберите "Удалить ключи":           
➢ KEK Management           
➢ DB Management

3. Выберите "Нет" во всплывающем окне. (Примечание: Эта операция предназначена только для отображения информации о Ключе; выбор "Да" приведет к удалению Ключа)

4. Убедитесь, что в KEK Management содержится "Microsoft Corporation KEK 2K CA 2023".

5. Убедитесь, что в DB Management содержатся как "Microsoft UEFI CA 2023", так и "Windows UEFI CA 2023".

 

Для ноутбука

Вы также можете скачать и обновить UEFI BIOS до последней версии с официального сайта ASUS для получения обновленных сертификатов Secure Boot. 
Этот метод больше подходит для опытных пользователей, знакомых с процессом обновления UEFI BIOS. 
1. Скачайте и обновите UEFI BIOS до последней версии с официального сайта ASUS. Вы можете ознакомиться с: Как обновить BIOS в Windows.           
2. Сброс в режим настройки           
2.1 После обновления BIOS перезагрузите систему и снова войдите в BIOS Setup. Перейдите в Advanced\Boot > Secure Boot.           
2.2 Нажмите Управление ключами.

2.3 Выполните "Сброс в режим настройки".

2.4 Нажмите [Да].

 

 

2.5 Убедитесь, что все ключи UEFI Secure Boot (PK, KEK, DB, DBX) были успешно удалены.

3. Восстановление заводских ключей           
3.1 Выполните "Восстановить заводские ключи".

          
3.2 Нажмите [Да].

3.3 Проверьте, что Размер/Количество ключей для PK/KEK/DB/DBX не равен нулю.           
Процесс обновления ключей UEFI Secure Boot завершён.

          
 

Вопросы и ответы           
Вопрос 1: Как проверить статус ключей UEFI Secure Boot?           
Ответ: Пожалуйста, выполните следующие шаги:           
1. На странице BIOS перейдите в Advanced\Boot > Secure Boot > Key Management.           
2. Выберите каждый из следующих пунктов и затем нажмите «Details»:           
➢ Key Exchange Keys (KEK)           
➢ Authorized Signatures (db)

3. Подтвердите, что Ключи обмена ключами (KEK) включают "Microsoft Corporation KEK 2K CA 2023".

4. Подтвердите, что Авторизованные подписи (db) включают как "Microsoft UEFI CA 2023", так и "Windows UEFI CA 2023".

 

Для AIOT

Пользователи могут загрузить и обновить до последней версии UEFI BIOS с официального сайта ASUS, чтобы получить обновленные сертификаты Secure Boot. Этот метод больше подходит для опытных пользователей, знакомых с процессом обновления BIOS, или для систем, которые не могут получать обновления должным образом через Windows Update.

Загрузите и обновите до последней версии UEFI BIOS с официального сайта ASUS AIoT. Для инструкций вы можете обратиться к:             
1. Загрузите и обновите до последней версии UEFI BIOS с официального сайта ASUS AIoT. Для инструкций вы можете обратиться к: Как обновить BIOS             
2. Установите стандартные ключи Secure Boot:             
2.1 После обновления BIOS перезагрузите систему. Снова войдите в утилиту настройки BIOS и перейдите в Security > Secure Boot.

2.2 Если режим Secure Boot установлен на Custom, пожалуйста, измените его на Standard.

2.3 Нажмите OK (чтобы применить "Установить заводские настройки по умолчанию в Key Management")

2.4 Нажмите Expert Key Management.

2.5 Убедитесь, что размер/количество ключей для PK, KEK, DB и DBX не равно нулю.

 

Вопросы и ответы           
Вопрос 1: Как проверить статус UEFI Secure Boot Keys, чтобы убедиться, что сертификаты Microsoft 2023 года установлены?           
Ответ: Пожалуйста, выполните следующие шаги:

1. Если Secure Boot Mode установлен на Standard, измените его на Custom.           

2. Нажмите OK.

3. Нажмите Expert Key Management. 

4. Выберите Key Exchange Key (KEK) > Details.

5. Убедитесь, что в KEK Management присутствует "Microsoft Corporation KEK 2K CA 2023".

6. Выберите Authorized Signatures (db) > Details.

7. Убедитесь, что в DB Management содержатся все следующие элементы: "Windows UEFI CA 2023", "Microsoft UEFI CA 2023" и "Microsoft Option ROM UEFI CA 2023"

.