Срок действия сертификата Windows Secure Boot и обновления сертификатов

Ответ 1: Пожалуйста, выполните следующие шаги:

1. В строке поиска Windows введите Безопасность Windows. 
   
2. Выберите [Безопасность устройства] в левом меню. В разделе [Secure boot] Вы увидите индикатор статуса. Значок Secure boot отмечен зеленым, желтым или красным значком, каждый из которых отображает текущее состояние Secure boot на Вашей системе. 
   

Ответ 2: Пожалуйста, выполните следующие шаги:

1. Запустите Windows Update и убедитесь, что сборка ОС — 26100.6725 или новее. 
   Журнал обновлений Windows 11, версия 25H2 – Поддержка Microsoft
2. В строке поиска Windows введите Windows PowerShell. 
   В результатах поиска нажмите правой кнопкой мыши по Windows PowerShell и выберите Запуск от имени администратора. 
   
3. Введите следующую команду: 
   reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0X5944 /f 
   
4. Затем введите следующую команду: 
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" 
   
5. Перезагрузите компьютер.
6. После перезагрузки снова откройте Windows PowerShell от имени администратора.
7. Повторно введите следующую команду: 
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" 
   
8. Перезагрузите компьютер еще раз.
9. Убедитесь, что значок Secure Boot изменился на зеленый, что означает, что Secure Boot теперь включен и работает корректно.

Ответ 3: После истечения срока действия сертификата Secure Boot устройства, которые еще не получили новый сертификат 2023 года, все равно смогут загружаться и работать в обычном режиме, а стандартные обновления Windows продолжат устанавливаться. Однако такие устройства не смогут получать новые меры безопасности во время раннего этапа загрузки, включая обновление загрузочных администраторов Windows, баз данных Secure Boot, списков отзыва или мер по устранению недавно обнаруженных уязвимостей на уровне загрузки.

Со временем это ограничивает защиту устройства от новых угроз и может повлиять на сценарии, которые зависят от доверия Secure Boot, такие как усиление BitLocker или сторонние загрузчики. Большинство устройств Windows будут автоматически получать обновленные учетные данные, и многие производители OEM также предоставят обновления прошивки при необходимости. Постоянное обновление устройства помогает гарантировать, что оно сможет и дальше получать всю предусмотренную защиту при безопасной загрузке.

Ответ 4: Устройства, которые отключают Secure Boot, не будут получать новые Secure Boot-учетные данные в прошивке. Следовательно, они по-прежнему будут уязвимы для вредоносных программ на этапе загрузки (таких как bootkits), так как защита Secure Boot не применяется.

Ответ 5: Если Windows уже использовала подписанный загрузчик 2023 года, но в прошивке сброшено значение по умолчанию, которое не включает сертификат Windows UEFI CA 2023, Secure Boot заблокирует процесс загрузки.

Вы можете ознакомиться с FAQ:

[Ноутбук] Устранение неполадок - ошибка Secure Boot Violation при запуске

Ответ 6: Да. Даже если существующие учетные данные истекли, накопительные обновления, содержащие новые учетные данные Secure Boot, все равно могут быть применены. Если устройство может запустить Windows и установить обновления, обновленные учетные данные могут быть записаны в прошивку в соответствии с опубликованными рекомендациями по развертыванию. Большинство устройств получат эти обновления автоматически, но некоторым системам могут понадобиться дополнительные обновления прошивки.

Ответ 7: Пожалуйста, выполните следующие шаги:

1. Введите PowerShell в поле поиска системы Windows.
   В результатах поиска нажмите на иконку Windows PowerShell и выберите Запуск от имени администратора.
   
2. Убедитесь, что Key Exchange Key (KEK) содержит "Microsoft Corporation KEK 2K CA 2023"
   Введите [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
   Если появится True, это означает, что содержится "Microsoft Corporation KEK 2K CA 2023"
   
3. Убедитесь, что Signature Databases (DB) содержит "Windows UEFI CA 2023"
   Введите [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
   Если появится True, это означает, что содержится "Windows UEFI CA 2023"
   
4. Убедитесь, что Signature Databases (DB) содержит "Microsoft UEFI CA 2023"
   Введите [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
   Если появится True, это означает, что содержится "Microsoft UEFI CA 2023"
   

Ответ 8: Причина этого сообщения об ошибке заключается в том, что учетные данные Secure Boot были обновлены, но еще не применены к прошивке устройства.

Пожалуйста, сначала запустите Windows Update, чтобы убедиться, что сборка ОС — 26100.6725 или выше, а затем выполните шаги, описанные в Вопросе 2.

Журнал обновлений Windows 11, версия 25H2.

Ответ 9: Причина этого сообщения об ошибке в том, что обновление Secure Boot намеренно заблокировано, потому что устройство соответствует известным условиям прошивки или оборудования, что препятствует безопасному завершению обновления.

Пожалуйста, сообщите о проблеме через сервисный центр ASUS.

Ответ 10: Причина этого сообщения об ошибке заключается в том, что устройство не может найти Ключ обмена ключами (KEK), подписанный PK.

Пожалуйста, сообщите о проблеме через сервисный центр ASUS.