ใบรับรอง Secure Boot ของ Windows หมดอายุและการอัปเดตใบรับรอง
เนื่องจาก Windows เริ่มสนับสนุน Secure Boot อุปกรณ์ Windows ส่วนใหญ่ได้ใช้ชุดใบรับรองของ Microsoft ในฐานข้อมูล UEFI Secure Boot ใบรับรองเหล่านี้ที่ออกมาก่อนหน้านี้จะเริ่มหมดอายุทีละน้อยตั้งแต่ปี 2026 เพื่อรักษาความปลอดภัยในการ boot และความสมบูรณ์ของโซ่ความเชื่อถือ ระบบต้องได้รับการอัปเดตเป็นใบรับรอง Microsoft เวอร์ชัน 2023
หากระบบของคุณเปิดใช้งาน Secure Boot อยู่ กรุณาตรวจสอบให้แน่ใจว่าใบรับรองเหล่านี้ได้รับการอัปเดตก่อนหมดอายุในช่วงกลางปี 2026
สิ่งที่คุณต้องทำคืออะไร?
คุณเพียงแค่ต้องดำเนินการอัปเดตวิธีใดวิธีหนึ่งต่อไปนี้ และรอ Windows Boot Manager ใหม่:
(วิธีที่ 1) ผ่านการอัปเดต Windows อัตโนมัติ
เมื่อ「Windows Update」ถูกเปิดใช้งานและระบบมีการเปิดใช้ Secure Boot (โปรดดูที่ วิธีเปิดใช้งาน Secure Boot) อุปกรณ์ Windows ที่รองรับจะดาวน์โหลดและใช้ใบรับรอง Secure Boot ใหม่ พร้อม Boot Manager ใหม่โดยอัตโนมัติเมื่อถึงเวลาที่เหมาะสม
การอัปเดตฐานข้อมูล Secure Boot ใหม่ได้ทยอยปล่อยออกมาเป็นช่วงๆ ให้กับอุปกรณ์ที่เปิดใช้งาน Secure Boot ตั้งแต่ปี 2024 และจะดำเนินการอัปเดตอุปกรณ์โดยอัตโนมัติก่อนใบรับรองหมดอายุในเดือนมิถุนายน 2026
ผู้ใช้ที่มีการตั้งค่าเริ่มต้นโดยทั่วไปไม่จำเป็นต้องดำเนินการด้วยตนเองเพิ่มเติม
[เปิดใช้งาน Windows Update เพื่อรับใบรับรองใหม่] 
(วิธีที่ 2) อัปเดต UEFI BIOS ด้วยตนเอง
แจ้งเตือน: หลังจากอัปเดต BIOS แล้ว อาจมีการแจ้งให้ป้อน BitLocker recovery key เพื่อปลดล็อกและเข้าถึงระบบปฏิบัติการ สำหรับขั้นตอนโดยละเอียด กรุณาอ่านบทความนี้: วิธีค้นหา BitLocker Key
คุณยังสามารถปิดการเข้ารหัสอุปกรณ์และการเข้ารหัส BitLocker มาตรฐานก่อนอัปเดต BIOS และเปิดใช้งานการเข้ารหัสอีกครั้งหลังอัปเดต BIOS เพื่อปกป้องความปลอดภัยของข้อมูลของคุณ สำหรับขั้นตอนโดยละเอียด กรุณาอ่านบทความนี้: แนะนำการเข้ารหัสอุปกรณ์และการเข้ารหัส BitLocker มาตรฐาน
สำหรับเมนบอร์ด
คุณสามารถดาวน์โหลดและอัปเดตเวอร์ชันล่าสุดของ UEFI BIOS จากเว็บไซต์ทางการของ ASUS เพื่อรับใบรับรอง Secure Boot ที่อัปเดตแล้ว
วิธีนี้เหมาะสำหรับผู้ใช้ขั้นสูงที่คุ้นเคยกับขั้นตอนการอัปเดต BIOS หรือระบบที่ไม่สามารถรับการอัปเดตผ่าน Windows Update ได้ตามปกติ
1. ในการดาวน์โหลดและอัปเดตเวอร์ชันล่าสุดของ UEFI BIOS จากเว็บไซต์ทางการของ ASUS คุณสามารถดูได้ที่: วิธีอัปเดต BIOS
2. ล้าง Secure Boot Keys
2.1หลังจากอัปเดต BIOS และรีสตาร์ทระบบ ให้เข้าสู่ BIOS Setup อีกครั้ง ไปที่ Advanced\Boot > Secure Boot
หาก Secure Boot Mode เป็น Standard ให้เปลี่ยนเป็น Custom
2.2 คลิก Key Management
2.3 ดำเนินการ "Clear Secure Boot Keys"
คลิก [ใช่]
2.4 ยืนยันว่า UEFI Secure Boot keys (PK, KEK, DB, DBX) ทั้งหมดถูกล้างสำเร็จแล้ว
3. ติดตั้งคีย์ Secure Boot แบบค่าเริ่มต้น
3.1 หลังจากล้างคีย์ Secure Boot แล้ว ให้ดำเนินการ "ติดตั้งคีย์ Secure Boot แบบค่าเริ่มต้น" 
คลิก [ใช่].
3.2 ตรวจสอบว่า ขนาด/จำนวนคีย์สำหรับ PK/KEK/DB/DBX ไม่เป็น 0 และแหล่งคีย์คือ [ค่าเริ่มต้น] กระบวนการอัปเดตคีย์ UEFI Secure Boot ก็เสร็จสมบูรณ์
คำถาม & คำตอบ
คำถาม 1: วิธีตรวจสอบสถานะคีย์ UEFI Secure Boot?
คำตอบ: โปรดทำตามขั้นตอนนี้:
1. ในหน้าของ BIOS ไปที่ Advanced\Boot > Secure Boot > Key Management
2. เลือกรายการต่อไปนี้ตามลำดับ และเลือก "ลบคีย์":
➢ KEK Management
➢ DB Management
3. เลือก "ไม่" ในหน้าต่างแจ้งเตือน (หมายเหตุ: การดำเนินการนี้มีไว้แสดงข้อมูล Key เท่านั้น; หากเลือก "ใช่" จะเป็นการลบ Key)
4. ยืนยันว่า KEK Management มี "Microsoft Corporation KEK 2K CA 2023"
5. ยืนยันว่า DB Management มีทั้ง "Microsoft UEFI CA 2023" และ "Windows UEFI CA 2023"
สำหรับโน้ตบุ๊ก
คุณสามารถดาวน์โหลดและอัปเดต UEFI BIOS เป็นเวอร์ชันล่าสุดจากเว็บไซต์อย่างเป็นทางการของ ASUS เพื่อรับใบรับรอง Secure Boot ที่ได้รับการปรับปรุง
วิธีนี้เหมาะสำหรับผู้ใช้ระดับสูงที่มีความคุ้นเคยกับกระบวนการอัปเดต UEFI BIOS
1. ดาวน์โหลดและอัปเดต UEFI BIOS เป็นเวอร์ชันล่าสุดจากเว็บไซต์อย่างเป็นทางการของ ASUS คุณสามารถดูได้ที่: วิธีการอัปเดต BIOS ใน Windows.
2. รีเซ็ตเป็นโหมด Setup
2.1 หลังจากอัปเดต BIOS ให้รีสตาร์ทระบบและเข้าสู่ BIOS Setup อีกครั้ง ไปที่ Advanced\Boot > Secure Boot.
2.2 คลิกที่ Key Management.
2.3 ดำเนินการ "รีเซ็ตเป็นโหมด Setup".
2.4 คลิก [ใช่].
2.5 ยืนยันว่าคีย์ Secure Boot ของ UEFI ทั้งหมด (PK, KEK, DB, DBX) ถูกลบเรียบร้อยแล้ว.
3. คืนค่าคีย์โรงงาน
3.1 ดำเนินการ "คืนค่าคีย์โรงงาน".
3.2 คลิก [ใช่].
3.3 ตรวจสอบว่า ขนาด/จำนวนของคีย์สำหรับ PK/KEK/DB/DBX ไม่เป็นศูนย์
ขั้นตอนการอัปเดต UEFI Secure Boot Keys เสร็จสมบูรณ์แล้ว
ถาม-ตอบ
คำถาม 1: ฉันจะตรวจสอบสถานะของ UEFI Secure Boot Keys ได้อย่างไร?
คำตอบ: กรุณาทำตามขั้นตอนดังนี้:
1. ที่หน้า BIOS ไปที่ Advanced\Boot > Secure Boot > Key Management
2. เลือกรายการแต่ละรายการต่อไปนี้แล้วคลิก "รายละเอียด":
➢ Key Exchange Keys (KEK)
➢ Authorized Signatures (db)
3. ยืนยันว่า Key Exchange Keys (KEK) ประกอบด้วย "Microsoft Corporation KEK 2K CA 2023"
4. ยืนยันว่า Authorized Signatures (db) ประกอบด้วยทั้ง "Microsoft UEFI CA 2023" และ "Windows UEFI CA 2023"
สำหรับ AIOT
ผู้ใช้สามารถดาวน์โหลดและอัปเดตเวอร์ชันล่าสุดของ UEFI BIOS จากเว็บไซต์ทางการของ ASUS เพื่อรับใบรับรอง Secure Boot ที่อัปเดต วิธีนี้เหมาะสำหรับผู้ใช้ขั้นสูงที่คุ้นเคยกับกระบวนการอัปเดต BIOS หรือสำหรับระบบที่ไม่สามารถรับการอัปเดตผ่าน Windows Update ได้อย่างถูกต้อง
ดาวน์โหลดและอัปเดตเวอร์ชันล่าสุดของ UEFI BIOS จากเว็บไซต์ทางการของ ASUS AIoT สำหรับคำแนะนำ คุณสามารถดูได้ที่:
1. ดาวน์โหลดและอัปเดตเวอร์ชันล่าสุดของ UEFI BIOS จากเว็บไซต์ทางการของ ASUS AIoT สำหรับคำแนะนำ คุณสามารถดูได้ที่: วิธีอัปเดต BIOS
2. ติดตั้ง Default Secure Boot Keys:
2.1 หลังจากอัปเดต BIOS ให้รีสตาร์ทระบบ แล้วเข้าสู่ BIOS Setup utility อีกครั้ง จากนั้นไปที่ Security > Secure Boot
2.2 หาก Secure Boot Mode ถูกตั้งค่าเป็น Custom กรุณาเปลี่ยนเป็น Standard
2.3 คลิก OK (เพื่อดำเนินการ "ติดตั้งค่าจากโรงงานใน Key Management")
2.4 คลิก Expert Key Management
2.5 ตรวจสอบว่า ขนาด/จำนวนคีย์ของ PK, KEK, DB และ DBX ไม่เป็นศูนย์
ถาม-ตอบ
คำถาม 1: ฉันจะตรวจสอบสถานะของ UEFI Secure Boot Keys เพื่อยืนยันว่ามีการติดตั้งใบรับรอง Microsoft ปี 2023 แล้วได้อย่างไร?
คำตอบ: กรุณาทำตามขั้นตอนด้านล่าง:
1. หาก Secure Boot Mode ถูกตั้งค่าเป็น Standard ให้เปลี่ยนเป็น Custom 
2. คลิกตกลง
3. คลิก Expert Key Management
4. เลือก Key Exchange Key (KEK) > รายละเอียด
5. ตรวจสอบว่า KEK Management มี "Microsoft Corporation KEK 2K CA 2023"
6. เลือก Authorized Signatures (db) > รายละเอียด
7. ตรวจสอบว่า DB Management มีข้อมูลดังต่อไปนี้: "Windows UEFI CA 2023", "Microsoft UEFI CA 2023", และ "Microsoft Option ROM UEFI CA 2023"