หมดอายุของใบรับรอง Windows Secure Boot และการอัปเดตใบรับรอง

เนื่องจาก Windows เริ่มรองรับ Secure Boot อุปกรณ์ Windows ส่วนใหญ่จึงใช้ชุดใบรับรองของ Microsoft ในฐานข้อมูล UEFI Secure Boot ซึ่งใบรับรองเหล่านี้ในเวอร์ชันก่อนหน้าจะเริ่มหมดอายุตั้งแต่ปี 2026 เป็นต้นไป เพื่อรักษาความปลอดภัยในการ boot และความถูกต้องของห่วงโซ่ความเชื่อถือ ระบบจำเป็นต้องอัปเดตเป็นใบรับรองของ Microsoft เวอร์ชัน 2023

หากระบบของคุณเปิดใช้งาน Secure Boot อยู่ในปัจจุบัน กรุณาตรวจสอบให้แน่ใจว่าใบรับรองเหล่านี้ได้รับการอัปเดตก่อนที่จะหมดอายุในช่วงกลางปี 2026

 

Microsoft แนะนำให้ดำเนินการอัปเดตใบรับรอง Secure Boot ผ่าน Windows update

สำหรับผู้ใช้ส่วนใหญ่ การอัปเดตที่จำเป็นจะถูกส่งให้อัตโนมัติผ่าน Windows Updates โดยไม่ต้องดำเนินการใด ๆ

สามารถตรวจสอบได้ว่าได้รับการอัปเดตสำเร็จหรือไม่ ผ่านแอป Windows Security ตามที่อธิบายไว้ใน สถานะการอัปเดตใบรับรอง Secure Boot ในแอป Windows Security

เมื่อ「Windows Update」ถูกเปิดใช้งานและระบบได้เปิดใช้งาน Secure Boot (กรุณาอ้างอิง วิธีเปิดใช้งาน Secure Boot) อุปกรณ์ Windows ที่รองรับจะดาวน์โหลดและติดตั้งใบรับรอง Secure Boot ใหม่และ Boot Manager ใหม่โดยอัตโนมัติในเวลาที่เหมาะสม

การอัปเดตฐานข้อมูล Secure Boot ใหม่นี้ได้ทยอยปล่อยให้กับอุปกรณ์ที่เปิดใช้งาน Secure Boot ตั้งแต่ปี 2024 และจะดำเนินการอัปเดตอุปกรณ์โดยอัตโนมัติให้เสร็จก่อนที่ใบรับรองจะหมดอายุในเดือนมิถุนายน 2026

[เปิดใช้งาน Windows Update เพื่อรับใบรับรองใหม่]

 

ถาม-ตอบ

คำถามที่ 1: ฉันจะตรวจสอบสถานะของ UEFI Secure Boot ได้อย่างไร?

คำตอบที่ 1: กรุณาทำตามขั้นตอนด้านล่าง:

  1. ในแถบค้นหา Windows ให้พิมพ์ Windows Security 
  2. เลือก [Device security] จากเมนูด้านซ้ายมือ ใต้ [Secure boot] คุณจะเห็นตัวบ่งชี้สถานะ ไอคอน Secure boot จะมีเครื่องหมายสีเขียว เหลือง หรือแดง ซึ่งแต่ละสีแสดงถึงสถานะปัจจุบันของ Secure boot บนอุปกรณ์ของคุณ

 

คำถามที่ 2: ควรทำอย่างไรหากไอคอน Secure boot เป็นสีเหลืองหรือแดง?

คำตอบที่ 2: กรุณาอ้างอิงขั้นตอนการแก้ไขปัญหาที่ระบุไว้ในบทความนี้: การแก้ไขปัญหา - ไอคอน Secure Boot แสดงเครื่องหมายสีเหลืองหรือแดง.

 

คำถาม 3: จะเกิดอะไรขึ้นหากอุปกรณ์ของฉันไม่ได้รับใบรับรอง Secure Boot ใหม่ก่อนที่ใบรับรองเดิมจะหมดอายุ?

คำตอบ 3: หลังจากใบรับรอง Secure Boot หมดอายุ อุปกรณ์ที่ยังไม่ได้รับใบรับรองปี 2023 ใหม่จะยังสามารถเริ่มระบบและทำงานได้ตามปกติ และการอัพเดต Windows มาตรฐานจะยังคงติดตั้งได้ อย่างไรก็ตาม อุปกรณ์เหล่านี้จะไม่สามารถรับการป้องกันความปลอดภัยใหม่ ๆ ในระหว่างกระบวนการบูตเริ่มต้น ซึ่งรวมถึงการอัปเดต Windows boot administrators, secure boot databases, revocation lists หรือมาตรการป้องกันช่องโหว่ที่ถูกค้นพบใหม่ในระดับบูต

เมื่อเวลาผ่านไป สิ่งนี้จะจำกัดการป้องกันอุปกรณ์จากภัยคุกคามใหม่ ๆ และอาจส่งผลกับกรณีที่ต้องอาศัยความน่าเชื่อถือของ secure boot เช่น การเสริมความปลอดภัยให้ BitLocker หรือ third-party boot loaders อุปกรณ์ Windows ส่วนใหญ่จะได้รับข้อมูลประจำตัวที่อัปเดตโดยอัตโนมัติ และผู้ผลิต OEM หลายรายก็จะมีการให้เฟิร์มแวร์อัปเดตเมื่อต้องการ การอัปเดตอุปกรณ์อยู่เสมอจะช่วยให้แน่ใจว่าอุปกรณ์ยังได้รับการปกป้องความปลอดภัยอย่างสมบูรณ์ที่ถูกออกแบบมาเพื่อการบูตอย่างปลอดภัย

 

คำถาม 4: มีผลอะไรหากปิดการใช้งาน secure boot บนอุปกรณ์?

คำตอบ 4: อุปกรณ์ที่ปิด secure boot จะไม่ได้รับข้อมูลประจำตัว secure boot ใหม่ในเฟิร์มแวร์ ดังนั้นจึงยังเสี่ยงต่อมัลแวร์ระดับบูต (เช่น bootkits) เพราะการป้องกันของ secure boot จะไม่ถูกบังคับใช้

 

คำถามที่ 5: หลังจากรีเซ็ตเฟิร์มแวร์กลับเป็นค่าดีฟอลต์แล้ว อุปกรณ์ไม่สามารถบูตได้ - เกิดอะไรขึ้น? ควรแก้ไขอย่างไร?

คำตอบที่ 5: หาก Windows ได้ใช้ boot manager ที่ลงนามในปี 2023 ไปแล้ว แต่เฟิร์มแวร์ถูกรีเซ็ตกลับเป็นค่าเริ่มต้นซึ่งไม่มีใบรับรอง Windows UEFI CA 2023 secure boot จะบล็อกกระบวนการบูต

คุณสามารถดูข้อมูลได้ที่คำถามที่พบบ่อย:

[โน้ตบุ๊ก] การแก้ปัญหา - Secure Boot Violation Error ขณะเริ่มต้นระบบ

 

คำถามที่ 6: หากใบรับรอง Secure Boot ของอุปกรณ์หมดอายุแล้ว ยังสามารถรับใบรับรองที่อัปเดตได้หรือไม่?

คำตอบที่ 6: ได้ แม้ว่าข้อมูลรับรองเดิมจะหมดอายุแล้ว แต่ยังสามารถอัปเดตแบบสะสมที่มีข้อมูลรับรอง secure boot ใหม่ได้ หากอุปกรณ์สามารถเริ่ม Windows และติดตั้งการอัปเดตได้ ข้อมูลรับรองที่อัปเดตจะถูกเขียนเข้าไปในเฟิร์มแวร์ตามแนวทางการปรับใช้ที่ประกาศไว้ อุปกรณ์ส่วนใหญ่จะได้รับการอัปเดตเหล่านี้โดยอัตโนมัติ แต่บางระบบอาจต้องการอัปเดตเฟิร์มแวร์เพิ่มเติม

 

คำถามที่ 7: วิธีตรวจสอบสถานะของ UEFI Secure Boot Keys?

คำตอบที่ 7: โปรดทำตามขั้นตอนดังต่อไปนี้:

  1. พิมพ์ PowerShell ในช่องค้นหาของระบบ Windows 
    ในการค้นหา ให้คลิกที่ไอคอน Windows PowerShell และเลือก Run as Administrator 
  2. ยืนยันว่า Key Exchange Key (KEK) มี "Microsoft Corporation KEK 2K CA 2023" 
    กรอก [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' 
    ถ้าขึ้นว่า True แสดงว่ามี "Microsoft Corporation KEK 2K CA 2023" อยู่ 
  3. ยืนยันว่า Signature Databases (DB) มี "Windows UEFI CA 2023" 
    กรอก [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' 
    ถ้าขึ้นว่า True แสดงว่ามี "Windows UEFI CA 2023" อยู่ 
  4. ยืนยันว่า Signature Databases (DB) มี "Microsoft UEFI CA 2023" 
    กรอก [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023' 
    ถ้าขึ้นว่า True แสดงว่ามี "Microsoft UEFI CA 2023" อยู่ 

 

คำถาม 8: ฉันควรทำอย่างไรหากพบข้อความแสดงข้อผิดพลาด TPM WMI (Event ID: 1801) ใน Event Viewer?

คำตอบ 8: สาเหตุของข้อความแสดงข้อผิดพลาดนี้เกิดจากข้อมูลรับรอง secure boot ได้รับการอัปเดตแล้ว แต่ยังไม่ถูกนำไปใช้กับเฟิร์มแวร์ของอุปกรณ์

กรุณาเรียกใช้ Windows Update ก่อน เพื่อให้แน่ใจว่า OS build เป็น 26100.6725 หรือใหม่กว่า แล้วดำเนินการตามขั้นตอนที่ระบุไว้ในคำถามที่ 2

ประวัติการอัปเดต Windows 11 เวอร์ชัน 25H2

 

คำถาม 9: ฉันควรทำอย่างไรหากพบข้อความแสดงข้อผิดพลาด TPM WMI (Event ID: 1802) ใน Event Viewer?

คำตอบ 9: สาเหตุของข้อความแสดงข้อผิดพลาดนี้เกิดจากการบล็อกอัปเดต boot โดยเจตนา เนื่องจากอุปกรณ์มีเงื่อนไขเฟิร์มแวร์หรือฮาร์ดแวร์ที่เป็นที่รู้จัก ซึ่งจะป้องกันไม่ให้อัปเดตเสร็จสมบูรณ์อย่างปลอดภัย

โปรดแจ้งปัญหาผ่านศูนย์บริการ ASUS

 

คำถาม 10: ฉันควรทำอย่างไรหากพบข้อความแสดงข้อผิดพลาด TPM WMI (Event ID: 1803) ใน Event Viewer?

คำตอบ 10: สาเหตุของข้อความแสดงข้อผิดพลาดนี้คืออุปกรณ์ไม่สามารถค้นหา Key Exchange Key (KEK) ที่ลงนามโดย PK ได้

โปรดแจ้งปัญหาผ่านศูนย์บริการ ASUS

 

 

อ้างอิง:

วันหมดอายุใบรับรอง Windows Secure Boot และการอัปเดต CA - ฝ่ายสนับสนุน Microsoft  
สถานะการอัปเดตใบรับรอง Secure Boot ในแอป Windows Security  
คำถามที่พบบ่อยเกี่ยวกับกระบวนการอัปเดต Secure Boot - ฝ่ายสนับสนุน Microsoft  
เหตุการณ์อัปเดตตัวแปร Secure Boot DB และ DBX - ฝ่ายสนับสนุน Microsoft  
ประวัติการอัปเดต Windows 11, เวอร์ชัน 25H2 - ฝ่ายสนับสนุน Microsoft