การหมดอายุใบรับรอง Secure Boot ของ Windows และการอัปเดตใบรับรอง | การสนับสนุนอย่างเป็นทางการ

FAQ

การหมดอายุใบรับรอง Secure Boot ของ Windows และการอัปเดตใบรับรอง

ตั้งแต่ที่ Windows เริ่มรองรับ Secure Boot อุปกรณ์ Windows ส่วนใหญ่ได้ใช้ชุดใบรับรองของ Microsoft ในฐานข้อมูล UEFI Secure Boot ใบรับรองเหล่านี้ในรุ่นก่อน ๆ จะเริ่มหมดอายุตั้งแต่ปี 2026 เป็นต้นไป เพื่อรักษาความปลอดภัยการบูตและความสมบูรณ์ของห่วงโซ่ความเชื่อถือ จำเป็นต้องอัปเดตระบบให้ใช้ใบรับรอง Microsoft เวอร์ชันปี 2023

หากระบบของคุณเปิดใช้งาน Secure Boot อยู่ กรุณาตรวจสอบให้แน่ใจว่าใบรับรองเหล่านี้ได้รับการอัปเดต ก่อนที่จะหมดอายุในช่วงกลางปี 2026

Microsoft แนะนำให้อัปเดตใบรับรอง Secure Boot ผ่าน Windows update

สำหรับผู้ใช้ส่วนใหญ่ การอัปเดตที่จำเป็นจะถูกส่งให้อัตโนมัติผ่าน Windows Updates โดยไม่ต้องดำเนินการใด ๆ

สามารถตรวจสอบได้ว่าการอัปเดตได้รับสำเร็จหรือไม่ ผ่านแอป Windows Security ตามที่อธิบายไว้ใน สถานะการอัปเดตใบรับรอง Secure Boot ในแอป Windows Security

เมื่อเปิดใช้「Windows Update」และระบบเปิดใช้งาน Secure Boot แล้ว (โปรดดู วิธีเปิดใช้งาน Secure Boot) อุปกรณ์ Windows ที่รองรับจะดาวน์โหลดและติดตั้งใบรับรอง Secure Boot ใหม่ และ Boot Manager ใหม่โดยอัตโนมัติในเวลาที่เหมาะสม

การอัปเดตฐานข้อมูล Secure Boot ใหม่นี้ ได้ถูกนำไปใช้กับอุปกรณ์ที่เปิด Secure Boot เริ่มตั้งแต่ปี 2024 และจะดำเนินการอัปเดตอุปกรณ์โดยอัตโนมัติก่อนที่ใบรับรองจะหมดอายุในเดือนมิถุนายน 2026

[เปิดใช้งาน Windows Update เพื่อรับใบรับรองใหม่]

ถาม & ตอบ

คำถาม 1: ฉันจะตรวจสอบสถานะของ UEFI Secure Boot ได้อย่างไร?

คำตอบ 1: กรุณาทำตามขั้นตอนด้านล่างนี้:

ในแถบค้นหาของ Windows ให้พิมพ์ Windows Security.
เลือก [Device security] จากเมนูฝั่งซ้าย ภายใต้ [Secure boot] คุณจะเห็นตัวบ่งชี้สถานะ ไอคอน Secure boot จะมีเครื่องหมายสีเขียว เหลือง หรือแดง ซึ่งแต่ละสีจะแสดงถึงสถานะปัจจุบันของ Secure boot บนอุปกรณ์ของคุณ

คำถาม 2: หากไอคอน Secure boot เป็นสีเหลืองหรือสีแดงควรทำอย่างไร?

คำตอบ 2: กรุณาทำตามขั้นตอนด้านล่างนี้:

Run Windows Update และตรวจสอบให้แน่ใจว่า OS build เป็น 26100.6725 หรือใหม่กว่า
ประวัติการอัปเดต Windows 11, เวอร์ชัน 25H2 - ฝ่ายสนับสนุนของ Microsoft
ในแถบค้นหา Windows ให้พิมพ์ Windows PowerShell.
จากผลการค้นหา ให้คลิกขวาที่ Windows PowerShell แล้วเลือก Run as Administrator.
ใส่คำสั่งต่อไปนี้:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0X5944 /f
จากนั้นใส่คำสั่งต่อไปนี้:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
รีสตาร์ทคอมพิวเตอร์ของคุณ
หลังจาก reboot ให้เปิด Windows PowerShell อีกครั้ง as an administrator.
ใส่คำสั่งต่อไปนี้อีกครั้ง:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
รีสตาร์ทคอมพิวเตอร์ของคุณอีกครั้งหนึ่ง
ตรวจสอบว่าไอคอน Secure Boot เปลี่ยนเป็นสีเขียวแล้ว ซึ่งหมายความว่า Secure Boot ได้ถูกเปิดใช้งานและทำงานถูกต้องเรียบร้อยแล้ว

คำถามที่ 3: จะเกิดอะไรขึ้นหากอุปกรณ์ของฉันไม่ได้รับใบรับรอง Secure Boot ใหม่ก่อนที่ใบรับรองเก่าจะหมดอายุ?

คำตอบที่ 3: หลังจากใบรับรอง Secure Boot หมดอายุ อุปกรณ์ที่ยังไม่ได้รับใบรับรองใหม่ปี 2023 ยังสามารถบูตและใช้งานได้ตามปกติ และจะยังคงได้รับการอัปเดต Windows ตามปกติ อย่างไรก็ตาม อุปกรณ์เหล่านี้จะไม่สามารถรับการป้องกันความปลอดภัยใหม่ ๆ ระหว่างขั้นตอนการบูตเริ่มต้นได้ เช่น การอัปเดต Windows boot administrators, secure boot databases, revocation lists หรือมาตรการบรรเทาภัยคุกคามใหม่ที่ตรวจพบในระดับการบูต

เมื่อเวลาผ่านไป สิ่งนี้จะจำกัดการป้องกันของอุปกรณ์ต่อภัยคุกคามใหม่ ๆ และอาจส่งผลต่อสถานการณ์ที่ต้องอาศัยความเชื่อถือของ Secure Boot เช่น การเสริมความปลอดภัยของ BitLocker หรือการใช้งานตัวโหลดบูตของผู้ผลิตรายอื่น อุปกรณ์ Windows ส่วนใหญ่จะได้รับข้อมูลประจำตัวที่อัปเดตโดยอัตโนมัติ และผู้ผลิต OEM หลายรายก็จะปล่อยเฟิร์มแวร์อัปเดตเมื่อจำเป็น การอัปเดตอุปกรณ์อยู่เสมอจะช่วยให้ได้รับการป้องกันความปลอดภัยที่สมบูรณ์ตามที่ออกแบบไว้สำหรับการบูตอย่างปลอดภัย

คำถามที่ 4: ผลกระทบของการปิดอุปกรณ์ secure boot มีอะไรบ้าง?

คำตอบที่ 4: อุปกรณ์ที่ปิด secure boot จะไม่ได้รับข้อมูลรับรอง secure boot ใหม่ในเฟิร์มแวร์ ดังนั้นอุปกรณ์เหล่านี้ยังคงมีความเสี่ยงต่อมัลแวร์ในชั้น boot (เช่น bootkits) เนื่องจากไม่ได้บังคับใช้การป้องกันของ secure boot

คำถามที่ 5: หลังจากรีเซ็ตเฟิร์มแวร์กลับค่าเริ่มต้น อุปกรณ์ไม่สามารถ boot ได้ - เกิดอะไรขึ้น และควรแก้ไขอย่างไร?

คำตอบที่ 5: ถ้า Windows ได้ใช้ signed boot manager ปี 2023 แล้ว แต่เฟิร์มแวร์ถูกรีเซ็ตกลับค่า default ซึ่งไม่มีใบรับรอง Windows UEFI CA 2023, secure boot จะบล็อคกระบวนการ boot

คุณสามารถดูข้อมูลได้ที่ FAQ:

[โน้ตบุ๊ก] วิธีแก้ไขปัญหา - ข้อผิดพลาด Secure Boot Violation ขณะเริ่มต้นระบบ

คำถามที่ 6: หากใบรับรอง Secure Boot ของอุปกรณ์หมดอายุแล้ว ยังจะได้รับใบรับรองที่อัปเดตได้หรือไม่?

คำตอบที่ 6: ได้ แม้ว่าข้อมูลรับรองปัจจุบันจะหมดอายุแล้ว อัปเดตสะสมที่มีข้อมูลรับรอง secure boot ใหม่ก็ยังสามารถติดตั้งได้ ถ้าอุปกรณ์สามารถเริ่ม Windows และติดตั้งอัปเดตได้ ข้อมูลรับรองที่อัปเดตจะถูกเขียนลงในเฟิร์มแวร์ตามแนวทางการปรับใช้ที่ประกาศไว้ อุปกรณ์ส่วนใหญ่จะได้รับอัปเดตนี้โดยอัตโนมัติ แต่อาจมีบางระบบที่ต้องการอัปเดตเฟิร์มแวร์เพิ่มเติม

คำถามที่ 7: วิธีตรวจสอบสถานะของ UEFI Secure Boot Keys?

คำตอบที่ 7: กรุณาอ้างอิงตามขั้นตอนดังต่อไปนี้:

พิมพ์ PowerShell ในช่องค้นหาระบบ Windows
ในผลลัพธ์การค้นหา คลิกที่ไอคอน Windows PowerShell และเลือก Run as Administrator
ยืนยันว่า Key Exchange Key (KEK) มี "Microsoft Corporation KEK 2K CA 2023"
พิมพ์ [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
หากปรากฏ True แสดงว่ามี "Microsoft Corporation KEK 2K CA 2023"
ยืนยันว่า Signature Databases (DB) มี "Windows UEFI CA 2023"
พิมพ์ [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
หากปรากฏ True แสดงว่ามี "Windows UEFI CA 2023"
ยืนยันว่า Signature Databases (DB) มี "Microsoft UEFI CA 2023"
พิมพ์ [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
หากปรากฏ True แสดงว่ามี "Microsoft UEFI CA 2023"

คำถาม 8: ควรทำอย่างไรหากพบข้อความแสดงข้อผิดพลาด TPM WMI (Event ID: 1801) ใน Event Viewer?

คำตอบ 8: สาเหตุของข้อความแสดงข้อผิดพลาดนี้คือข้อมูลรับรอง secure boot ได้รับการอัปเดตแล้ว แต่ยังไม่ได้ถูกนำไปใช้กับเฟิร์มแวร์ของอุปกรณ์

โปรดทำการอัปเดต Windows ก่อนเพื่อให้แน่ใจว่าเวอร์ชันของ OS เป็น 26100.6725 หรือใหม่กว่า จากนั้นดำเนินการตามขั้นตอนที่ระบุในคำถามที่ 2

ประวัติการอัปเดต Windows 11, รุ่น 25H2

คำถาม 9: ควรทำอย่างไรหากพบข้อความแสดงข้อผิดพลาด TPM WMI (Event ID: 1802) ใน Event Viewer?

คำตอบ 9: สาเหตุของข้อความแสดงข้อผิดพลาดนี้คือการอัปเดต boot ถูกบล็อกโดยตั้งใจเนื่องจากอุปกรณ์ตรงตามเงื่อนไขของเฟิร์มแวร์หรือฮาร์ดแวร์ที่รู้จัก ซึ่งจะป้องกันไม่ให้การอัปเดตเสร็จสิ้นอย่างปลอดภัย

โปรดแจ้งปัญหานี้ผ่านศูนย์บริการ ASUS

คำถาม 10: ควรทำอย่างไรหากพบข้อความแสดงข้อผิดพลาด TPM WMI (Event ID: 1803) ใน Event Viewer?

คำตอบที่ 10: สาเหตุของข้อความแสดงข้อผิดพลาดนี้คือ อุปกรณ์ไม่พบ Key Exchange Key (KEK) ที่ถูกเซ็นโดย PK

โปรดรายงานปัญหานี้ผ่านศูนย์บริการ ASUS

ข้อมูลอ้างอิง:

การหมดอายุใบรับรอง Secure Boot ของ Windows และการอัปเดต CA - Microsoft Support
สถานะการอัปเดตใบรับรอง Secure Boot ในแอปความปลอดภัยของ Windows
คำถามที่พบบ่อยเกี่ยวกับกระบวนการอัปเดต Secure Boot - Microsoft Support
เหตุการณ์การอัปเดตตัวแปร Secure Boot DB และ DBX - Microsoft Support
ประวัติการอัปเดต Windows 11 รุ่น 25H2 - Microsoft Support

ข้อมูลนี้มีประโยชน์หรือไม่?

Yes No

ติดต่อฝ่ายบริการให้ความช่วยเหลือ

โปรดติดต่อเราหากข้อมูลข้างต้นไม่สามารถแก้ปัญหาของคุณได้

Above information might be partly or entirely quoted from exterior websites or sources. please refer to the information based on the source that we noted. Please directly contact or inquire the sources if there is any further question and note that ASUS is neither relevant nor responsible for its content/service
This information may not suitable for all the products from the same category/series. Some of the screen shots and operations could be different from the software versions.
ASUS provides the above information for reference only. If you have any questions about the content, please contact the above product vendor directly. Please note that ASUS is not responsible for the content or service provided by the above product vendor.

ASUS ความช่วยเหลือ คำถามที่ถามบ่อย

กลับไปด้านบน