[Commercial PC] ประกาศเกี่ยวกับการอัปเดตใบรับรอง Secure Boot ของ Windows

ส่วนที่ 1. ภูมิหลัง

Microsoft มีแผนจะทยอยเปลี่ยนใบรับรอง “Secure Boot” ที่ใช้ในระบบ Windows โดยจะเริ่มตั้งแต่ 2026 เป็นต้นไป ใบรับรอง Secure Boot มีจุดประสงค์เพื่อป้องกันซอฟต์แวร์ที่เป็นอันตราย เช่น bootkit จากการฝังตัวโหลดเดอร์ระหว่างกระบวนการเริ่มต้นเครื่อง ซึ่งจะช่วยให้มั่นใจถึงความสมบูรณ์ของสภาพแวดล้อมขณะ boot

ใบรับรองที่ใช้อยู่ในปัจจุบัน—“Microsoft Corporation KEK CA 2011” และ “Microsoft Windows Production PCA 2011”—กำลังจะหมดอายุ หากไม่ได้อัปเดตเป็นใบรับรองใหม่—“Microsoft Corporation KEK 2K CA 2023” และ “Windows UEFI CA 2023”—อุปกรณ์จะไม่สามารถรับอัปเดตสำหรับ Windows Boot Manager และองค์ประกอบด้านความปลอดภัยสำคัญอื่น ๆ ได้อีกต่อไป

เพื่อให้อุปกรณ์เชิงพาณิชย์ของคุณยังคงได้รับประโยชน์จากการป้องกัน secure boot และการอัปเดตระบบอย่างต่อเนื่อง กรุณาปฏิบัติตามคำแนะนำด้านล่างเพื่อยืนยันสถานะอุปกรณ์ของคุณ

 

ส่วนที่ 2. อุปกรณ์ของฉันได้รับผลกระทบหรือไม่?

2.1 ไม่ได้รับผลกระทบ (รองรับใบรับรองใหม่โดยอัตโนมัติ)

พีซีเชิงธุรกิจทั้งหมดที่จัดส่งในปี 2024 หรือหลังจากนั้น รวมถึงทุกรุ่นใหม่ในอนาคต จะมีการผสานใบรับรอง Secure Boot ใหม่ไว้ล่วงหน้า ไม่จำเป็นต้องอัปเดตด้วยตนเอง

แล็ปท็อป (NB): รุ่นต่อไปนี้ รวมถึงทุกรุ่นที่เปิดตัวหลังปี 2024

ชื่อรุ่น
BM3406CGA
BM3606CGA
PM5406CGA
PM5606CGA
BM3406CHA
BM3606CHA
PM3406CHA
PM3606CHA
PM3406CKAZ
PM3406CKA
PM3606CKA
PM1403CDA
PM1503CDA
B5405CCA
B3405CCA
B5605CCA
B3605CCA
P3405CVA
P3605CVA
B5605CVA
B3605CVA
B5405CVA
B3405CVA
BR1204FTA
BR1204CTA
BR1104FTA
BR1104CTA
B1403CTA
B1503CTA
B3402FVA
BM1403CDA
BM1503CDA
B1403CVA
B1503CVA
P1403CVA
P1503CVA
P5405CSA

 

เดสก์ท็อป: รุ่นต่อไปนี้ รวมถึงทุกรุ่นที่เปิดตัวหลังปี 2024

ชื่อรุ่น
P500SV
V500SV
PM700MK
PM700SK
D900MF
D900SF
T701MF
D700MF
T500MV
P500MV
D700MER
D700ME
X500MA
D701MER
S701TER
D901MDR
D500TER
D700TER
D901SDR
S501MER
PD500TE
G15DS
D800MDR
G16CH
G13CH
S501ME
D500TE
D700TE
G35CA
D900MD
D500SD
D500MD
D700MD
D500TD
D700TD
G15CF
D900MC
D500SC
D700SC
D500TC
D700TC
PD500TC
G10CE
G35CG
GA35DX
D700SF
V500MV
D501MER
D701SER
D501SER
T501MV
D900MDR
D800SDR
D900SDR
S502ME
S502MER
D500MER
D500SER
D700SER
D900SC
D900SD
G35DX
S501MC
S502MD
S500TD
S501MD
S500TC
S500MC
S700SC
D700MC
S500MD
S500SC
S500SD
D701TC
D700SD
D500SE
D500ME
D700SE

 

ออลอินวัน (AIO): รุ่นต่อไปนี้ รวมถึงทุกรุ่นที่เปิดตัวหลังปี 2024

ชื่อรุ่น
PM640KA
PM670KA

 

2.2 รุ่นที่ต้องอัปเดต

หากรุ่นของคุณไม่อยู่ในรายการข้างต้น หมายความว่าอุปกรณ์กำลังใช้งานใบรับรองเดิมและจำเป็นต้องอัปเดต

 

วิธีรับการอัปเดต

สำหรับรุ่นที่ได้รับผลกระทบ ASUS ได้ดำเนินการส่งใบรับรองใหม่เรียบร้อยแล้ว การอัปเดตจะถูกส่งโดยอัตโนมัติผ่าน Windows Update โดย Microsoft

 

แนะนำให้ดำเนินการ: ไปที่ การตั้งค่า > Windows Update และตรวจสอบให้แน่ใจว่าการอัปเดตอัตโนมัติเปิดใช้งานอยู่

การติดตั้งแบบอัตโนมัติ: ระบบจะดาวน์โหลดและติดตั้งใบรับรองความปลอดภัยล่าสุดโดยอัตโนมัติ—ไม่จำเป็นต้องใช้เครื่องมือหรือดาวน์โหลดด้วยตนเอง

 

ส่วนที่ 3. ใบรับรอง Secure Boot ของบุคคลที่สามของ Microsoft: ฟังก์ชันและความจำเป็น

ส่วนนี้อธิบายเกี่ยวกับใบรับรอง Secure Boot ของบุคคลที่สามของ Microsoft หากอุปกรณ์ของคุณต้องใช้งานสภาพแวดล้อมที่ไม่ใช่ Windows (เช่น Linux) หรือฮาร์ดแวร์ของบุคคลที่สาม (เช่น GPU ภายนอก) กรุณาตรวจสอบข้อมูลต่อไปนี้

3.1 ภาพรวมใบรับรองบุคคลที่สามของ Microsoft

ใบรับรองเดิมใบรับรองที่อัปเดตแล้วคำอธิบาย
Microsoft Corporation UEFI CA 2011Microsoft UEFI CA 2023

นี่คือใบรับรองที่เลือกใช้ [ในระหว่างกระบวนการ boot] เพื่อเซ็นชื่อ แอปพลิเคชันหรือระบบปฏิบัติการของบุคคลที่สาม (เช่น Linux) ที่ทำงานนอกสภาพแวดล้อมของ Windows.

ไม่จำเป็นต้องมีใบรับรองนี้หากกรณีการใช้งานดังกล่าว ไม่เกี่ยวข้อง.

Microsoft Option ROM UEFI CA 2023นี่คือใบรับรองที่เลือกใช้ [ในระหว่างกระบวนการ boot] เพื่อเซ็นชื่อ Option ROMs ของฮาร์ดแวร์ภายนอก.   
หากฮาร์ดแวร์ของบุคคลที่สาม (เช่น external GPU) ไม่จำเป็นสำหรับกระบวนการ boot ของระบบ ใบรับรองนี้ ไม่เกี่ยวข้อง.

 

3.2 หากต้องใช้ใบรับรอง Microsoft บุคคลที่สาม กรุณาอ้างอิงคำแนะนำดังต่อไปนี้

หมายเหตุ: หากคอมพิวเตอร์เชิงพาณิชย์ของคุณเปิดใช้งาน Windows BitLocker กรุณาระงับ BitLocker ล่วงหน้าโดยปฏิบัติตามคำแนะนำด้านล่างก่อนดำเนินการ Secure Boot

 

ส่วนที่ 4 ตรวจสอบสถานะใบรับรอง BIOS และตัดสินใจการอัปเดต

อุปกรณ์ที่จัดส่งในปี 2026 จะมีใบรับรองเหล่านี้อยู่แล้ว คุณสามารถเข้าสู่ BIOS Setup (กด F2 ระหว่างการเริ่มต้น) เพื่อยืนยันหรือกำหนดค่าตัวเลือกใบรับรองของบุคคลที่สาม

 

นอกจากนี้ คุณสามารถดูในส่วนที่ 8.3 เพื่อยืนยันว่าใบรับรองของบุคคลที่สามมีอยู่หรือไม่ หากไม่มีใบรับรองดังกล่าว กรุณาอัปเดต BIOS ให้เป็นเวอร์ชันล่าสุดและดำเนินการตาม ส่วนที่ 5. SOP 1: อัปเดตใบรับรอง Secure Boot

 

หากยังไม่พบใบรับรองของบุคคลที่สามที่ต้องการ กรุณาดำเนินการต่อที่ ส่วนที่ 6. SOP 2: เพิ่มใบรับรอง Secure Boot

 

ในกรณีที่การรีเซ็ตคีย์ Secure Boot ส่งผลให้หน้าจอต่อไปนี้ปรากฏเมื่อบูตเข้าสู่ Windows กรุณาดำเนินการตาม ส่วนที่ 7. SOP 3: กู้คืนใบรับรอง Secure Boot

 

ข้อมูลอ้างอิง

  1. https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
  2. https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e

 

ส่วนที่ 5. SOP 1: อัปเดตใบรับรอง Secure Boot

บันทึกก่อนดำเนินการ:

  1. ขอแนะนำให้สำรองข้อมูลทั้งหมดในคอมพิวเตอร์ของคุณล่วงหน้า เพื่อป้องกันการสูญเสียข้อมูลที่อาจเกิดขึ้นระหว่างกระบวนการอัปเดตแบบแมนนวล
  2. หาก BitLocker ถูกเปิดใช้งาน กรุณาตรวจสอบให้แน่ใจว่ามีการระงับการทำงานก่อนดำเนินขั้นตอนต่อไป เมื่อกระบวนการเสร็จสิ้น BitLocker สามารถเปิดใช้งานอีกครั้งได้
  3. หากไม่ได้ระงับ BitLocker อาจเกิดสถานการณ์ล็อคอินได้ ในกรณีที่ BitLocker ไม่สามารถปลดล็อกไดร์ฟ Windows ที่เข้ารหัสโดยอัตโนมัติ จะต้องใช้ recovery key ซึ่งเป็นรหัสตัวเลข 48 หลักที่ช่วยให้คุณเข้าถึงฮาร์ดไดรฟ์ได้อีกครั้ง หากคุณไม่คุ้นเคยกับขั้นตอนด้านล่าง กรุณาติดต่อเราเพื่อขอความช่วยเหลือ

หากคุณต้องการดึง recovery key ของ BitLocker กรุณาอ่านบทความ: วิธีดึงกุญแจ BitLocker Recovery ของคุณ.

 

ขั้นตอนการดำเนินการ

  1. เปิดเครื่องหรือรีสตาร์ทระบบ แล้วกด F2 เพื่อเข้าสู่การตั้งค่า BIOS   
    กด F7 เพื่อเปลี่ยนเป็นโหมดขั้นสูง จากนั้นไปที่ Security > Secure Boot (หรือไปที่ Security > Secure Boot โดยตรง)   
  2. เลือก Key Management   
  3. เลือก Authorized Signatures (db)   
  4. เลือก Update   
  5. เลือก Yes   
      
    หมายเหตุ: การเลือก “Yes” จะคืนใบรับรองที่เกี่ยวข้องให้เป็นการตั้งค่าจากโรงงานเดิม ใบรับรองใด ๆ ที่ถูกเพิ่มโดยระบบหรือผู้ใช้ก่อนหน้านี้จะถูกลบออก
  6. เลือก Details เพื่อตรวจสอบว่าใบรับรอง Authorized Signatures (db) ได้รับการอัปเดตเรียบร้อยแล้ว   
  7. กด F10 เพื่อบันทึกและออก
  8. หาก BitLocker ถูกระงับไว้ก่อนหน้านี้ กรุณาตรวจสอบให้แน่ใจว่าได้เปิดใช้งานอีกครั้ง

 

ส่วนที่ 6. SOP 2: เพิ่มใบรับรอง Secure Boot
6.1 เพิ่ม Microsoft UEFI CA 2023
  1. ดาวน์โหลด Microsoft UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239872 และบันทึกไฟล์ไว้ที่ไดเร็กทอรีหลักของ USB (ตัวอย่างเช่น “D:\microsoft uefi ca 2023.crt”)
  2. เปิดเครื่องหรือรีสตาร์ทระบบ จากนั้นกด F2 เพื่อเข้าสู่การตั้งค่า BIOS   
    กด F7 เพื่อเข้าสู่โหมดขั้นสูง จากนั้นไปที่ Security > Secure Boot (หรือไปที่ Security > Secure Boot โดยตรง)   
  3. เลือก Key Management   
  4. เลือก ลายเซ็นที่ได้รับอนุญาต (db).   
  5. เลือก Append.   
  6. เลือก No.   
  7. เลือก USB Drive.   
  8. ค้นหาและเลือกไฟล์ในไดเรกทอรีราก: “microsoft uefi ca 2023.crt”.
  9. เลือก Public Key Certificate แล้วกด Enter ที่หน้าจอยืนยัน GUID.   
  10. เลือก Yes.   
  11. ตรวจสอบว่า Microsoft UEFI CA 2023 ปรากฏในรายการลายเซ็นที่ได้รับอนุญาต (db).   
  12. กด F10 เพื่อบันทึก & ออกจากระบบ.
  13. If BitLocker [ถูกระงับไว้ก่อนหน้านี้] กรุณาตรวจสอบให้แน่ใจว่า [เปิดใช้งานอีกครั้งแล้ว]

 

6.2 เพิ่ม Microsoft Option ROM UEFI CA 2023
  1. ดาวน์โหลด Microsoft Option ROM UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2284009 และบันทึกไว้ที่ไดเรกทอรีหลักของไดรฟ์ USB (เช่น “D:\microsoft option rom uefi ca 2023.crt”)
  2. เปิดเครื่องหรือรีสตาร์ทระบบ แล้วกด F2 เพื่อเข้าสู่ BIOS setup   
    กด F7 เพื่อเข้าสู่โหมดขั้นสูง จากนั้นไปที่ Security > Secure Boot (หรือไปที่ Security > Secure Boot โดยตรง)   
  3. เลือก Key Management   
  4. เลือก Authorized Signatures (db)   
  5. เลือก Append   
  6. เลือกหมายเลข   
  7. เลือก USB Drive
  8. ค้นหาและเลือกไฟล์ที่เก็บอยู่ในไดเรกทอรีหลัก: “microsoft option rom uefi ca 2023.crt”
  9. เลือก Public Key Certificate แล้วกด Enter ที่หน้าจอยืนยัน GUID   
  10. เลือก ใช่   
  11. ตรวจสอบว่า Microsoft Option ROM UEFI CA 2023 ได้แสดงอยู่ภายใต้ลายเซ็นที่ได้รับอนุญาต (db) แล้ว   
  12. กด F10 เพื่อบันทึกและออก
  13. หาก BitLocker ถูกระงับก่อนหน้านี้ กรุณาตรวจสอบให้แน่ใจว่าได้เปิดใช้งานอีกครั้งแล้ว

 

ส่วนที่ 7. SOP 3: กู้คืน Secure Boot Certificates
  1. ดาวน์โหลด Windows UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239776 และบันทึกไว้ในไดเรกทอรีหลักของ USB drive (เช่น “D:\windows uefi ca 2023.crt”)
  2. เปิดเครื่องหรือรีสตาร์ทระบบ จากนั้นกด F2 เพื่อเข้าสู่การตั้งค่า BIOS   
    กด F7 เพื่อเปลี่ยนเป็นโหมดขั้นสูง แล้วไปที่ Security > Secure Boot (หรือไปที่ Security > Secure Boot โดยตรง)   
  3. เลือก Key Management   
  4. เลือก Authorized Signatures (db)   
  5. เลือก Append   
  6. เลือก No   
  7. เลือก USB drive
  8. ค้นหาและเลือกไฟล์ที่อยู่ใน root directory: "windows uefi ca 2023.crt"
  9. เลือก Public Key Certificate แล้วกด Enter บนหน้าจอ GUID ยืนยัน   
  10. เลือก Yes   
  11. ตรวจสอบว่า Windows UEFI CA 2023 ได้อยู่ในรายการภายใต้ลายเซ็นที่ได้รับอนุญาต (db) แล้ว   
  12. กด F10 เพื่อบันทึกและออก
  13. หากเปิดใช้งาน BitLocker อยู่ ให้แน่ใจว่าคุณมีคีย์การกู้คืน BitLocker ของคุณพร้อมใช้งาน

 

ส่วนที่ 8. วิธีการตรวจสอบใบรับรองด้วย PowerShell

วิธีตรวจสอบสถานะคีย์ UEFI Secure Boot? ขั้นตอนต่อไปนี้จะไม่ส่งผลต่อสถานะของ Windows BitLocker

8.1 ขั้นตอนเบื้องต้น

กรอก PowerShell ในแถบค้นหาของ Windows

จากผลลัพธ์การค้นหา ให้คลิกขวา Windows PowerShell และเลือก Run as Administrator

 

8.2 การตรวจสอบใบรับรอง Secure Boot ของ Microsoft Windows

  1. ยืนยันว่า Key Exchange Key (KEK) มี “Microsoft Corporation KEK 2K CA 2023” อยู่ในรายการ  
    Execute: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'  
    ผลลัพธ์ที่เป็น True หมายถึงใบรับรอง "Microsoft Corporation KEK 2K CA 2023" มีอยู่ในระบบ  
  2. ยืนยันว่า Signature Databases (DB) มี "Windows UEFI CA 2023" อยู่  
    Execute: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'  
    ผลลัพธ์ที่เป็น True หมายถึงใบรับรอง "Windows UEFI CA 2023" มีอยู่ในระบบ  

 

8.3 การตรวจสอบใบรับรอง Microsoft 3rd Party Secure Boot

  1. ยืนยันว่า Signature Databases (DB) มี "Microsoft UEFI CA 2023" อยู่  
    Execute: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'  
    ผลลัพธ์ที่เป็น True หมายถึงใบรับรอง "Microsoft UEFI CA 2023" มีอยู่ในระบบ  
  2. ยืนยันว่า Signature Databases (DB) มี "Microsoft Option ROM UEFI CA 2023" อยู่  
    ดำเนินการ: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Microsoft Option ROM UEFI CA 2023'  
    ผลลัพธ์เป็น True หมายความว่าใบรับรอง "Microsoft Option ROM UEFI CA 2023" มีอยู่