Windows Secure Boot sertifika süresinin dolması ve sertifika güncellemeleri

Windows, Secure Boot'u desteklemeye başladığından beri, çoğu Windows cihazı UEFI Secure Boot veritabanında bir dizi Microsoft sertifikası kullanmıştır. Bu eski sertifikalar, 2026'dan itibaren yavaş yavaş süresi dolmaya başlayacaktır. Önyükleme güvenliğini ve güven zinciri bütünlüğünü korumak için, sistemlerin Microsoft sertifikalarının 2023 sürümüne güncellenmesi gerekmektedir.

Eğer sisteminizde şu anda Secure Boot etkinse, bu sertifikaların 2026 ortasında süresi dolmadan önce güncellendiğinden emin olun.

 

Ne Yapmanız Gerekiyor?           
Aşağıdaki güncelleme yöntemlerinden birini tamamlamanız ve yeni Windows Boot Manager'ı beklemeniz yeterlidir:           
 

(Yöntem I) Windows Otomatik Güncelleme ile

「Windows Update」aktif olduğunda ve sistemde Secure Boot etkinleştirildiğinde (lütfen Secure Boot nasıl etkinleştirilir kısmına bakın), desteklenen Windows cihazları uygun zamanda yeni Secure Boot sertifikalarını ve yeni Boot Manager'ı otomatik olarak indirip uygular.

Yeni Secure Boot veritabanı güncellemesi, 2024'ten itibaren Secure Boot etkin cihazlara aşamalar halinde sunulmuş olup, sertifika Haziran 2026'da süresi dolmadan önce cihaz güncellemesi otomatik olarak tamamlanacaktır.

Varsayılan ayara sahip kullanıcıların genellikle ek manuel işlem yapmasına gerek yoktur.

[Yeni sertifikaları almak için Windows Update'i etkinleştir]           

 

 

 

(Yöntem II) UEFI BIOS'u Manuel Olarak Güncelle

Not: BIOS güncellendikten sonra, işletim sistemine erişmek ve kilidini açmak için BitLocker kurtarma anahtarını girmeniz istenebilir. Detaylı adımlar için lütfen bu makaleye bakınız: BitLocker Anahtarı Nasıl Bulunur.
BIOS'u güncellemeden önce Cihaz Şifrelemesi ve Standart BitLocker Şifrelemesini devre dışı bırakabilir, BIOS güncellemesinden sonra şifrelemeyi tekrar etkinleştirerek veri güvenliğinizi koruyabilirsiniz. Detaylı adımlar için lütfen bu makaleye bakınız: Cihaz Şifrelemesi ve Standart BitLocker Şifrelemesine Giriş.

Anakart için    

ASUS resmi web sitesinden en son UEFI BIOS sürümünü indirip güncelleyerek güncellenmiş Secure Boot sertifikalarını alabilirsiniz.

Bu yöntem, BIOS güncelleme sürecine aşina olan ileri düzey kullanıcılar veya güncellemeleri Windows Update üzerinden normal şekilde alamayan sistemler için daha uygundur.

1. ASUS resmi web sitesinden en son UEFI BIOS sürümünü indirmek ve güncellemek için şu adrese başvurabilirsiniz: BIOS Nasıl Güncellenir

2. Secure Boot Anahtarlarını Temizle           
2.1 BIOS'u güncelledikten ve sistemi yeniden başlattıktan sonra tekrar BIOS Setup'a girin, Gelişmiş\Boot > Secure Boot bölümüne gidin.

Eğer Secure Boot Modu Standard ise, Custom olarak değiştirin.

2.2 Key Management'e tıklayın.

2.3 "Clear Secure Boot Keys" işlemini gerçekleştirin.

[Evet]'e tıklayın.

2.4 Tüm UEFI Secure Boot anahtarlarının (PK, KEK, DB, DBX) başarıyla temizlendiğini doğrulayın.

3. Varsayılan Güvenli Boot Anahtarlarını Yükle           
3.1 Güvenli Boot Anahtarlarını temizledikten sonra, "Varsayılan Güvenli Boot Anahtarlarını Yükle" işlemini uygulayın.           

[Evet] öğesine tıklayın.

3.2 PK/KEK/DB/DBX için Anahtarların Boyutu/Sayısının 0 olmadığını ve Anahtar Kaynağının [Varsayılan] olduğunu kontrol edin. Sonrasında UEFI Güvenli Boot Anahtarları güncelleme işlemi tamamlanır.

 

S&C           
Soru 1: UEFI Güvenli Boot Anahtarları Durumu Nasıl Kontrol Edilir?           
Cevap: Lütfen şu adımları takip edin:           
1. BIOS sayfasında, Gelişmiş\Boot > Secure Boot > Key Management bölümüne gidin.           
2. Sırasıyla aşağıdaki öğeleri seçin ve ardından "Anahtarları Sil" seçeneğini seçin:           
➢ KEK Yönetimi           
➢ DB Yönetimi

3. İstemi penceresinde "Hayır"ı seçin. [Not: Bu işlem sadece Anahtar bilgisini göstermek içindir; "Evet" seçilirse Anahtar silinir.]

4. KEK Yönetiminin "Microsoft Corporation KEK 2K CA 2023" içerdiğini onaylayın.

5. DB Yönetiminin hem "Microsoft UEFI CA 2023" hem de "Windows UEFI CA 2023" içerdiğini onaylayın.

Dizüstü bilgisayar için

UEFI BIOS'u, güncellenmiş Secure Boot sertifikalarını elde etmek için resmi ASUS web sitesinden en son sürüme indirip güncelleyebilirsiniz.           
Bu yöntem, UEFI BIOS güncelleme sürecine aşina olan ileri düzey kullanıcılar için daha uygundur.           
1. UEFI BIOS'u resmi ASUS web sitesinden en son sürüme indirin ve güncelleyin. Şuraya bakabilirsiniz: BIOS’u Windows’da nasıl güncellenir.           
2. Kurulum Moduna Sıfırla           
2.1 BIOS güncellendikten sonra, sistemi yeniden başlatın ve BIOS Kurulumuna tekrar giriş yapın. Gelişmiş\Boot > Secure Boot bölümüne gidin.           
2.2 Anahtar Yönetimini tıklayın.

2.3 "Kurulum Moduna Sıfırla" işlemini gerçekleştirin.

2.4 [Evet]’i tıklayın.

 

 

2.5 Tüm UEFI Secure Boot anahtarlarının (PK, KEK, DB, DBX) başarıyla temizlendiğini doğrulayın.

3. Fabrika Anahtarlarını Geri Yükle           
3.1 "Fabrika Anahtarlarını Geri Yükle" işlemini gerçekleştirin.

          
3.2 [Evet]’i tıklayın.

3.3 PK/KEK/DB/DBX için Boyut/Key Sayısının sıfır olmadığını kontrol edin.           
UEFI Güvenli Boot Anahtarları güncelleme işlemi şimdi tamamlandı.

          
 

Sıkça Sorulan Sorular           
Soru 1: UEFI Güvenli Boot Anahtarlarının durumunu nasıl kontrol edebilirim?           
Cevap: Lütfen aşağıdaki adımları takip edin:           
1. BIOS sayfasında, Advanced\Boot > Secure Boot > Key Management bölümüne gidin.           
2. Her bir aşağıdaki öğeyi seçin ve ardından "Detaylar"ı tıklayın:           
➢ Anahtar Değişim Anahtarları (KEK)           
➢ Yetkilendirilmiş İmzalar (db)

3. Key Exchange Keys (KEK) içinde "Microsoft Corporation KEK 2K CA 2023" olduğunu doğrulayın.

4. Authorized Signatures (db) içinde hem "Microsoft UEFI CA 2023" hem de "Windows UEFI CA 2023" olduğunu doğrulayın.

AIOT için

Kullanıcılar, güncellenmiş Secure Boot sertifikalarını edinmek için en güncel UEFI BIOS sürümünü resmi ASUS web sitesinden indirip güncelleyebilir. Bu yöntem, BIOS güncelleme sürecine aşina olan ileri düzey kullanıcılar veya Windows Update ile düzgün şekilde güncelleme alamayan sistemler için daha uygundur.

En güncel UEFI BIOS sürümünü resmi ASUS AIoT web sitesinden indirip güncelleyebilirsiniz. Talimatlar için şuna başvurabilirsiniz:            
1. En güncel UEFI BIOS sürümünü resmi ASUS AIoT web sitesinden indirip güncelleyebilirsiniz. Talimatlar için şuna başvurabilirsiniz: BIOS Nasıl Güncellenir           
2. Varsayılan Secure Boot Anahtarlarını Yükleyin:           
2.1 BIOS güncellendikten sonra sistemi yeniden başlatın. BIOS Setup aracına tekrar girin ve Güvenlik > Secure Boot bölümüne gidin.

2.2 Eğer Secure Boot Modu Custom olarak ayarlanmışsa, lütfen bunu Standard olarak değiştirin.

2.3 OK'e tıklayın ("Key Management içinde fabrika varsayılanını yükle"yi uygulamak için)

2.4 Expert Key Management'a tıklayın.

2.5 PK, KEK, DB ve DBX için Anahtarların Boyutu/Sayısının sıfır olmadığını doğrulayın.

 

S&C           
Soru 1: UEFI Secure Boot Anahtarlarının durumunu nasıl kontrol edebilirim ve 2023 Microsoft sertifikalarının yüklendiğini nasıl onaylayabilirim?           
Cevap: Lütfen aşağıdaki adımları takip edin:

1. Eğer Secure Boot Modu Standard olarak ayarlandıysa, Custom'a değiştirin.           

2. Tamam'a tıklayın.

3. Uzman Anahtar Yönetimi'ne tıklayın. 

4. Anahtar Değişim Anahtarı (KEK) > Ayrıntılar'ı seçin.

5. KEK Yönetimi'nin "Microsoft Corporation KEK 2K CA 2023" içerdiğini doğrulayın.

6. Yetkili İmzalar (db) > Ayrıntılar'ı seçin.

7. DB Yönetimi'nin aşağıdakilerin tümünü içerdiğini doğrulayın: "Windows UEFI CA 2023", "Microsoft UEFI CA 2023" ve "Microsoft Option ROM UEFI CA 2023".