[Ticari PC] Windows Secure Boot Sertifika Güncellemesi Duyurusu

Bölüm 1. Arka Plan

Microsoft, Windows sistemlerinde kullanılan “Güvenli Boot” sertifikalarını 2026 yılından itibaren aşamalı olarak değiştirmeyi planlamaktadır. Güvenli Boot sertifikaları, zararlı yazılımların—örneğin bootkitlerin—başlatma sürecinde yükleyici eklemesini önlemek için tasarlanmıştır ve bu şekilde boot ortamının bütünlüğünü sağlar.

Şu anda kullanılan sertifikalar—“Microsoft Corporation KEK CA 2011” ve “Microsoft Windows Production PCA 2011”—yakında sona erecek. Eğer bu sertifikalar “Microsoft Corporation KEK 2K CA 2023” ve “Windows UEFI CA 2023” ile güncellenmezse, cihazlar Windows Boot Manager ve diğer kritik güvenlik bileşenleri için güncelleme alamayacaktır.

Ticari bilgisayarınızın güvenli boot korumasından ve sürekli sistem güncellemelerinden faydalanmaya devam etmesi için, lütfen aşağıdaki rehberi takip ederek cihaz durumunu doğrulayınız.

 

Bölüm 2. Cihazım Etkilendi mi?

2.1 Etkilenmedi (Yeni Sertifika Varsayılan Olarak Destekleniyor)

2024 veya daha sonra sevk edilen tüm iş bilgisayarlarında ve gelecekteki tüm yeni modellerde yeni Güvenli Boot sertifikası önceden entegre edilmiştir. Manuel güncelleme gerekmemektedir.

Dizüstü bilgisayarlar (NB): Aşağıdaki modeller ve 2024 sonrası çıkan tüm seriler.

Model Adı
BM3406CGA
BM3606CGA
PM5406CGA
PM5606CGA
BM3406CHA
BM3606CHA
PM3406CHA
PM3606CHA
PM3406CKAZ
PM3406CKA
PM3606CKA
PM1403CDA
PM1503CDA
B5405CCA
B3405CCA
B5605CCA
B3605CCA
P3405CVA
P3605CVA
B5605CVA
B3605CVA
B5405CVA
B3405CVA
BR1204FTA
BR1204CTA
BR1104FTA
BR1104CTA
B1403CTA
B1503CTA
B3402FVA
BM1403CDA
BM1503CDA
B1403CVA
B1503CVA
P1403CVA
P1503CVA
P5405CSA

 

Masaüstü Bilgisayarlar: Aşağıdaki modeller ve 2024 sonrası piyasaya sürülen tüm seriler.

Model Adı
P500SV
V500SV
PM700MK
PM700SK
D900MF
D900SF
T701MF
D700MF
T500MV
P500MV
D700MER
D700ME
X500MA
D701MER
S701TER
D901MDR
D500TER
D700TER
D901SDR
S501MER
PD500TE
G15DS
D800MDR
G16CH
G13CH
S501ME
D500TE
D700TE
G35CA
D900MD
D500SD
D500MD
D700MD
D500TD
D700TD
G15CF
D900MC
D500SC
D700SC
D500TC
D700TC
PD500TC
G10CE
G35CG
GA35DX
D700SF
V500MV
D501MER
D701SER
D501SER
T501MV
D900MDR
D800SDR
D900SDR
S502ME
S502MER
D500MER
D500SER
D700SER
D900SC
D900SD
G35DX
S501MC
S502MD
S500TD
S501MD
S500TC
S500MC
S700SC
D700MC
S500MD
S500SC
S500SD
D701TC
D700SD
D500SE
D500ME
D700SE

 

Tümleşik (AIO): Aşağıdaki modeller ve 2024'ten sonra piyasaya sürülen tüm seriler.

Model Adı
PM640KA
PM670KA

 

2.2 Güncelleme Gerektiren Modeller

Modeliniz yukarıda listelenmediyse, bu cihazın şu anda eski sertifikayı kullandığı ve güncellenmesi gerektiği anlamına gelir.

 

Güncellemeyi Nasıl Alabilirim?

Etkilenen modeller için, ASUS yeni sertifika başvurusunu tamamladı. Güncelleme, Microsoft tarafından Windows Update ile otomatik olarak iletilecektir.

 

Önerilen işlem: Ayarlar > Windows Update'e gidin ve otomatik güncellemelerin etkin olduğundan emin olun.

Otomatik kurulum: Sistem, en son güvenlik sertifikasını otomatik olarak indirip kuracaktır—manuel araçlara veya indirmelere gerek yoktur.

 

Bölüm 3. Microsoft Üçüncü Taraf Secure Boot Sertifikaları: İşlevsellik ve Gereklilik

Bu bölüm, Microsoft üçüncü taraf Secure Boot sertifikalarını açıklar. Cihazınızın Windows dışı ortamlar ([örneğin, Linux]) veya üçüncü taraf donanımlar ([örneğin, harici GPU'lar]) çalıştırması gerekiyorsa, lütfen aşağıdakileri gözden geçirin.

3.1 Microsoft 3. Taraf Sertifika Genel Bakış

Orijinal SertifikaGüncellenmiş SertifikaAçıklama
Microsoft Corporation UEFI CA 2011Microsoft UEFI CA 2023

Bu, Windows ortamı dışında çalışan [üçüncü taraf uygulamaları veya işletim sistemleri] ([örneğin Linux]) imzalamak için "[başlatma işlemi sırasında]" kullanılan isteğe bağlı bir sertifikadır.

Eğer bu tür kullanım senaryoları [uygun değil] ise gerekli değildir.

Microsoft Option ROM UEFI CA 2023Bu, [harici donanımın Option ROM'larını] "[başlatma işlemi sırasında]" imzalamak için kullanılan isteğe bağlı bir sertifikadır.   
Eğer [üçüncü taraf donanım] ([örneğin harici GPU]) sistem başlatma sürecinde gerekli değilse, bu sertifika [uygun değil].

 

3.2 Eğer Microsoft [üçüncü taraf sertifikaları] gerekiyorsa, lütfen aşağıdaki talimatlara bakınız

[Not]: Ticari bilgisayarınızda Windows BitLocker etkinse, lütfen herhangi bir Secure Boot işlemi gerçekleştirmeden önce aşağıdaki talimatları takip ederek önceden askıya alın.

 

[Bölüm 4. BIOS Sertifika Durumunu Kontrol Etme ve Güncellemeleri Belirleme]

2026 yılında sevk edilen cihazlar zaten bu sertifikaları içermektedir. Üçüncü taraf sertifika seçeneklerini doğrulamak veya yapılandırmak için BIOS Setup'a girebilirsiniz (başlangıç sırasında F2 tuşuna basın).

 

Ayrıca, üçüncü taraf sertifikaların mevcut olup olmadığını doğrulamak için Bölüm 8.3’e başvurabilirsiniz. Eğer dahil edilmemişse, lütfen BIOS’u en son sürüme güncelleyin ve Bölüm 5. SOP 1: Güvenli Boot Sertifikalarını Güncelle talimatlarını izleyin.

 

Gerekli üçüncü taraf sertifikalar hala görünmüyorsa, lütfen Bölüm 6. SOP 2: Güvenli Boot Sertifikalarını Ekle adımına geçin.

 

Güvenli Boot anahtarlarını sıfırlamak, Windows’a boot ettiğinizde aşağıdaki ekranın görünmesine yol açarsa, lütfen Bölüm 7. SOP 3: Güvenli Boot Sertifikalarını Geri Yükle talimatlarını takip edin.

 

Referanslar

  1. https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
  2. https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e

 

Bölüm 5. SOP 1: Secure Boot Sertifikalarını Güncelle

Operasyon Öncesi Notlar:

  1. Manuel güncelleme işlemi sırasında olası veri kaybını önlemek için bilgisayarınızdaki tüm verilerin önceden yedeklenmesi şiddetle tavsiye edilir.
  2. BitLocker etkinse, aşağıdaki adımlara geçmeden önce lütfen BitLocker'ın askıya alındığından emin olun. İşlem tamamlandıktan sonra BitLocker tekrar etkinleştirilebilir.
  3. BitLocker'ın askıya alınmaması kilitlenme durumuna yol açabilir. BitLocker'ın şifreli Windows sürücüsünü otomatik olarak açamaması durumunda bir kurtarma anahtarı gerekecektir. Bu anahtar, sabit diskinize tekrar erişim sağlayabilmeniz için kullanılan 48 basamaklı bir sayısal koddur. Aşağıda açıklanan prosedürlere aşina değilseniz, lütfen yardım için bizimle iletişime geçin.

BitLocker kurtarma anahtarınızı almak için lütfen şu makaleye bakınız: BitLocker Kurtarma Anahtarınızı Nasıl Geri Alırsınız.

 

Prosedür Adımları

  1. Sistemi açın veya yeniden başlatın, ardından BIOS kurulumu için F2 tuşuna basın.   
    F7 tuşuna basarak Gelişmiş Moda geçin, ardından Güvenlik > Secure Boot (veya doğrudan Güvenlik > Secure Boot) menüsüne gidin.   
  2. Anahtar Yönetimini seçin.   
  3. Yetkili İmzaları (db) seçin.   
  4. Güncelleştir seçeneğini seçin.   
  5. Evet seçeneğini seçin.   
      
    Not: “Evet” seçeneğini seçmek, ilgili sertifikaları fabrika varsayılan ayarlarına geri yükleyecektir. Sistem veya kullanıcı tarafından daha önce eklenen tüm sertifikalar kaldırılacaktır.
  6. Yetkili İmzalar (db) sertifikalarının başarıyla güncellendiğini doğrulamak için Ayrıntılar seçeneğini seçin.   
  7. F10 tuşuna basarak Kaydet & Çıkış yapın.
  8. Eğer BitLocker daha önce askıya alındıysa, lütfen yeniden etkinleştirildiğinden emin olun.

 

Bölüm 6. SOP 2: Secure Boot Sertifikalarını Ekle
6.1 Microsoft UEFI CA 2023 Ekle
  1. Microsoft UEFI CA 2023'ü indir: https://go.microsoft.com/fwlink/?linkid=2239872 ve bir USB sürücüsünün kök dizinine kaydet (örn., “D:\microsoft uefi ca 2023.crt”).
  2. Sistemi aç veya yeniden başlat, ardından BIOS kurulumuna girmek için F2 tuşuna bas.   
    F7 tuşuna basarak Gelişmiş Mod'a geç, ardından Güvenlik > Secure Boot (veya doğrudan Güvenlik > Secure Boot) bölümüne git.   
  3. Anahtar Yönetimini seç.   
  4. Yetkili İmzaları (db) Seçin.   
  5. Ekle'yi seçin.   
  6. Hayır'ı seçin.   
  7. USB Sürücüyü seçin.   
  8. Kök dizinde bulunan dosyayı bulun ve seçin: “microsoft uefi ca 2023.crt”.
  9. Genel Anahtar Sertifikası'nı seçin, ardından GUID onay ekranında Enter tuşuna basın.   
  10. Evet'i seçin.   
  11. Microsoft UEFI CA 2023'ün Yetkili İmzalar (db) altında listelendiğini doğrulayın.   
  12. Kaydetmek ve Çıkmak için F10'a basın.
  13. Eğer BitLocker daha önce askıya alındıysa, lütfen tekrar etkinleştirildiğinden emin olun.

 

6.2 Microsoft Option ROM UEFI CA 2023 Ekle
  1. Microsoft Option ROM UEFI CA 2023'ü indir: https://go.microsoft.com/fwlink/?linkid=2284009 ve bir USB sürücüsünün kök dizinine kaydet (örn., “D:\microsoft option rom uefi ca 2023.crt”).
  2. Sistemi aç veya yeniden başlat, ardından BIOS kurulumuna girmek için F2 tuşuna bas.   
    Gelişmiş Moda geçmek için F7'ye bas, ardından Güvenlik > Güvenli Önyükleme (ya da doğrudan Güvenlik > Güvenli Önyükleme) yolunu izle.   
  3. Anahtar Yönetimini seç.   
  4. Yetkili İmzalar (db) seç.   
  5. Eklemeyi seç.   
  6. Hayır'ı seçin.
     
     
  1. USB Sürücüyü seçin.Kök dizinde saklanan dosyayı bulun ve seçin: “microsoft option rom uefi ca 2023.crt”.Genel Anahtar Sertifikasını seçin, ardından GUID onay ekranında Enter tuşuna basın.
     
  2. Evet'i seçin
     
  3. Microsoft Option ROM UEFI CA 2023'ün artık Yetkili İmzalar (db) altında listelendiğini doğrulayın.

     
  4. F10 tuşuna basarak Kaydedin & Çıkın.BitLocker daha önce askıya alınmışsa, lütfen tekrar etkinleştirildiğinden emin olun.

 

Bölüm 7. SOP 3: Secure Boot Sertifikalarını Geri Yükleme

Windows UEFI CA 2023'ü indirin: https://go.microsoft.com/fwlink/?linkid=2239776 ve bir USB sürücüsünün kök dizinine kaydedin (örneğin, “D:\windows uefi ca 2023.crt”).

  • Sistemi açın veya yeniden başlatın, ardından BIOS kurulumuna girmek için F2 tuşuna basın.   
    Gelişmiş Mod’a geçmek için F7’ye basın, ardından Güvenlik > Secure Boot (veya doğrudan Güvenlik > Secure Boot) bölümüne gidin.   
  • Anahtar Yönetimini seçin.   
  • Yetkili İmzalar (db) seçeneğini seçin.   
  • Ekle'yi seçin.   
  • Hayır’ı seçin.   
  • USB sürücüsünü seçin.
  • Kök dizinde saklanan dosyayı bulun ve seçin: "windows uefi ca 2023.crt".
  • Açık Anahtar Sertifikası’nı seçin, ardından GUID onay ekranında Enter tuşuna basın.   
  • Evet’i seçin.   
  • Şu anda Yetkili İmzalar (db) altında Windows UEFI CA 2023'ün listelendiğini doğrulayın.   
  • Kaydetmek ve Çıkmak için F10 tuşuna basın.
  • Eğer BitLocker etkinse, BitLocker kurtarma anahtarınızı hazır bulundurduğunuzdan emin olun.

 

Bölüm 8. PowerShell Sertifika Doğrulama Yöntemi

UEFI Güvenli Boot Anahtar Durumu nasıl doğrulanır? Aşağıdaki prosedürler Windows BitLocker durumunu etkilemez.

8.1 Ön Adımlar

Windows arama çubuğuna PowerShell girin.

Arama sonuçlarından, Windows PowerShell'e sağ tıklayın ve Yönetici olarak çalıştır'ı seçin.

 

8.2 Microsoft Windows Güvenli Boot Sertifikalarının Doğrulanması

  1. Anahtar Değişim Anahtarı'nın (KEK) "“Microsoft Corporation KEK 2K CA 2023”" içerdiğini doğrulayın.  
    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'  
    Sonuç True ise, "Microsoft Corporation KEK 2K CA 2023" sertifikasının mevcut olduğunu gösterir.  
  2. Signature Databases (DB) içinde "Windows UEFI CA 2023" olduğundan emin olun.  
    Çalıştır: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'  
    Sonuç True ise, "Windows UEFI CA 2023" sertifikasının mevcut olduğunu gösterir.  

 

8.3 Microsoft 3. Parti Secure Boot Sertifikalarını Doğrulama

  1. Signature Databases (DB) içinde "Microsoft UEFI CA 2023" olduğundan emin olun.  
    Çalıştır: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'  
    Sonuç True ise, "Microsoft UEFI CA 2023" sertifikasının mevcut olduğunu gösterir.  
  2. Signature Databases (DB) içinde "Microsoft Option ROM UEFI CA 2023" olduğundan emin olun.  
    Çalıştır: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Option ROM UEFI CA 2023' True sonucu, "Microsoft Option ROM UEFI CA 2023" sertifikasının mevcut olduğunu gösterir.