[商用電腦] Windows安全開機（Secure Boot）憑證更新公告

2.1 不受影響（已預設支援新憑證）

凡於2024年（含）以後出貨之商用電腦，以及所有未來上市之新機種，均已預先整合新版安全開機憑證，用戶無需進行任何手動更新。

筆記型電腦（NB）：以下型號機種及2024年後上市之全系列機種。

桌上型電腦（Desktop）：以下型號機種及2024年後上市之全系列機種。

All-in-One（AIO）：以下型號機種及2024年後上市之全系列機種。

2.2 需配合更新之機種

若您的型號不在上述清單中，代表該裝置目前使用舊版憑證，需透過更新升級。

如何獲取更新？

針對受影響之機種，華碩已完成新版憑證提交。更新程序將由微軟透過Windows Update自動推送。

操作建議：請前往「設定」>「Windows Update」，確保系統自動更新已開啟。

自動完成：系統會自動獲取並安裝最新的安全憑證，您無需手動下載任何工具。

此章節說明微軟（Microsoft）3rd party安全開機（Secure Boot）憑證，若您的商用電腦需在非Windows環境執行第三方App、作業系統（例如：Linux）或外接硬體（例如：外接獨立顯卡），請參照以下說明。

3.1 Microsoft 3rd Party憑證清單

3.2 若需要Microsoft 3rd Party憑證，請參考以下說明

注意：若您的商用電腦已啟用Windows BitLocker，請在操作Secure Boot前，依照下列指示將其暫停。

2026年出貨專案均有包含上述憑證，您可經由開機過程中按下F2，進入BIOS Setup選擇是否需要3rd party憑證，如下範例僅供參考：

另外您可經由章節8.3步驟確認是否包含3rd party憑證，若未包含，請將BIOS更新至最新版本，並且依照五、SOP 1：更新安全開機（Secure Boot）憑證。

若仍無法出現所需要的3rd party憑證，請依照六、SOP 2：新增安全開機（Secure Boot）憑證。

若因Reset Secure Boot key造成開機進入Windows時出現下列畫面，請依照七、SOP 3：恢復安全開機（Secure Boot）憑證。

參考資料

1. https://learn.microsoft.com/zh-tw/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
2. https://support.microsoft.com/zh-tw/topic/windows-%E5%AE%89%E5%85%A8%E9%96%8B%E6%A9%9F%E6%86%91%E8%AD%89%E5%88%B0%E6%9C%9F%E8%88%87-ca-%E6%9B%B4%E6%96%B0-7ff40d33-95dc-4c3c-8725-a9b95457578e

操作前注意事項：

1. 建議先備份電腦內的資料避免手動更新造成資料遺失。
2. 如果啟用了BitLocker，請先將其暫停，然後再執行以下步驟。流程完成後，您可以重新啟用BitLocker。
3. 若未關閉BitLocker可能會遇到金鑰鎖死的問題，當BitLocker無法自動解鎖Windows加密磁碟時，需要BitLocker的復原金鑰。這是一個48位數的號碼，可以讓你重新存取你的硬碟。若對以下執行不知如何操作，請與我們聯繫。

若需要取得BitLocker金鑰，請參考這篇文章：如何取得BitLocker金鑰。

操作步驟

1. 開機/重新開機，按下F2進入BIOS setup。 
   按下F7進入Advanced Mode\Security\Secure Boot（或是Security\Secure Boot）。 
   
2. 選擇Key Management。 
   
3. 選擇Authorized Signatures (db)。 
   
4. 選擇Update。 
   
5. 選擇Yes。 
      
   註：選擇「Yes」會將對應的憑證恢復到出廠預設設置，系統或使用者先前新增的任何憑證都會被刪除。
6. 選擇Details確認對應的Authorized Signatures (db)憑證已被更新。 
   
7. 按下F10 Save&Exit。
8. 若您的BitLocker已暫停，請重新啟用。

1. 下載Windows UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239776，並且存檔至USB隨身碟的根目錄（例如：“D:\ windows uefi ca 2023.crt”）。
2. 開機/重新開機，按下F2到BIOS setup。 
   按下F7進入Advanced Mode\Security\Secure Boot（或是Security\Secure Boot）。 
   
3. 選擇Key Management。 
   
4. 選擇Authorized Signatures (db)。 
   
5. 選擇Append。 
   
6. 選擇No。 
   
7. 選擇USB Drive。
8. 選擇根目錄下載的檔案：“windows uefi ca 2023.crt”。
9. 選擇Public Key Certificate，並且在GUID確認畫面中按下Enter。 
   
10. 選擇Yes。 
    
11. 確認Windows UEFI CA 2023已經在Authorized Signatures db。 
    
12. 按下F10 Save&Exit。
13. 若您有啟用BitLocker，請準備好BitLocker Recovery code。

如何查看UEFI Secure Boot Keys狀態？ 以下步驟不影響Windows BitLocker狀態。

8.1 前置步驟

在Windows系統搜索框中輸入PowerShell。

在搜索結果中，點擊Windows PowerShell圖示，選擇以管理員身份運行（Run as Administrator）。

8.2 檢查Microsoft Windows安全開機（Secure Boot）憑證

1. 確認Key Exchange Key (KEK)包含"Microsoft Corporation KEK 2K CA 2023"。 
   輸入[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'。 
   出現True就是有包含"Microsoft Corporation KEK 2K CA 2023"。 
   
2. 確認Signature Databases (DB)包含"Windows UEFI CA 2023"。 
   輸入[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'。 
   出現True就是有包含"Windows UEFI CA 2023"。 
   

8.3 檢查Microsoft 3rd Party安全開機（Secure Boot）憑證

1. 確認Signature Databases (DB)包含"Microsoft UEFI CA 2023"。 
   輸入[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'。 
   出現True就是有包含"Microsoft UEFI CA 2023"。 
   
2. 確認Signature Databases (DB)包含"Microsoft Option ROM UEFI CA 2023"。 
   輸入[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Microsoft Option ROM UEFI CA 2023'。 
   出現True就是有包含"Microsoft Option ROM UEFI CA 2023"。