Закінчення терміну дії сертифікатів Windows Secure Boot та оновлення сертифікатів

Оскільки Windows почав підтримувати Secure Boot, більшість пристроїв Windows використовують серію сертифікатів Microsoft у базі даних UEFI Secure Boot. Ці попередні сертифікати почнуть поступово втрачати чинність з 2026 року. Щоб зберегти безпеку завантаження та цілісність ланцюга довіри, системи потребують оновлення до версії сертифікатів Microsoft 2023 року.

Якщо у вашій системі наразі ввімкнено Secure Boot, будь ласка, переконайтеся, що ці сертифікати оновлені до їх спливу в середині 2026 року.

 

Що вам потрібно зробити?           
Вам потрібно виконати лише один із наведених нижче методів оновлення та дочекатися нового Windows Boot Manager:           
 

(Метод I) Через Автоматичне Оновлення Windows

Коли увімкнено「Windows Update」і в системі активовано Secure Boot (див. як увімкнути Secure Boot), підтримувані пристрої Windows автоматично завантажать і застосують нові сертифікати Secure Boot і новий Boot Manager у відповідний час.

Оновлення нової бази даних Secure Boot впроваджується поетапно на пристрої з увімкненим Secure Boot з 2024 року та автоматично завершує оновлення пристрою до завершення дії сертифіката у червні 2026 року.

Користувачам із налаштуваннями за замовчуванням зазвичай не потрібно виконувати додаткових ручних дій.

[Увімкніть Windows Update для отримання нових сертифікатів]           

 

 

 

(Спосіб II) Оновлення UEFI BIOS вручну

Примітка: Після оновлення BIOS може з’явитися запит на введення ключа відновлення BitLocker для розблокування та доступу до операційної системи. Детальні кроки дивіться в цій статті: Як знайти ключ BitLocker.
Ви також можете вимкнути Device Encryption та стандартне шифрування BitLocker перед оновленням BIOS, а після оновлення BIOS знову увімкнути шифрування для захисту безпеки даних. Детальні кроки дивіться в цій статті: Вступ до Device Encryption та стандартного шифрування BitLocker.

Для материнської плати    

Ви також можете завантажити та оновити останню версію UEFI BIOS з офіційного сайту ASUS для отримання оновлених сертифікатів Secure Boot.

Цей спосіб більше підходить для досвідчених користувачів, які знайомі з процесом оновлення BIOS, або для систем, які не можуть отримати оновлення через Windows Update.

1. Щоб завантажити та оновити до останньої версії UEFI BIOS з офіційного сайту ASUS, ви можете звернутися до: Як оновити BIOS

2. Очистити Secure Boot Keys           
2.1 Після оновлення BIOS і перезавантаження системи, знову увійдіть до BIOS Setup, перейдіть в Advanced\Boot > Secure Boot.

Якщо Secure Boot Mode встановлено як Standard, змініть на Custom.

2.2 Натисніть Key Management.

2.3 Виконайте "Clear Secure Boot Keys".

Натисніть [Так].

2.4 Переконайтеся, що всі UEFI Secure Boot ключі (PK, KEK, DB, DBX) успішно очищено.

3. Встановити стандартні Secure Boot Keys           
3.1 Після очищення Secure Boot Keys, виконайте "Встановити стандартні Secure Boot Keys".           

Натисніть [Так].

3.2 Перевірте, що Розмір/Кількість ключів для PK/KEK/DB/DBX не дорівнює 0, а Джерело ключа — [За замовчуванням]. Після цього процес оновлення UEFI Secure Boot Keys завершено.

 

Питання та відповіді           
Питання 1: Як перевірити статус UEFI Secure Boot Keys?           
Відповідь: Будь ласка, дотримуйтесь наступних кроків:           
1. На сторінці BIOS перейдіть до Advanced\Boot > Secure Boot > Key Management.           
2. Виберіть відповідні пункти та потім виберіть "Видалити ключі":           
➢ Управління KEK           
➢ Управління DB

3. Виберіть "Ні" у вікні підказки. (Примітка: ця операція лише для відображення інформації про Key; вибір "Так" видалить Key.)

4. Переконайтеся, що у KEK Management міститься "Microsoft Corporation KEK 2K CA 2023".

5. Переконайтеся, що у DB Management містяться як "Microsoft UEFI CA 2023", так і "Windows UEFI CA 2023".

Для ноутбука

Ви також можете завантажити та оновити UEFI BIOS до останньої версії з офіційного сайту ASUS, щоб отримати оновлені сертифікати Secure Boot.           
Цей метод більше підходить для досвідчених користувачів, які знайомі з процесом оновлення UEFI BIOS.           
1. Завантажте та оновіть UEFI BIOS до останньої версії з офіційного сайту ASUS. Ви можете переглянути: Як оновити BIOS у Windows.           
2. Скидання до режиму налаштування           
2.1 Після оновлення BIOS, перезавантажте систему та знову увійдіть у BIOS Setup. Перейдіть до Додатково\Завантаження > Захищене завантаження.           
2.2 Натисніть Керування ключами.

2.3 Виконайте "Скидання до режиму налаштування".

2.4 Натисніть [Так].

 

 

2.5 Переконайтеся, що всі UEFI ключі Secure Boot (PK, KEK, DB, DBX) були успішно очищені.

3. Відновити заводські ключі           
3.1 Виконайте "Відновити заводські ключі".

          
3.2 Натисніть [Так].

3.3 Переконайтеся, що Розмір/Кількість ключів для PK/KEK/DB/DBX не дорівнює нулю.             
Процес оновлення UEFI Secure Boot Keys завершено.

            
 

Питання та відповіді             
Питання 1: Як перевірити статус UEFI Secure Boot Keys?             
Відповідь: Будь ласка, виконайте наступні кроки:             
1. На сторінці BIOS перейдіть у Advanced\Boot > Secure Boot > Key Management.             
2. Оберіть кожен із наступних пунктів і натисніть "Details":             
➢ Key Exchange Keys (KEK)             
➢ Authorized Signatures (db)

3. Підтвердіть, що Ключі обміну ключами (KEK) містять "Microsoft Corporation KEK 2K CA 2023".

4. Підтвердіть, що Авторизовані підписи (db) містять як "Microsoft UEFI CA 2023", так і "Windows UEFI CA 2023".

Для AIOT

Користувачі можуть завантажити та оновити до останньої версії UEFI BIOS з офіційного сайту ASUS, щоб отримати оновлені сертифікати Secure Boot. Цей метод більше підходить для досвідчених користувачів, знайомих з процесом оновлення BIOS, або для систем, які не можуть отримати оновлення коректно через Windows Update.

Завантажте та оновіть до останньої версії UEFI BIOS з офіційного сайту ASUS AIoT. Інструкцію можна знайти за посиланням:            
1. Завантажте та оновіть до останньої версії UEFI BIOS з офіційного сайту ASUS AIoT. Інструкцію можна знайти за посиланням: Як оновити BIOS           
2. Встановіть стандартні ключі Secure Boot:           
2.1 Після оновлення BIOS перезавантажте систему. Знову увійдіть до утиліти налаштування BIOS і перейдіть у Security > Secure Boot.

2.2 Якщо режим Secure Boot Mode встановлено як Custom, будь ласка, змініть на Standard.

2.3 Натисніть OK (щоб застосувати «Встановити заводські налаштування в Key Management»)

2.4 Натисніть Expert Key Management.

2.5 Переконайтеся, що Size/Number of Keys для PK, KEK, DB та DBX не дорівнює нулю.

 

Питання і відповіді           
Питання 1: Як перевірити статус UEFI Secure Boot Keys, щоб підтвердити, що сертифікати Microsoft 2023 встановлені?           
Відповідь: Будь ласка, дотримуйтесь наведених нижче кроків:

1. Якщо Secure Boot Mode встановлено як Standard, змініть на Custom.           

2. Натисніть OK.

3. Натисніть Expert Key Management. 

4. Виберіть Key Exchange Key (KEK) > Деталі.

5. Переконайтеся, що у KEK Management є "Microsoft Corporation KEK 2K CA 2023".

6. Виберіть Authorized Signatures (db) > Деталі.

7. Переконайтеся, що у DB Management містяться всі наступні: "Windows UEFI CA 2023", "Microsoft UEFI CA 2023" і "Microsoft Option ROM UEFI CA 2023".