Если вашему ПК более двух лет, сертификаты Windows Secure Boot истекут в июне 2026 года. Вы перестанете получать обновления Secure Boot, что в конечном итоге может привести к проблемам с загрузкой. Хотя Microsoft постепенно развертывает новые сертификаты через Windows Update, вы можете избежать неопределенности, связанной с поэтапным развертыванием, следуя этому руководству, чтобы обновить сертификаты Secure Boot прямо сейчас.
Что такое сертификаты Secure Boot
Функция Secure Boot в UEFI компьютера гарантирует, что компьютер загружается только с помощью программного обеспечения с цифровой подписью от надежных производителей. Этот процесс аутентификации состоит из нескольких этапов, и первый и самый важный из них — использование открытых сертификатов для идентификации надежных производителей программного обеспечения еще до выполнения первой строки кода.
Для этого в прошивке UEFI вашего ПК хранится список сертификатов производителей, которые в основном работают как удостоверения личности, подтверждающие, что программное обеспечение поступает из надежного источника. Это помогает защитить систему от буткитов и руткитов, поскольку такое вредоносное ПО не будет работать без сертификатов от зарегистрированных производителей.
Почему необходимо обновлять сертификаты безопасной загрузки до последней версии
Сертификаты безопасной загрузки, как и все другие сертификаты, имеют срок действия. Большинство ПК, выпущенных до 2024 года, используют сертификаты Microsoft Corporation UEFI CA 2011, срок действия которых истекает в июне 2026 года. По истечении срока действия ваш ПК не будет получать Обновления Windows Boot Manager, что сделает его уязвимым для новых угроз. У вас также возникнут проблемы с использованием новейшего оборудования, подписанного новыми сертификатами.
Вам необходимо обновить сертификаты до последней версии Windows UEFI CA 2023. Фактически, Microsoft уже работает с OEM-производителями над активацией этих сертификатов через обновления Windows. Однако есть много причин, по которым вам может понадобиться активировать эти сертификаты вручную прямо сейчас. Ниже приведены наиболее распространенные из них:
- Нет гарантии, что Microsoft активирует сертификаты на вашем конкретном ПК до истечения срока их действия. Автоматическое развертывание основано на важности устройств; вам может придется ждать несколько месяцев (или активация никогда не произойдет).
- Старые сертификаты 2011 года уязвимы для буткита BlackLotus, который может обойти безопасную загрузку. Обновившись прямо сейчас, вы сразу же получите эту Безопасность.
- Если на вашем ПК отключены обновления Windows или вы предпочитаете управлять обновлениями самостоятельно, сертификаты, возможно, потребуется обновить вручную.
- Если у вас есть диск восстановления, он может не работать после обновления сертификата. Лучше всего установить их на своих условиях, чтобы вы могли своевременно создать новый диск восстановления.
Хотя вы не будете заблокированы на своем ПК, если не установите последние сертификаты, это поставит под угрозу безопасность вашего ПК и затруднит будущие обновления оборудования.
Проверьте, использует ли ваш ПК последние сертификаты безопасной загрузки.
Есть вероятность, что Microsoft уже активировала сертификаты на вашем конкретном ПК. Вы можете запустить команду powershell, чтобы подтвердить это.
Найдите powershell в поиске Windows, щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора.
Выполните следующую команду:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Если в результате выводится True, у вас уже есть последние сертификаты, и вам не нужно ничего делать. Если выводится False, вам нужно будет обновить и активировать их.
Установите сертификаты безопасной загрузки 2023 в Windows
Сертификаты Windows UEFI CA 2023, скорее всего, уже установлены на вашем ПК. Microsoft добавила эти сертификаты на все ПК с накопительным обновлением Windows 11 от февраля 2024 года, но не активировала их. Если ваш ПК был обновлен хотя бы один раз после обновления Windows 11 от февраля, вы можете выполнить следующие действия, чтобы развернуть и активировать сертификаты:
Снова откройте PowerShell от имени администратора и выполните следующую команду:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Эта команда отредактирует реестр для развертывания сертификатов 2023. Битовая маска 0x5944 в команде фактически запускает шесть различных инструкций, чтобы подготовить ваш компьютер к установке Windows UEFI CA 2023.
Теперь, чтобы активировать инструкции, выполненные вышеуказанной командой, вам необходимо запустить следующую команду в PowerShell:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Эта команда запустит важные задачи для Windows, чтобы установить сертификаты при следующей загрузке, такие как проверка совместимости или перемещение новых сертификатов из папки WinSxS в промежуточную область. Вы можете заметить, что ваш компьютер немного зависает во время выполнения команды.
Самый важный шаг — дважды перезагрузить Windows. Вы должны перезагрузить компьютер, а не выключить и запустить его заново. Если у вас включена функция «Быстрый запуск», простое выключение не очистит память, что необходимо для вступления этих изменений в силу.
Вот и все, теперь на вашем ПК будут установлены последние сертификаты безопасной загрузки, которые будут действовать до 2038 года. Хотя у вас не должно возникнуть никаких проблем, если они все же возникнут, следуйте инструкциям в этих руководствах, чтобы устранить проблемы с запуском Windows и бесконечным циклом перезагрузки.
Комментарии (0)