Secure Boot to funkcja bezpieczeństwa UEFI, która chroni przed załadowaniem niepodpisanego lub złośliwego kodu przed inicjalizacją systemu operacyjnego. Oryginalne certyfikaty Secure Boot firmy Microsoft wydane w 2011 roku (Microsoft Corporation UEFI CA 2011) zaczną wygasać w czerwcu 2026 roku. Może to doprowadzić do wyłączenia ochrony Secure Boot w zagrożonych systemach. Zwiększając ryzyko ataków na poziomie bootkita i innych zagrożeń przed uruchomieniem systemu operacyjnego.
Aby zastąpić stare certyfikaty, firma Microsoft rozpoczęła wdrażanie aktualizacji w 2025 roku, które automatycznie zastąpi wygasające certyfikaty UEFI Secure Boot. W tym wpisie pokażę, jak ręcznie zainicjować aktualizację certyfikatu Secure Boot i bootloadera systemu Windows podpisanego nowym certyfikatem.
Firma Microsoft automatycznie dostarcza aktualizacje zawierające nowe certyfikaty. Dotyczy to: Windows 11, Windows 10 LTSC,Windows 10 22H2 (Extended Security Updates (ESU), a także systemów Windows Server 2025, 2022, 2019 i 2016.
Certyfikaty Secure Boot zaktualizowano, ale nie zainstalowano ich.
Firma Microsoft rozpoczęła wdrażanie nowych certyfikatów Secure Boot dla Windows 11 za pośrednictwem usługi Windows Update w styczniu 2026 r. Jeśli regularnie instalujesz zbiorcze aktualizacje systemu Windows, system Windows już skopiował certyfikaty na Twoje urządzenie. Najprawdopodobniej oprogramowanie układowe UEFI jeszcze ich nie zapisało.
Użyj tego polecenia programu PowerShell, aby sprawdzić, czy na komputerze zainstalowano nowe certyfikaty bezpiecznego rozruchu UEFI:
|
1 |
<code>[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name db).Bytes) -match "Windows UEFI CA 2023"</code> |
Jeśli na komputerze pojawiły się aktualizacje zawierające nowe certyfikaty Secure Boot, których jeszcze nie zastosowano, w dzienniku systemowym pojawi się błąd TPM-WMI z identyfikatorem zdarzenia 1801 w Event Viewer.
Firma Microsoft rozpocznie automatyczną instalację certyfikatów na zgodnych urządzeniach przed czerwcem 2026 r.
Co się stanie, jeśli nie zaktualizuję certyfikatów UEFI CA 2023 na moim komputerze z systemem Windows?
Jeśli komputer z jakiegoś powodu nie otrzyma aktualizacji lub jeśli nowe certyfikaty nie zostaną zainstalowane przed wygaśnięciem starych, nie spowoduje to problemów z uruchomieniem systemu Windows ani uniemożliwi korzystanie z komputerów ze starymi certyfikatami. Przestanie działać jedynie zaufany mechanizm rozruchu Secure Boot, narażając komputery na infekcje bootkitowe.
Usługa Windows Update pobiera nowe certyfikaty i podpisane pliki dla środowiska Secure Boot do folderu C:\Windows\system32\SecureBootUpdates.
Firma Microsoft twierdzi, że większość urządzeń automatycznie otrzyma i zainstaluje nowe certyfikaty Secure Boot za pośrednictwem usługi Windows Update, a proces ten będzie przebiegał niezauważalnie dla użytkowników.
Jednak niektóre modele komputerów (głównie starsze urządzenia wyprodukowane przed 2023 rokiem) wymagają wcześniejszej ręcznej aktualizacji oprogramowania układowego UEFI. Przed zainstalowaniem certyfikatów Windows UEFI CA 2023 sprawdź witrynę internetową producenta, aby upewnić się, czy Twoje urządzenie wymaga aktualizacji oprogramowania układowego UEFI.
Sprawdźmy, jakim certyfikatem podpisano bootloader systemu Windows. Na komputerach z systemem UEFI plik ten nosi nazwę bootmgfw.efi i znajduje się na partycji systemowej EFI. Domyślnie partycja ta nie ma przypisanej litery dysku, ale można to łatwo zrobić.
Sprawdzenie daty certyfikatu wymaga wykonania poniższych poleceń z poziomu cmd.exe z uprawnieniami Administratora (# oznacza komentarz, więc nie wykonuję tych elementów):
|
1 2 3 4 5 6 7 |
diskpart list disk select disk 0 #wybierz numer dysku systemowego (C:\), 1,2,3,... list partition select partition X # (wskaż numer partycji 1,2,3, która ma ~100-300 MB EFI) assign letter=E # przypisz literę E, jeżeli jest wolna, jeżeli nie np. X,Y,Z i zmień literę w poleceniu exit |
Użyj programu PowerShell , aby wyodrębnić informacje o certyfikacie użytym do podpisania pliku bootloadera:
|
1 |
<code>(Get-AuthenticodeSignature "y:\efi\microsoft\Boot\bootmgfw.efi").SignerCertificate | Select-Object NotAfter, Issuer</code> |
Jak widać, jest to certyfikat Microsoft Windows Production PC 2011, który wygaśnie 17 czerwca 2026 r.
Po zainstalowaniu aktualizacji zabezpieczeń wydanych po październiku 2025 roku dodano kilka kluczy rejestru, które kontrolują stan aktualizacji certyfikatów Secure Boot. Aktualny stan aktualizacji certyfikatu można sprawdzić za pomocą wartości parametru rejestru UEFICA2023Status:
|
1 |
Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\ -Name UEFICA2023Status | Select-Object UEFICA2023Status |
Możliwe wartości:
NotStarted – aktualizacja się nie rozpoczęła
InProgress – rozpoczęto aktualizację lub zakończono jeden z etapów: dodano certyfikat do UEFI lub zaktualizowano bootloader.
Updated – ukończono aktualizację. Zaktualizowano zarówno certyfikaty, jak i podpis bootloadera.
Jak ręcznie (wymusić) aktualizację certyfikatu bezpiecznego rozruchu w systemie Windows
Możesz ręcznie zainicjować aktualizację certyfikatów Secure Boot na urządzeniu z systemem Windows bez czekania na ich automatyczne wdrożenie. Może to być przydatne dla deweloperów i administratorów systemów, którzy chcą testować specjalistyczne oprogramowanie lub sprzęt, na które może mieć wpływ aktualizacja certyfikatu Windows UEFI CA 2023 i bootloadera.
Przed zaktualizowaniem certyfikatów Secure Boot i programu ładującego zaleca się zawieszenie ochrony BitLocker lub upewnienie się, że zapisano 48-cyfrowy klucz odzyskiwania i można uzyskać do niego dostęp (klucz odzyskiwania BitLocker można zapisać w usłudze Active Directory, na nośniku zewnętrznym lub na koncie Microsoft, ewentualnie można go wydrukować).
Aby zezwolić na instalację nowych certyfikatów Secure Boot, zmień wartość parametru AvailableUpdates na 0x5944:
|
1 |
<code>Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot' -Name 'AvailableUpdates' -Value 0x5944</code> |
Instalację certyfikatów można również uruchomić poprzez włączenie opcji Włącz wdrażanie certyfikatu bezpiecznego rozruchu (Enable Secure Boot Certificate Deployment) w obszarze Konfiguracja komputera (Computer Configuration) -> Szablony administracyjne (Administrative Templates) -> Składniki systemu Windows (Windows Components) -> Bezpieczny rozruch (Secure Boot) (opcja ta jest dostępna w najnowszych szablonach ADMX zasad grupy dla systemu Windows 11).
Następnie uruchom zaplanowane zadanie Secure-Boot-Update. Spowoduje to uruchomienie serii zadań mających na celu zastąpienie certyfikatów UEFI i aktualizację bootloadera systemu Windows. Użyj tego polecenia programu PowerShell, aby natychmiast uruchomić zaplanowane zadanie.
|
1 |
<code>Start-ScheduledTask -TaskName <span style="background-color: initial; font-family: inherit; font-size: inherit; text-align: initial; color: inherit;">'</span><span style="background-color: rgba(58, 58, 58, 0.2); font-family: inherit; font-size: inherit; text-align: initial; color: inherit;">\Microsoft\Windows\PI\Secure-Boot-Update</span><span style="background-color: initial; font-family: inherit; font-size: inherit; text-align: initial; color: inherit;">'</span></code> |
Sprawdź Podgląd zdarzeń (Event Viewer), aby potwierdzić zakończenie aktualizacji certyfikatu na podstawie zdarzeń zarejestrowanych przez TPM-WMI w dzienniku systemowym. W moim przypadku identyfikator zdarzenia 1800 oznacza, że komputer wymaga ponownego uruchomienia:
Po ponownym uruchomieniu urządzenia najprawdopodobniej konieczne będzie ponowne uruchomienie zadania Secure-Boot-Update. Monitoruj stan wykonania zadania w Podglądzie zdarzeń (Event Viewer). Po pewnym czasie konieczne będzie ponowne uruchomienie.
Podczas aktualizacji certyfikatów w dziennikach Podglądu zdarzeń może pojawić się następujący błąd:
Po zakończeniu aktualizacji certyfikatu sprawdź, czy w rejestrze ustawiono status UEFICA2023Status na Updated.
Sprawdź, czy certyfikat Windows UEFI CA 2023 został dodany do aktywnej bazy danych autoryzowanych podpisów Secure Boot. Jeśli wynik polecenia to True, oznacza to, że certyfikat został zaktualizowany.
|
1 |
<code>([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')</code> |
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
