A Windows biztonságos rendszerindítási tanúsítványának lejárata és a hitelesítésszolgáltató frissítései

Hatókör
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Megjegyzés

  • Eredeti közzétételi dátum: 2025. június 26.
  • Tudásbáziscikk azonosítója: 5062710
Módosítási napló
Dátum módosítása Módosítás leírása
2026. május 18.
  • Frissítettük a tanúsítványtáblázatot a "2026-ban lejáró Windows biztonságos rendszerindítási tanúsítványok" szakaszban, hogy tartalmazza a hónap napját.
2026. május 5.
  • Új szakasz hozzáadva "Microsoft ügyfélszolgálati források" címmel.
Február 3, 2026
  • Hozzáadtunk egy új szakaszt "A biztonságos rendszerindítási tanúsítvány lejáratának hatása" címmel.
  • Eltávolítottuk a "Fontosként" megjelölt megjegyzéseket a " Felhívás a cselekvésre" szakasz felett és alatt.
2025. november 10. Az "Új tanúsítvány" alatt két elírás javítva:
  • a Microsoft Corporation KEK CA 2023" és a "Microsoft Corporation KEK 2K CA 2023" értékre
  • és a "Microsoft Option ROM CA 2023"-ról a "Microsoft Option ROM UEFI CA 2023"-ra

Mi az a biztonságos rendszerindítás?

A biztonságos rendszerindítás az Unified Extensible Firmware Interface (UEFI) alapú belső vezérlőprogram biztonsági szolgáltatása, amely segít biztosítani, hogy csak megbízható szoftverek fussanak az eszköz rendszerindítási (indítási) folyamata során. A funkció ellenőrzi a rendszerindítás előtti szoftverek digitális aláírását az eszköz belső vezérlőprogramjában tárolt, megbízható digitális tanúsítványok (más néven hitelesítésszolgáltató vagy CA) összevetésével. Iparági szabványként az UEFI biztonságos rendszerindítás meghatározza, hogy a platform belső vezérlőprogramja hogyan kezeli a tanúsítványokat, hitelesíti a belső vezérlőprogramot, és hogy az operációs rendszer (OS) hogyan kapcsolódik ehhez a folyamathoz. Az UEFI-vel és a biztonságos rendszerindítással kapcsolatos további információkért lásd: Biztonságos rendszerindítás.

A biztonságos rendszerindítást először a Windows 8 rendszerben vezették be, hogy védelmet nyújtson a rendszerindítás előtti kártevő (más néven bootkit) elleni védelem érdekében. A platform inicializálásának részeként a biztonságos rendszerindítás a végrehajtás előtt hitelesíti a belső vezérlőprogram-modulokat. Ezek a modulok magukban foglalják az UEFI belső vezérlőprogram-illesztőprogramokat (például az Option ROM-okat), a rendszertöltőket és az alkalmazásokat. A biztonságos rendszerindítási folyamat utolsó lépéseként a belső vezérlőprogram ellenőrzi, hogy a biztonságos rendszerindítás megbízik-e a rendszertöltőben. Ezután a belső vezérlőprogram átadja az irányítást a rendszertöltőnek, amely viszont ellenőrzi, betölti a memóriába és elindítja a Windows operációs rendszert.

A biztonságos rendszerindítás a gyártás során beállított belső vezérlőprogram-házirenden keresztül határozza meg a megbízható kódot. A házirend módosításait, például a tanúsítványok hozzáadását vagy visszavonását kulcshierarchia szabályozza. Ez a hierarchia a jellemzően a hardver gyártójának tulajdonában lévő platformkulccsal (PK) kezdődik, amelyet a kulcsigénylési kulccsal (KEK) (más néven kulcscserekulccsal is ismert) követ, amely tartalmazhat egy Microsoft KEK és más OEM KEK kulcsokat. Az engedélyezett aláírási adatbázis (DB) és a nem engedélyezett aláírási adatbázis (DBX) határozza meg, hogy melyik kód futhat az UEFI-környezetben az operációs rendszer indítása előtt. Az adatbázis a Microsoft és az OEM által kezelt tanúsítványokat tartalmazza, míg a DBX-et a Microsoft frissíti a legújabb visszavonásokkal. Bármely KEK-kel rendelkező entitás frissítheti az adatbázist és a DBX-et.

A biztonságos rendszerindítási tanúsítvány lejáratának hatása

A Microsoft frissíti az eredetileg 2011-ben kibocsátott biztonságos rendszerindítási tanúsítványokat, hogy a windowsos eszközök továbbra is ellenőrizzék a megbízható rendszerindító szoftvereket. Ezek a régebbi tanúsítványok 2026 júniusában kezdenek lejárni. Azok az eszközök, amelyek nem kapták meg az újabb, 2023-as tanúsítványokat, továbbra is a szokásos módon indulnak el és működnek, és a szokásos Windows-frissítések továbbra is települnek. Ezek az eszközök azonban a továbbiakban nem kapnak új biztonsági védelmet a korai rendszerindítási folyamathoz, beleértve a Windows rendszerindítás-kezelő frissítéseit, a biztonságos rendszerindítási adatbázisokat, a visszavonási listákat vagy az újonnan felfedezett rendszerindítási szintű biztonsági rések megoldásait.

Idővel ez korlátozza az eszköz védelmét a felmerülő fenyegetésekkel szemben, és hatással lehet a biztonságos rendszerindítási megbízhatóságra támaszkodó forgatókönyvekre, például a BitLocker-korlátozásra vagy harmadik féltől származó rendszerbetöltőkre. A legtöbb windowsos eszköz automatikusan megkapja a frissített tanúsítványokat, és számos OEM szükség esetén biztosít frissítéseket a belső vezérlőprogramjához. Ha naprakészen tartja eszközét ezekkel a frissítésekkel, azzal biztosítja, hogy továbbra is megkapja a biztonságos rendszerindítás által biztosított összes biztonsági védelmet.

A 2026-ban lejáró Windows biztonságos rendszerindítási tanúsítványok

Amióta a Windows bevezette a biztonságos rendszerindítás támogatását, az összes Windows-alapú eszköz ugyanazokat a Microsoft-tanúsítványokat hordozza a KEK és az DB eszközökben. Ezek az eredeti tanúsítványok hamarosan lejárati dátumhoz közelednek, és az eszköz a felsorolt tanúsítványverziók bármelyikének használata esetén érintett a probléma. Ha továbbra is futtatni szeretné a Windowst, és rendszeres frissítéseket szeretne kapni a biztonságos rendszerindítási konfigurációhoz, frissítenie kell ezeket a tanúsítványokat.

Terminológia

  • KEK: Kulcsbeléptetési kulcs
  • CA: Hitelesítésszolgáltató
  • DB: Biztonságos rendszerindítási aláírási adatbázis
  • DBX: Biztonságos rendszerindítás visszavont aláírás-adatbázis
Lejáró tanúsítvány Lejárat dátuma Új tanúsítvány Tárolási hely Rendeltetés
Microsoft Corporation KEK CA 2011 2026. június 24. Microsoft Corporation KEK 2K CA 2023 KK-ben tárolva Aláírja a DB és a DBX frissítéseit.
Microsoft Windows Production PCA 2011 2026. október 19. Windows UEFI CA 2023 Adatbázisban tárolva A rendszer a Windows rendszertöltő aláírásához használja.
Microsoft UEFI CA 2011*** 2026. június 27. Microsoft UEFI CA 2023 Adatbázisban tárolva Aláírja a harmadik féltől származó rendszertöltőket és az EFI-alkalmazásokat.
Microsoft UEFI CA 2011*** 2026. június 27. Microsoft Option ROM UEFI CA 2023 Adatbázisban tárolva Aláírja a harmadik féltől származó opciós ROM-okat

Megjegyzés

*A Microsoft Corporation UEFI CA 2011 tanúsítványának megújítása során két tanúsítvány választja el a rendszertöltő aláírását az option ROM aláírásától. Ez pontosabban szabályozza a rendszer megbízhatóságát. Például azok a rendszerek, amelyeknek meg kell bízniuk az opciós ROM-okban, hozzáadhatják a Microsoft Option ROM UEFI CA 2023-at anélkül, hogy megbízhatóságot adnának a külső rendszertöltőkhöz.

A Microsoft frissített tanúsítványokat bocsátott ki, hogy biztosítsa a biztonságos rendszerindítás elleni védelem folytonosságát a windowsos eszközökön. Az új tanúsítványok frissítési folyamatát a Microsoft fogja kezelni a windowsos eszközök jelentős részén. Emellett részletes útmutatást nyújtunk azoknak a szervezeteknek, amelyek saját maguk kezelik eszközfrissítéseiket.

Cselekvésre való felhívás

Előfordulhat, hogy lépéseket kell tennie annak érdekében, hogy a windowsos eszköze biztonságban maradjon, amikor a tanúsítványok 2026-ban lejárnak. Mind az UEFI Secure Boot DB-t, mind a KEK-et frissíteni kell a megfelelő új 2023-as tanúsítványverziókkal. Az új tanúsítványokkal kapcsolatos további információkért lásd: Útmutató a Windows biztonságos rendszerindítási kulcs létrehozásához és kezeléséhez.

A műveletek a windowsos eszköz típusától függően változnak. A bal oldali menüben válassza ki az eszköz típusát és az elvégzendő műveletet.

Microsoft ügyféltámogatási források

A Microsoft ügyfélszolgálata felkereséséhez lásd: