Tanya jawab umum tentang proses pembaruan Boot Aman

Sebaiknya perbarui sertifikat Boot Aman dengan baik sebelum tanggal kedaluwarsa Juni 2026. 

Jika perangkat Anda dikelola oleh Microsoft, dan berbagi data diagnostik dengan Microsoft, Microsoft akan berusaha memperbarui sertifikat Boot Aman secara otomatis dalam banyak kasus. Sementara Microsoft akan melakukan yang terbaik untuk memperbarui Boot Aman, akan ada beberapa situasi di mana pembaruan tidak dijamin untuk diterapkan dan akan memerlukan tindakan Pelanggan. Pelanggan pada akhirnya bertanggung jawab untuk memperbarui Sertifikat Boot Aman. 

Beberapa contoh situasi di mana perangkat yang dikelola Microsoft dengan data diagnostik yang dibagikan tidak diperbarui adalah sebagai berikut: 

• Pembaruan Boot Aman Microsoft hanya berfungsi pada beberapa versi Windows dalam dukungan.

• Data diagnostik yang diaktifkan di perangkat Anda dapat diblokir oleh firewall di organisasi Anda dan tidak menjangkau Microsoft.

• Mungkin ada yang salah dengan Firmware di perangkat.

Catatan Apa artinya "Dikelola oleh Microsoft"? Sistem berbagi data diagnostik dan dikelola oleh Microsoft Cloud atau Intune. 

Jika perangkat Anda tidak berbagi data diagnostik dengan Microsoft dan dikelola oleh departemen TI organisasi Anda atau oleh pelanggan, departemen TI dapat memperbarui sistem mengikuti panduan Microsoft dalam sertifikat Boot Aman Windows kedaluwarsa dan pembaruan CA.

Jika komputer dikelola oleh Microsoft, sertifikat Boot Aman diperbarui melalui Windows Update.  

Jika komputer dikelola oleh organisasi atau administrator TI bisnis Anda, maka departemen TI memiliki metode untuk memperbarui sistem menggunakan panduan dalam sertifikat Boot Aman Windows kedaluwarsa dan pembaruan CA. 

Windows 10 Dukungan berakhir pada 14 Oktober 2025. Untuk informasi selengkapnya, lihat Windows 10 dukungan berakhir pada 14 Oktober 2025. 

Untuk terus menerima Updates Keamanan setelah tanggal ini, pelanggan yang tersisa di Windows 10 dapat mendaftar untuk: 

• Program Updates Keamanan Diperpanjang (ESU) Windows 10, lihat Program Updates Keamanan Diperpanjang (ESU) Windows 10

• Atau jika Anda memiliki versi Windows 10 LTSC yang didukung, versi LTSC akan terus mendapatkan Updates Keamanan hingga tanggal kedaluwarsa LTSC. Misalnya, lihat Program Updates Keamanan Diperpanjang (ESU) untuk Windows 10

Catatan

• Windows 10 Enterprise LTSC tersedia untuk dibeli baik sebagai SKU mandiri maupun sebagai bagian dari langganan Windows Enterprise E3.

• Windows IoT Enterprise LTSC dapat dibeli langsung dari OEM atau melalui Lisensi Vendor sebagai SKU mandiri.

Ada dua jalur yang mungkin: 

• Jika komputer dikelola oleh Microsoft dengan data diagnostik yang dibagikan dan OS didukung, Microsoft akan berusaha memperbarui.

• Jika perangkat dikelola atau dikelola oleh administrator TI, departemen TI dapat menerapkan pembaruan pada kumpulan komputer yang divalidasi yang dapat dengan aman melakukan pembaruan per panduan Microsoft dalam sertifikat Boot Aman Windows kedaluwarsa dan pembaruan CA.

Langkah-langkah ini diharapkan dapat mengatasi sebagian besar pelanggan tanpa memerlukan pembaruan Firmware dari OEM. Namun, akan ada kasus tertentu di mana pembaruan tidak berlaku karena masalah yang diketahui atau tidak diketahui di firmware perangkat. Dalam kasus tersebut, ikuti panduan OEM tentang pembaruan firmware. 

Catatan Proses di atas menerapkan Variabel Aktif Boot Aman melalui OS. Nilai Default Firmware Boot Aman dipertahankan di Firmware yang dirilis oleh OEM. Panduannya adalah untuk tidak mengubah atau memperbarui konfigurasi Boot Aman kecuali OEM telah merilis pembaruan untuk mengubah default Firmware ke sertifikat baru.

 Jika sertifikat kedaluwarsa, perlindungan Boot Aman akan menurun. Jika sistem memenuhi persyaratan untuk OS yang lebih baru seperti Windows 11, akan dimungkinkan untuk memutakhirkan ke versi OS Windows 11 yang lebih baru.  

Jika Secure Boot tidak diaktifkan di perangkat LTSC Windows 10 Anda, mereka tidak disertakan dalam peluncuran saat ini untuk sertifikat Secure Boot yang baru. Saat Anda memulai pemutakhiran ke Windows 11 LTSC, Anda harus mengikuti langkah-langkah migrasi tertentu yang relevan pada saat itu untuk memastikan sertifikat 2023 baru disertakan.

Hanya versi OS Windows yang didukung yang akan mendapatkan sertifikat. 

Untuk Windows yang berjalan dalam lingkungan virtual, ada dua metode untuk menambahkan sertifikat baru ke variabel firmware Boot Aman: 

• Pembuat lingkungan virtual (AWS, Azure, Hyper-V, VMware, dll.) dapat menyediakan pembaruan untuk lingkungan dan menyertakan sertifikat baru dalam firmware virtual. Ini akan berfungsi untuk perangkat virtual baru.

• Untuk Windows yang menjalankan jangka panjang dalam VM, pembaruan dapat diterapkan melalui Windows seperti perangkat lainnya, jika firmware virtual mendukung pembaruan Boot Aman.

Lingkungan yang dikelola Pelanggan/TI ini sering kali tidak memiliki data diagnostik yang memadai bagi Microsoft untuk secara percaya diri dan aman meluncurkan fitur baru. Selain itu, departemen TI biasanya lebih memilih untuk mempertahankan kontrol penuh atas pengaturan waktu pembaruan dan konten untuk memastikan kepatuhan, stabilitas, dan kompatibilitas dengan alat internal dan alur kerja. Banyak perangkat perusahaan juga beroperasi dalam lingkungan sensitif atau terbatas di mana akses atau manajemen eksternal—yang dinyatakan oleh CFR—mungkin tidak diinginkan atau dilarang.

Jika Windows sudah menggunakan manajer boot bertanda tangan 2023 tetapi firmware diatur ulang ke default yang tidak menyertakan sertifikat Windows UEFI CA 2023, Boot Aman akan memblokir proses boot. 

Untuk memperbaiki ini, Anda perlu menerapkan kembali sertifikat 2023 ke DB firmware menggunakan aplikasi pemulihan. Ini dilakukan dengan membuat USB pemulihan, lalu booting perangkat yang terpengaruh dari USB tersebut untuk memulihkan sertifikat yang hilang. 

Untuk instruksi langkah demi langkah, lihat Panduan resmi Microsoft untuk memperbarui media penginstalan Windows.