Tanya jawab umum tentang proses pembaruan Boot Aman

Setelah sertifikat Boot Aman kedaluwarsa, perangkat yang belum menerima sertifikat 2023 yang lebih baru akan terus dimulai dan beroperasi secara normal, dan pembaruan Windows standar akan terus diinstal. Namun, perangkat ini tidak akan lagi dapat menerima perlindungan keamanan baru untuk proses boot awal, termasuk pembaruan untuk Windows Boot Manager, database Boot Aman, daftar pencabutan, atau mitigasi untuk kerentanan tingkat boot yang baru ditemukan. 

Seiring waktu, hal ini membatasi perlindungan perangkat terhadap ancaman yang muncul dan dapat memengaruhi skenario yang mengandalkan kepercayaan Boot Aman, seperti Pengerasan BitLocker atau bootloader pihak ketiga. Sebagian besar perangkat Windows akan menerima sertifikat yang diperbarui secara otomatis, dan banyak OEM telah menyediakan pembaruan firmware ketika diperlukan. Menjaga perangkat Anda tetap terkini dengan pembaruan ini membantu memastikan perangkat dapat terus menerima serangkaian perlindungan keamanan penuh yang dirancang untuk disediakan Oleh Boot Aman.

Sebaiknya perbarui sertifikat Boot Aman dengan baik sebelum tanggal kedaluwarsa Juni 2026. 

Jika perangkat Anda dikelola oleh Microsoft, dan berbagi data diagnostik dengan Microsoft, Microsoft akan berusaha memperbarui sertifikat Boot Aman secara otomatis dalam banyak kasus. Meskipun Microsoft akan melakukan yang terbaik untuk memperbarui Boot Aman, akan ada beberapa situasi di mana pembaruan tidak dijamin untuk diterapkan dan akan memerlukan tindakan pelanggan. Pelanggan pada akhirnya bertanggung jawab untuk memperbarui sertifikat Boot Aman. 

Contoh situasi di mana perangkat yang dikelola Microsoft dengan data diagnostik yang diaktifkan mungkin tidak menerima pembaruan termasuk:

• Pembaruan Boot Aman Microsoft hanya berlaku untuk beberapa versi Windows dalam dukungan.

• Data diagnostik yang diaktifkan di perangkat Anda dapat diblokir oleh firewall di organisasi Anda dan tidak menjangkau Microsoft.

• Mungkin ada yang salah dengan firmware di perangkat.

Catatan Apa artinya "Dikelola oleh Microsoft"? Sistem berbagi data diagnostik dan dikelola oleh Microsoft Cloud atau Intune. 

Jika perangkat Anda tidak berbagi data diagnostik dengan Microsoft dan dikelola oleh departemen TI organisasi Anda atau oleh pelanggan, departemen TI dapat memperbarui sistem mengikuti panduan Microsoft dalam sertifikat Boot Aman Windows kedaluwarsa dan pembaruan CA.

Jika komputer dikelola oleh Microsoft, sertifikat Boot Aman diperbarui melalui Windows Update.  

Jika komputer dikelola oleh organisasi atau administrator TI bisnis Anda, maka departemen TI memiliki metode untuk memperbarui sistem menggunakan panduan dalam sertifikat Boot Aman Windows kedaluwarsa dan pembaruan CA. 

Windows 10 Dukungan berakhir pada 14 Oktober 2025. Untuk informasi selengkapnya, lihat Windows 10 dukungan berakhir pada 14 Oktober 2025. 

Untuk terus menerima Updates Keamanan setelah tanggal ini, pelanggan yang tersisa di Windows 10 dapat mendaftar untuk: 

• Program Updates Keamanan Diperpanjang (ESU) Windows 10, lihat Program Updates Keamanan Diperpanjang (ESU) Windows 10

• Atau jika Anda memiliki versi Windows 10 LTSC yang didukung, versi LTSC akan terus mendapatkan Updates Keamanan hingga tanggal kedaluwarsa LTSC. Misalnya, lihat Program Updates Keamanan Diperpanjang (ESU) untuk Windows 10

Catatan

• Windows 10 Enterprise LTSC tersedia untuk dibeli baik sebagai SKU mandiri maupun sebagai bagian dari langganan Windows Enterprise E3.

• Windows IoT Enterprise LTSC dapat dibeli langsung dari OEM atau melalui Lisensi Vendor sebagai SKU mandiri.

Sertifikat Boot Aman memungkinkan firmware untuk memverifikasi bahwa komponen penting—seperti manajer boot, option ROMs (driver firmware), dan perangkat lunak berbasis firmware lainnya—tepercaya dan belum diutak-atik. Microsoft menggunakan sertifikat ini untuk menandatangani manajer boot dan komponen lain yang harus dipercaya, serta pembaruan Boot Aman. Ketika sertifikat yang lebih lama kedaluwarsa, sertifikat tidak dapat digunakan lagi untuk menandatangani komponen atau pembaruan baru.

Perangkat dengan Secure Boot nonaktif tidak akan menerima sertifikat Secure Boot baru dalam firmware. Akibatnya, mereka akan tetap rentan terhadap malware tingkat boot, seperti bootkit, karena perlindungan Secure Boot tidak diberlakukan. 

Untuk perangkat yang memenuhi syarat—seperti yang menerima pembaruan kumulatif melalui penyebaran berbasis kepercayaan atau terdaftar dalam Controlled Feature Rollout (CFR) dengan data diagnostik yang diaktifkan—Microsoft akan berusaha memperbarui semua sertifikat yang berlaku. Namun, pembaruan ini disediakan sebagai bantuan, bukan jaminan. Administrator TI tetap bertanggung jawab untuk memastikan seluruh armada mereka diperbarui, menggunakan CFR otomatis Microsoft dan metode penyebaran terdokumentasi lainnya.

Sertifikat disertakan dalam 13 Mei 2025, pembaruan kumulatif (LCU) dan yang lebih baru. Namun, langkah-langkah tersebut tidak diterapkan secara otomatis diperlukan. Untuk panduan penggunaan, lihat https://aka.ms/getsecureboot.

Mereka melayani tujuan yang berbeda.

Pembaruan firmware dapat memperbarui variabel Boot Aman default yang disimpan di firmware. Ini terutama berguna jika pengaturan Boot Aman kemudian diatur ulang ke default karena default firmware menentukan sertifikat mana yang dipulihkan dalam skenario tersebut.

Windows menerapkan perubahan pada variabel Boot Aman aktif yang diberlakukan selama boot normal. Variabel aktif ini adalah apa yang digunakan firmware untuk memvalidasi komponen boot dan apa yang diandalkan Windows untuk memberikan perlindungan Boot Aman di masa mendatang.

Dalam praktiknya, Windows bertanggung jawab untuk menjaga konfigurasi Boot Aman aktif tetap terkini. Pembaruan firmware membantu memastikan bahwa nilai default juga diperbarui, yang mengurangi risiko jika Boot Aman diatur ulang atau diinisialisasi ulang di masa mendatang.

Administrator harus memastikan bahwa variabel Boot Aman aktif diperbarui dan memantau status penyebaran, terlepas dari apakah pembaruan firmware tersedia.

Ada dua jalur yang mungkin: 

• Jika komputer dikelola oleh Microsoft dengan data diagnostik yang dibagikan dan OS didukung, Microsoft akan berusaha memperbarui.

• Jika perangkat dikelola atau dikelola oleh administrator TI, departemen TI dapat menerapkan pembaruan pada kumpulan komputer yang divalidasi yang dapat dengan aman melakukan pembaruan per panduan Microsoft dalam sertifikat Boot Aman Windows kedaluwarsa dan pembaruan CA.

Langkah-langkah ini diharapkan dapat mengatasi sebagian besar pelanggan tanpa memerlukan pembaruan Firmware dari OEM. Namun, akan ada kasus tertentu di mana pembaruan tidak berlaku karena masalah yang diketahui atau tidak diketahui di firmware perangkat. Dalam kasus tersebut, ikuti panduan OEM tentang pembaruan firmware. 

Catatan Proses di atas menerapkan Variabel Aktif Boot Aman melalui OS. Nilai Default Firmware Boot Aman dipertahankan di Firmware yang dirilis oleh OEM. Panduannya adalah untuk tidak mengubah atau memperbarui konfigurasi Boot Aman kecuali OEM telah merilis pembaruan untuk mengubah default Firmware ke sertifikat baru.

 Jika sertifikat kedaluwarsa, perlindungan Boot Aman akan menurun. Jika sistem memenuhi persyaratan untuk OS yang lebih baru seperti Windows 11, akan dimungkinkan untuk memutakhirkan ke versi OS Windows 11 yang lebih baru.  

Jika Secure Boot tidak diaktifkan di perangkat LTSC Windows 10 Anda, mereka tidak disertakan dalam peluncuran saat ini untuk sertifikat Secure Boot yang baru. Saat Anda memulai pemutakhiran ke Windows 11 LTSC, Anda harus mengikuti langkah-langkah migrasi tertentu yang relevan pada saat itu untuk memastikan sertifikat 2023 baru disertakan.

Hanya versi OS Windows yang didukung yang akan mendapatkan sertifikat. 

Untuk Windows yang berjalan dalam lingkungan virtual, ada dua metode untuk menambahkan sertifikat baru ke variabel firmware Boot Aman: 

• Pembuat lingkungan virtual (AWS, Azure, Hyper-V, VMware, dll.) dapat menyediakan pembaruan untuk lingkungan dan menyertakan sertifikat baru dalam firmware virtual. Ini akan berfungsi untuk perangkat virtual baru.

• Untuk Windows yang menjalankan jangka panjang dalam VM, pembaruan dapat diterapkan melalui Windows seperti perangkat lainnya, jika firmware virtual mendukung pembaruan Boot Aman.

Lingkungan yang dikelola Pelanggan/TI ini sering kali tidak memiliki data diagnostik yang memadai bagi Microsoft untuk secara percaya diri dan aman meluncurkan fitur baru. Selain itu, departemen TI biasanya lebih memilih untuk mempertahankan kontrol penuh atas pengaturan waktu pembaruan dan konten untuk memastikan kepatuhan, stabilitas, dan kompatibilitas dengan alat internal dan alur kerja. Banyak perangkat perusahaan juga beroperasi dalam lingkungan sensitif atau terbatas di mana akses atau manajemen eksternal—yang dinyatakan oleh CFR—mungkin tidak diinginkan atau dilarang.

Jika Windows sudah menggunakan manajer boot bertanda tangan 2023 tetapi firmware diatur ulang ke default yang tidak menyertakan sertifikat Windows UEFI CA 2023, Boot Aman akan memblokir proses boot. 

Untuk memperbaiki ini, Anda perlu menerapkan kembali sertifikat 2023 ke DB firmware menggunakan aplikasi pemulihan. Ini dilakukan dengan membuat USB pemulihan, lalu booting perangkat yang terpengaruh dari USB tersebut untuk memulihkan sertifikat yang hilang. 

Untuk instruksi langkah demi langkah, lihat Panduan resmi Microsoft untuk memperbarui media penginstalan Windows. 

​​​​​​​Bisa. Pembaruan kumulatif yang berisi sertifikat Boot Aman baru masih dapat diterapkan meskipun sertifikat yang sudah ada telah kedaluwarsa. Jika perangkat dapat boot Windows dan menginstal pembaruan, sertifikat yang diperbarui dapat ditulis ke firmware dengan mengikuti panduan penyebaran yang diterbitkan. Sebagian besar perangkat akan menerima pembaruan ini secara otomatis, tetapi beberapa sistem mungkin memerlukan pembaruan firmware tambahan.