Windows デバイスでセキュア ブート証明書の有効期限が切れた場合

証明書の有効期限が切れた場合の動作

デバイスが新しい証明書なしで有効期限に達した場合でも、正常に起動して動作します。 Standard Windows 更新プログラムは引き続きインストールされます。 ただし、デバイスは、初期ブート プロセスの新しいセキュリティ保護を受け取れなくなります。 これには、Windows ブート マネージャー、セキュア ブート データベースと失効リストの更新、ブート チェーンで新しく検出された脆弱性の修正が含まれます。

新しい脅威が発生すると、この期限切れの状態のデバイスは徐々に保護されなくなります。 セキュア ブート信頼に依存するシナリオ (BitLocker のセキュリティ強化、ブート レベルのコード整合性、サード パーティ製のブートローダーやオプション ROM など) も、セキュリティで保護されたブート信頼の更新が必要な場合に影響を受ける可能性があります。

引き続き機能するもの

• デバイスは引き続き正常に起動します。

• 更新された証明書を必要とするブート関連のセキュリティ コンポーネントを除き、Windows 更新プログラムは引き続きインストールされます。

• 日常的なアプリの使用、ネットワーク、閲覧、およびほとんどの OS 機能は変更されません。

機能しなくなったもの

• 新しいセキュア ブートとブート マネージャーの保護を適用できません。

• BitLocker バイパスの軽減策やセキュア ブート失効など、初期ブート環境の脆弱性の修正は使用できません。

• Microsoft Secure Boot の信頼に依存する一部のサード パーティ製コンポーネントは、新しい証明書エントリが必要な場合に更新できない場合があります。

保護を維持する方法

ほとんどの個人用 Windows デバイスは、Microsoft が管理する更新プログラムを通じて新しいセキュア ブート証明書を自動的に受け取ります。 organizationによって管理されるデバイスの場合、IT 管理者は Microsoft のセキュア ブート証明書の更新に関するガイダンスに従う必要があります。 一部のデバイスでは、新しい証明書を正しく適用するために OEM ファームウェアの更新が必要な場合があります。 個人用またはorganization管理されているデバイスの場合は、必要なファームウェア更新プログラムに関する情報を OEM にお問い合わせください。このような更新プログラムは、サポート期間内のデバイスでのみ使用できる場合があることに注意してください。 デバイスを最新の状態に保つことで、セキュア ブートが提供するように設計された完全な保護を引き続き受け取ります。

注: 証明書の有効期限を回避するには、セキュア ブートを無効にしないでください。 セキュア ブートを無効にすると、デバイスの保護が大幅に削減され、ブート レベルのマルウェアに対する保護が解除され、新しいセキュリティとコンプライアンスのリスクが発生する可能性があります。 推奨パスは、デバイスが更新された 2023 セキュア ブート証明書と必要な OEM ファームウェア更新プログラムを確実に受け取れるようにすることです。