Obs!
- Opprinnelig publiseringsdato: 26. juni 2025
- KB-ID: 5062710
Endringslogg
| Endre dato | Endre beskrivelse |
|---|---|
| 18. mai 2026 kl. |
|
| 5. mai 2026 kl. |
|
| Februar 3, 2026 |
|
| 10. november 2025 kl. | Rettet to skrivefeil under "Nytt sertifikat":
|
Hva er sikker oppstart?
Sikker oppstart er en sikkerhetsfunksjon i UEFI-basert fastvare (Unified Extensible Firmware Interface) som bidrar til å sikre at bare klarert programvare kjører under oppstartssekvensen (startsekvensen) på en enhet. Den fungerer ved å verifisere den digitale signaturen til programvaren før oppstart mot et sett med klarerte digitale sertifikater (også kjent som sertifiseringsinstans eller sertifiseringsinstans) som er lagret i enhetens fastvare. Som en industristandard definerer UEFI Secure Boot hvordan plattformfastvare administrerer sertifikatene, godkjenner fastvaren og hvordan operativsystemet (OS) samhandler med denne prosessen. Hvis du vil ha mer informasjon om UEFI og sikker oppstart, kan du se Sikker oppstart.
Sikker oppstart ble først introdusert i Windows 8 for å beskytte mot den kommende trusselen før oppstart av skadelig programvare (også kjent som et oppstartssett) på den tiden. Som en del av plattforminitialiseringen godkjenner Secure Boot fastvaremoduler før kjøring. Disse modulene inkluderer UEFI-fastvaredrivere (som Option ROM-er), oppstartslastere og applikasjoner. Som det siste trinnet i Secure Boot-prosessen, bekrefter fastvaren om Secure Boot stoler på oppstartslasteren. Deretter overfører fastvaren kontrollen til oppstartslasteren, som igjen verifiserer, laster inn i minnet og starter Windows OS.
Secure Boot definerer klarert kode gjennom en fastvarepolicy angitt under produksjon. Endringer i denne policyen, for eksempel å legge til eller tilbakekalle sertifikater, kontrolleres av et hierarki med nøkler. Dette hierarkiet starter med plattformnøkkelen (PK), som vanligvis eies av maskinvareprodusenten, etterfulgt av nøkkelregistreringsnøkkelen (KEK) (også kjent som nøkkelutvekslingsnøkkel), som kan omfatte en Microsoft KEK og andre OEM KEK-er. Databasen for tillatt signatur (DB) og databasen for ikke-tillatt signatur (DBX) bestemmer hvilken kode som kan kjøres i UEFI-miljøet før operativsystemet starter. DB inkluderer sertifikater som administreres av Microsoft og OEM, mens DBX oppdateres av Microsoft med de siste tilbakekallingene. Enhver enhet med en KEK kan oppdatere DB og DBX.
Virkningen av utløp av Secure Boot-sertifikatet
Microsoft oppdaterer Secure Boot-sertifikatene som opprinnelig ble utstedt i 2011, for å sikre at Windows-enheter fortsetter å bekrefte klarert oppstartsprogramvare. Disse eldre sertifikatene utløper i juni 2026. Enheter som ikke har mottatt de nyere 2023-sertifikatene, vil fortsette å starte og fungere som normalt, og standard Windows-oppdateringer vil fortsette å installeres. Disse enhetene vil imidlertid ikke lenger kunne motta ny sikkerhetsbeskyttelse for den tidlige oppstartsprosessen, inkludert oppdateringer for Windows Boot Manager, Secure Boot-databaser, tilbakekallingslister eller reduksjoner for nylig oppdagede oppstartssårbarheter.
Over tid begrenser dette enhetens beskyttelse mot nye trusler og kan påvirke scenarier som er avhengige av klarering for sikker oppstart, for eksempel BitLocker-forsterking eller tredjeparts oppstartslastere. De fleste Windows-enheter mottar de oppdaterte sertifikatene automatisk, og mange OEM-er tilbyr fastvareoppdateringer ved behov. Hvis du holder enheten oppdatert med disse oppdateringene, bidrar det til å sikre at den kan fortsette å motta hele settet med sikkerhetsbeskyttelser som Secure Boot er utformet for å gi.
Windows Secure Boot-sertifikater utløper 2026
Siden Windows introduserte støtte for sikker oppstart, har alle Windows-baserte enheter hatt samme sett med Microsoft-sertifikater i KEK og DB. Disse opprinnelige sertifikatene nærmer seg utløpsdatoen, og enheten påvirkes hvis den har noen av de oppførte sertifikatversjonene. Hvis du vil fortsette å kjøre Windows og motta regelmessige oppdateringer for konfigurasjonen for sikker oppstart, må du oppdatere disse sertifikatene.
Terminologi
- KEK: Nøkkel for registrering
- CA: sertifiseringsinstans
- DB: Signaturdatabase for sikker oppstart
- DBX: Sikker oppstart tilbakekalt signaturdatabase
| Sertifikat som utløper | Utløpsdato | Nytt sertifikat | Lagringssted | Formål |
|---|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | 24. juni 2026 | Microsoft Corporation KEK 2K CA 2023 | Lagret i KEK | Signerer oppdateringer til DB og DBX. |
| Microsoft Windows Production PCA 2011 | 19. oktober 2026 kl. | Windows UEFI CA 2023 | Lagret i DB | Brukes til å signere Windows-oppstartslasteren. |
| Microsoft UEFI CA 2011*** | 27. juni 2026 kl. | Microsoft UEFI CA 2023 | Lagret i DB | Signerer tredjeparts oppstartslastere og EFI-applikasjoner. |
| Microsoft UEFI CA 2011*** | 27. juni 2026 kl. | Microsoft Option ROM UEFI CA 2023 | Lagret i DB | Signerer alternativ for tredjeparts ROM-er |
Obs!
*Under fornyelse av Microsoft Corporation UEFI CA 2011-sertifikatet skiller to sertifikater oppstartslastersignering fra option ROM-signering. Dette gir bedre kontroll over systemtillit. Systemer som trenger å klarere alternativ-ROM-er, kan for eksempel legge til Microsoft Option ROM UEFI CA 2023 uten å legge til klarering for tredjeparts oppstartslastere.
Microsoft har utstedt oppdaterte sertifikater for å sikre kontinuitet i Secure Boot-beskyttelsen på Windows-enheter. Microsoft administrerer oppdateringsprosessen for disse nye sertifikatene på en betydelig andel Windows-enheter. I tillegg tilbyr vi detaljert veiledning for organisasjoner som administrerer sine egne enhetsoppdateringer.
Klikkbart element
Du må kanskje gjøre noe for å sikre at Windows-enheten forblir sikker når sertifikatene utløper i 2026. Både UEFI Secure Boot DB og KEK må oppdateres med de tilsvarende nye 2023-sertifikatversjonene. Hvis du vil ha mer informasjon om de nye sertifikatene, kan du se veiledningen for oppretting og administrasjon av nøkkel for sikker oppstart.
Handlingene varierer avhengig av hvilken type Windows-enhet du har. Velg fra menyen til venstre for enhetstype og spesifikk handling du må utføre.
Ressurser for Microsoft Kundestøtte
Hvis du vil kontakte Microsoft Kundestøtte, kan du se:
Microsoft Kundestøtte, og klikk deretter Windows.
Støtte for bedrifter , og klikk deretter Opprett for å opprette en ny støtteforespørsel.
Når du har opprettet den nye støtteforespørselen, skal den se slik ut: