Not
- Orijinal yayınlama tarihi: 26 Haziran 2025
- KB Kimliği: 5062710
Değişiklik Günlüğü
| Tarihi Değiştir | Açıklamayı Değiştir |
|---|---|
| Mayıs 18, 2026 |
|
| Mayıs 5, 2026 |
|
| Şubat 3, 2026 |
|
| 10 Kasım 2025 | "Yeni Sertifika" altındaki iki yazım hatası düzeltildi:
|
Güvenli Önyükleme nedir?
Güvenli Önyükleme, Birleşik Genişletilebilir Bellenim Arabirimi (UEFI) tabanlı üretici yazılımındaki bir güvenlik özelliğidir ve bir aygıtın önyükleme (başlangıç) sırasında yalnızca güvenilir yazılımların çalışmasını sağlamaya yardımcı olur. Önyükleme öncesi yazılımın dijital imzasını, aygıtın üretici yazılımında depolanan bir dizi güvenilir dijital sertifikayla (sertifika yetkilisi veya CA olarak da bilinir) karşılaştırarak doğrulayarak çalışır. Bir endüstri standardı olarak UEFI Güvenli Önyükleme, platform üretici yazılımının sertifikaları nasıl yönettiğini, ürün yazılımını nasıl doğruladığını ve işletim sisteminin (OS) bu işlemle nasıl arabirim oluşturduğunu tanımlar. UEFI ve Güvenli Önyükleme hakkında daha fazla bilgi için lütfen Güvenli önyükleme bölümüne bakın.
Güvenli Önyükleme, o dönemde ortaya çıkan önyükleme öncesi kötü amaçlı yazılım (bootkit olarak da bilinir) tehdidine karşı koruma sağlamak için ilk olarak Windows 8'de tanıtıldı. Platform başlatmanın bir parçası olarak Güvenli Önyükleme, yürütmeden önce üretici yazılımı modüllerinin kimliğini doğrular. Bu modüller, UEFI ürün yazılımı sürücülerini (Option ROM'lar gibi), önyükleyicileri ve uygulamaları içerir. Güvenli Önyükleme işleminin son adımı olarak, bellenim, Güvenli Önyükleme'nin önyükleyiciye güvenip güvenmediğini doğrular. Ardından, bellenim kontrolü önyükleyiciye geçirir, bu da doğrular, belleğe yüklenir ve Windows işletim sistemini başlatır.
Güvenli Önyükleme, güvenilir kodu, üretim sırasında ayarlanan bir bellenim ilkesi aracılığıyla tanımlar. Sertifikaların eklenmesi veya iptal edilmesi gibi ilke değişiklikleri bir anahtar hiyerarşisi tarafından denetlenir. Bu hiyerarşi, genellikle donanım üreticisine ait olan Platform Anahtarı (PK) ile başlar ve ardından Microsoft KEK ve diğer OEM KEK'leri içerebilen Anahtar Kayıt Anahtarı (KEK) (Anahtar Değişim Anahtarı olarak da bilinir) gelir. İzin Verilen İmza Veritabanı (DB) ve İzin Verilmeyen İmza Veritabanı (DBX), işletim sistemi başlatılmadan önce UEFI ortamında hangi kodun çalıştırılabileceğini belirler. DB, Microsoft ve OEM tarafından yönetilen sertifikaları içerirken, DBX Microsoft tarafından en son iptallerle güncelleştirilir. KEK'i olan herhangi bir varlık DB ve DBX'i güncelleyebilir.
Güvenli Önyükleme sertifikasının süresinin dolmasının etkisi
Microsoft, Windows cihazlarının güvenilir önyükleme yazılımını doğrulamaya devam etmesini sağlamak için ilk olarak 2011'de verilen Güvenli Önyükleme sertifikalarını güncelleştiriyor. Bu eski sertifikaların süresi Haziran 2026'da dolmaya başlayacak. Daha yeni 2023 sertifikalarını almamış cihazlar normal şekilde başlayıp çalışmaya devam eder ve standart Windows güncelleştirmeleri yüklenmeye devam eder. Ancak bu cihazlar artık Windows Önyükleme Yöneticisi güncelleştirmeleri, Güvenli Önyükleme veri tabanları, iptal listeleri veya yeni keşfedilen önyükleme düzeyi güvenlik açıklarına yönelik risk azaltıcı etkenler dahil olmak üzere erken önyükleme işlemi için yeni güvenlik korumalarını alamaz.
Zaman içinde bu, cihazın ortaya çıkan tehditlere karşı korumasını sınırlar ve BitLocker sağlamlaştırma veya üçüncü taraf önyükleyiciler gibi Güvenli Önyükleme güvenine dayanan senaryoları etkileyebilir. Çoğu Windows cihazı güncelleştirilmiş sertifikaları otomatik olarak alır ve birçok OEM gerektiğinde üretici yazılımı güncelleştirmeleri sağlar. Cihazınızı bu güncelleştirmelerle güncel tutmak, Güvenli Önyükleme'nin sağlamak üzere tasarlandığı tüm güvenlik korumalarını almaya devam edebilmesini sağlamaya yardımcı olur.
Windows Güvenli Önyükleme sertifikalarının süresi 2026'da dolacak
Windows, Güvenli Önyükleme desteğini kullanıma sunduğundan beri tüm Windows tabanlı cihazlar KEK ve DB'de aynı Microsoft sertifikası kümesini taşımıştır. Bu özgün sertifikaların son kullanma tarihleri yaklaşıyor ve cihazınız listelenen sertifika sürümlerinden herhangi birine sahipse bu durumdan etkilenecek. Windows'u çalıştırmaya ve Güvenli Önyükleme yapılandırmanıza yönelik düzenli güncelleştirmeleri almaya devam etmek için bu sertifikaları güncelleştirmeniz gerekir.
Terminoloji
- KEK: Anahtar Kayıt Anahtarı
- CA: Sertifika Yetkilisi
- DB: Güvenli Önyükleme İmza Veritabanı
- DBX: Güvenli Önyükleme İptal Edilen İmza Veritabanı
| Süresi dolan sertifika | Son kullanma tarihi | Yeni Sertifika | Depolama konumu | Amaç |
|---|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | 24 Haziran 2026 | Microsoft Corporation KEK 2K CA 2023 | KEK'te saklanır | DB ve DBX güncellemelerini imzalar. |
| Microsoft Windows Production PCA 2011 | 19 Ekim 2026 | Windows UEFI CA 2023 | DB'de depolanır | Windows önyükleyicisini imzalamak için kullanılır. |
| Microsoft UEFI CA 2011*** | 27 Haziran 2026 | Microsoft UEFI CA 2023 | DB'de depolanır | Üçüncü taraf önyükleyicileri ve EFI uygulamalarını işaretler. |
| Microsoft UEFI CA 2011*** | 27 Haziran 2026 | Microsoft Option ROM UEFI CA 2023 | DB'de depolanır | Üçüncü taraf seçenek ROM'larını imzalar |
Not
*Microsoft Corporation UEFI CA 2011 sertifikasının yenilenmesi sırasında, iki sertifika önyükleyici imzasını seçenek ROM imzasından ayırır. Bu, sistem güveni üzerinde daha hassas denetim sağlar. Örneğin, seçenek ROM'larına güvenmesi gereken sistemler, üçüncü taraf önyükleyiciler için güven eklemeden Microsoft Option ROM UEFI CA 2023'ü ekleyebilir.
Microsoft, Windows cihazlarında Güvenli Önyükleme korumasının sürekliliğini sağlamak için güncelleştirilmiş sertifikalar yayımlamıştır. Microsoft, Windows cihazlarının önemli bir bölümünde bu yeni sertifikalara yönelik güncelleştirme sürecini yönetecektir. Ayrıca, kendi cihaz güncelleştirmelerini yöneten kuruluşlara yönelik ayrıntılı yönergeler de sunacağız.
Eylem çağrısı
Sertifikaların süresi 2026'da dolduğunda Windows cihazınızın güvenli kalmasını sağlamak için işlem yapmanız gerekebilir. Hem UEFI Secure Boot DB hem de KEK'in ilgili yeni 2023 sertifika sürümleriyle güncellenmesi gerekir. Yeni sertifikalar hakkında daha fazla bilgi için Windows Güvenli Önyükleme Anahtar Oluşturma ve Yönetim Kılavuzu'na bakın.
Eylemleriniz, sahip olduğunuz Windows cihazının türüne bağlı olarak değişir. Cihaz türü ve gerçekleştirmeniz gereken özel eylem için soldaki menüden seçim yapın.
Microsoft Müşteri Desteği kaynakları
Microsoft Desteği iletişim kurmak için bkz:
Microsoft DesteğiMicrosoft Desteği ve ardından Windows'a tıklayın.
İşletmeler için destek ve ardından yeni bir destek isteği oluşturmak için Oluştur'a tıklayın.
Yeni destek isteği oluşturduktan sonra aşağıdaki gibi görünmelidir: