Uygulandığı Öğe
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Özgün yayımlama tarihi: 26 Haziran 2025, Ağustos 2025, Temmuz 2025, Ağustos 2025, Ağustos

KB Kimliği: 5062710

Tarihi Değiştir

Açıklamayı Değiştir

10 Kasım 2025, İstanbul

"Yeni Sertifika" altındaki iki yazım hatası düzeltildi:

  • Microsoft Corporation KEK CA 2023" ile "Microsoft Corporation KEK 2K CA 2023"

  • ve "Microsoft Option ROM CA 2023" ile "Microsoft Option ROM UEFI CA 2023" arasında

Güvenli Önyükleme nedir?

Güvenli Önyükleme, Birleştirilmiş Genişletilebilir Bellenim Arabirimi (UEFI) tabanlı üretici yazılımında bir cihazın önyükleme (başlatma) sırasında yalnızca güvenilen yazılımların çalışmasını sağlamaya yardımcı olan bir güvenlik özelliğidir. Cihazın üretici yazılımında depolanan bir dizi güvenilir dijital sertifikaya (sertifika yetkilisi veya CA olarak da bilinir) karşı ön önyükleme yazılımının dijital imzasını doğrulayarak çalışır. Endüstri standardı olarak UEFI Güvenli Önyükleme, platform üretici yazılımının sertifikaları nasıl yönettiğini, üretici yazılımının kimliğini nasıl doğrulayanı ve işletim sisteminin (OS) bu işlemle nasıl arabirim oluşturup oluşturmayışı tanımlar. UEFI ve Güvenli Önyükleme hakkında daha fazla bilgi için bkz. Güvenli önyükleme.

Güvenli Önyükleme, o sırada ortaya çıkan önyükleme öncesi kötü amaçlı yazılımlara (bootkit olarak da bilinir) karşı korunmak için ilk olarak Windows 8 kullanıma sunulmuştur. Platform başlatmanın bir parçası olarak, Güvenli Önyükleme yürütmeden önce üretici yazılımı modüllerinin kimliğini doğrular. Bu modüller UEFI üretici yazılımı sürücülerini (Seçenek ROM'ları gibi), önyükleme yükleyicilerini ve uygulamaları içerir. Güvenli Önyükleme işleminin son adımı olarak üretici yazılımı, Güvenli Önyükleme'nin önyükleme yükleyicisine güvenip güvenmediğini doğrular. Ardından üretici yazılımı, denetimi önyükleme yükleyicisine geçirir ve bu da doğrular, belleğe yüklenir ve Windows işletim sistemini başlatır.

Güvenli Önyükleme, üretim sırasında bir üretici yazılımı ilkesi kümesi aracılığıyla güvenilen kodu tanımlar. Sertifika ekleme veya iptal etme gibi bu ilkedeki değişiklikler bir anahtar hiyerarşisi tarafından denetlenir. Bu hiyerarşi genellikle donanım üreticisinin sahip olduğu Platform Anahtarı (PK) ile başlar ve ardından Bir Microsoft KEK ve diğer OEM SDK'larını içerebilen Anahtar Kayıt Anahtarı (KEK) (Anahtar Değişim Anahtarı olarak da bilinir) izler. İzin Verilen İmza Veritabanı (DB) ve İzin Verilmeyen İmza Veritabanı (DBX), işletim sistemi başlamadan önce UEFI ortamında hangi kodun çalışabileceğini belirler. DB, Microsoft ve OEM tarafından yönetilen sertifikaları içerirken DBX, Microsoft tarafından en son iptallerle güncelleştirilir. KEK içeren herhangi bir varlık DB ve DBX'i güncelleştirebilir.

Windows Güvenli Önyükleme sertifikalarının süresi 2026'da doluyor

Windows Güvenli Önyükleme desteği sağladığından, tüm Windows tabanlı cihazlar KEK ve DB'de aynı Microsoft sertifikalarını taşıdı. Bu özgün sertifikalar son kullanma tarihlerine yaklaşıyor ve cihazınız listelenen sertifika sürümlerinden herhangi birine sahipse bu durumdan etkilenir. Windows'ı çalıştırmaya ve Güvenli Önyükleme yapılandırmanıza yönelik düzenli güncelleştirmeleri almaya devam etmek için bu sertifikaları güncelleştirmeniz gerekir.

Terminoloji

  • KEK: Anahtar Kayıt Anahtarı

  • CA: Sertifika Yetkilisi

  • DB: Güvenli Önyükleme İmzası Veritabanı

  • DBX: Güvenli Önyükleme İptal Edilen İmza Veritabanı

Süresi Dolan Sertifika

Son kullanma tarihi

Yeni Sertifika

Depolama konumu

Amaç

Microsoft Corporation KEK CA 2011

Haziran 2026

Microsoft Corporation KEK 2K CA 2023

KEK'de depolanıyor

DB ve DBX güncelleştirmelerini imzalar.

Microsoft Windows Production PCA 2011

Ekim 2026

Windows UEFI CA 2023

Db'de depolanır

Windows önyükleme yükleyicisini imzalamak için kullanılır.

Microsoft UEFI CA 2011*

Haziran 2026

Microsoft UEFI CA 2023

Db'de depolanır

Üçüncü taraf önyükleme yükleyicilerini ve EFI uygulamalarını imzalar.

Microsoft UEFI CA 2011*

Haziran 2026

Microsoft Option ROM UEFI CA 2023

Db'de depolanır

Üçüncü taraf seçenek ROM'larını imzalar

*Microsoft Corporation UEFI CA 2011 sertifikasının yenilenmesi sırasında iki sertifika, rom imzalama seçeneğinden ayrı önyükleme yükleyicisi imzalar. Bu, sistem güveni üzerinde daha iyi denetim sağlar. Örneğin, seçenek ROM'larına güvenmesi gereken sistemler, üçüncü taraf önyükleme yükleyicileri için güven eklemeden Microsoft Option ROM UEFI CA 2023'ü ekleyebilir.

Microsoft, Windows cihazlarında Güvenli Önyükleme korumasının sürekliliğini sağlamak için güncelleştirilmiş sertifikalar verdi. Microsoft, bu yeni sertifikalar için güncelleştirme işlemini Windows cihazlarının önemli bir bölümünde yönetecektir. Ayrıca, kendi cihaz güncelleştirmelerini yöneten kuruluşlar için ayrıntılı rehberlik sunacağız.

Önemli 2011 CA'larının süresi dolduğunda, yeni 2023 sertifikası olmayan Windows cihazları artık Windows önyükleme güvenliğini tehlikeye atan önyükleme öncesi bileşenler için güvenlik düzeltmeleri alamaz.

Eylem çağrısı

Sertifikaların süresi 2026'da dolduğunda Windows cihazınızın güvenli kalmasını sağlamak için işlem yapmanız gerekebilir. Hem UEFI Güvenli Önyükleme DB'sinin hem de KEK'nin ilgili yeni 2023 sertifika sürümleriyle güncelleştirilmiş olması gerekir. Yeni sertifikalar hakkında daha fazla bilgi için bkz. Windows Güvenli Önyükleme Anahtarı Oluşturma ve Yönetim Kılavuzu

Önemli Güncelleştirmeler olmadan, Güvenli Önyükleme özellikli Windows cihazları güvenlik güncelleştirmelerini almama veya yeni önyükleme yükleyicilerine güvenmeme riskiyle karşı karşıya kalır ve bu da hem hizmet hem de güvenliği tehlikeye atabilir.

Eylemleriniz, sahip olduğunuz Windows cihazının türüne bağlı olarak değişir. Cihaz türü ve yapmanız gereken belirli bir eylem için soldaki menüden öğesini seçin.  

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi