安全启动 (Secure Boot)有助于确保设备使用受信任的系统和软件启动。所有基于Windows的设备都使用了同一组Microsoft证书,这些2011 年颁发的原始证书将于今年6月起到期。
证书过期后有何影响?
✔ 设备仍可启动并正常运行
▲ Windows 更新也将继续安装,但需要更新证书的与启动相关的安全组件除外
❌ 设备无法应用新的安全启动和启动管理器保护
❌ 早期启动环境的漏洞修复将不可用
❌ 某些依赖于安全启动信任的第三方组件需要较新的证书条目时,可能无法更新
我们需要做什么?
为维持开机安全与信任链完整,建议启用安全启动的设备在证书到期前更新2023年新版Microsoft证书(不更新的后果,可以参考上面的3个❌哦)。
大部分设备将自动接收这些更新,某些设备则可能需要固件更新才能正确应用新证书。
如何更新安全启动证书?
方法一:通过Windows Update自动更新
依次点击【开始---设置--- Windows更新---开启“在最新更新可用后立即获取”】,启用安全启动的Windows设备会自动下载并应用新版证书与新的Boot Manager。
如何查看安全启动的状态是否开启:
在Windows系统中按下【Win+R】快捷键打开运行窗口,输入【msinfo32】回车,即可查看【安全启动状态】是否启用。
方法二:手动更新UEFI BIOS
无法通过Windows Update收到更新的系统可使用此方法更新安全启动证书。
1. 更新BIOS后可能会被提示输入BitLocker恢复密钥以解锁系统
因此,建议在更新BIOS前先停用设备加密与标准BitLocker加密,在更新BIOS后再重新启用,以确保数据安全。
2. 更新BIOS以取得更新后的安全启动证书
华硕笔记本产品更新安全启动证书
1. 恢复【设置模式】
华硕笔记本开机按【F2】键进入BIOS,依次点选【进阶设置---安全性---安全启动---密钥管理---恢复为设置模式---是】。
2.确认所有UEFI安全启动密钥清除成功
安全启动参数下方的【平台密钥/密钥交换密钥/授权签名….】等各项值均为【0】和【无密钥】。
然后点击上方的【恢复出厂密钥】,点击【是】。
3.此时【平台密钥/密钥交换密钥/授权签名….】等各项值不再是【0】,安全启动密钥更新成功
分别点击【密钥交换密钥】(Key Exchange Keys) 和【授权签名】(Authorized Signature),然后点击【详细】,可以查看安全启动密钥的状态及版本。
4.【密钥交换密钥】包含【Microsoft Corporation KEK 2K CA 2023】、【授权签名】同时包含【Microsoft UEFI CA 2023】和【Windows UEFI CA 2023】,说明已更新至 2023 年版的 Microsoft 证书
华硕主板/台式机/MiniPC产品更新安全启动证书
1.清除安全启动密钥
华硕主板开机按【Del】、台式机/MiniPC开机按【F2】键进入BIOS,依次点选【Advanced---Boot---Secure Boot---Secure Boot Mode---Custom】。
* 不同产品和型号BIOS显示界面可能会有差异
依次点击【Key Management---Clear Secure Boot Keys---Yes】,确认所有UEFI安全启动密钥 (PK、KEK、DB、DBX) 清除成功,各项值均为【0】和【无密钥】。
2.安装默认安全启动密钥
依次点击【Install Default Secure Boot Keys---Yes】,确认【PK/KEK/DB/DBX】的【Size/Number of Keys】均不为0,【Key Source】为【Default】,安全启动密钥更新成功。
3.将【Windows UEFI CA 2023】证书应用至Windows Boot Manager
在Windows系统中搜索并以管理员身份运行【PowerShell】。
分别输入【reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f 】回车;
输入【Start-ScheduledTask -TaskName MicrosoftWindowsPISecure-Boot-Update】回车。即可完成Boot Manager的证书更新。
4.确认证书更新成功
回到BIOS,依次点选【Advanced---Boot---Secure Boot---Key Management】,分别点击【KEK Management】和【DB Management】。
点击【Delete Keys---No】(注意:此操作是为了显示密钥信息;不要选择【Yes】,【Yes】会删除启动密钥)。
确认【KEK Management】包含【Microsoft Corporation KEK 2K CA 2023】、【DB Management】同时包含【Microsoft UEFI CA 2023】和【Windows UEFI CA 2023】,说明已更新证书。
小A总结
手动更新安全启动密钥的主要步骤:
更新BIOS→清除安全启动密钥
→恢复默认密钥;
自动更新安全启动密钥的步骤:
打开Windows Update自动更新。
懒懒的小A一定会选自动更新
同意的留言区扣“1”
热门跟贴