Secure Boot Certificates จะหมดอายุเร็วๆ นี้—วิธีอัปเดตเพื่อการป้องกันอย่างต่อเนื่อง

หากพีซีของคุณมีอายุมากกว่าสองปี ใบรับรอง Windows Secure Boot ของคุณจะหมดอายุในเดือนมิถุนายน 2026 คุณจะหยุดรับการอัปเดต Secure Boot และอาจทำให้เกิดปัญหาในการบู๊ตได้ในที่สุด แม้ว่า Microsoft จะค่อยๆ ปรับใช้ใบรับรองใหม่ผ่านทาง Windows Update คุณสามารถหลีกเลี่ยงความไม่แน่นอนของการเปิดตัวแบบเป็นขั้นตอนได้โดยทำตามคำแนะนำนี้เพื่ออัปเดตใบรับรอง Secure Boot ทันที

สารบัญ

ใบรับรองการบูตที่ปลอดภัยคืออะไร

คุณสมบัติ Secure Boot ใน PC UEFI ช่วยให้มั่นใจได้ว่าพีซีจะบู๊ตด้วยซอฟต์แวร์ที่ลงนามแบบดิจิทัลจากผู้ผลิตที่เชื่อถือได้เท่านั้น กระบวนการตรวจสอบสิทธิ์นี้มีหลายขั้นตอน และขั้นตอนแรกและสำคัญที่สุดคือการใช้ใบรับรองสาธารณะเพื่อระบุผู้ผลิตซอฟต์แวร์ที่เชื่อถือได้ ก่อนที่จะรันโค้ดแม้แต่บรรทัดเดียว

ด้วยเหตุนี้ เฟิร์มแวร์ UEFI ของพีซีของคุณจะเก็บรายการใบรับรองของผู้ผลิตซึ่งโดยทั่วไปจะทำหน้าที่เป็น “บัตรประจำตัว” เพื่อยืนยันว่าซอฟต์แวร์มาจากแหล่งที่เชื่อถือได้ ซึ่งจะช่วยป้องกันบูทคิทและรูทคิท เนื่องจากมัลแวร์ดังกล่าวจะไม่ทำงานหากไม่มีใบรับรองจากผู้ผลิตที่ลงทะเบียน

เหตุใดคุณจึงต้องอัปเดตเป็น Secure Boot Certificate ล่าสุด

ใบรับรอง Secure Boot มีวันหมดอายุเช่นเดียวกับใบรับรองอื่นๆ พีซีส่วนใหญ่ที่ผลิตก่อนปี 2024 ใช้ Microsoft Corporation UEFI CA 2011 ใบรับรองซึ่งจะหมดอายุในเดือนมิถุนายน 2026 เมื่อหมดอายุ พีซีของคุณจะไม่ได้รับการอัปเดต Windows Boot Manager ส่งผลให้พีซีของคุณเสี่ยงต่อภัยคุกคามใหม่ๆ นอกจากนี้ คุณจะประสบปัญหาในการใช้ฮาร์ดแวร์ล่าสุดที่ลงนามด้วยใบรับรองใหม่

คุณต้องอัปเดตเป็น Windows UEFI CA 2023 เวอร์ชันล่าสุด ใบรับรอง ในความเป็นจริง Microsoft กำลังทำงานร่วมกับ OEM เพื่อเปิดใช้งานใบรับรองเหล่านี้ผ่านการอัพเดต Windows อย่างไรก็ตาม มีสาเหตุหลายประการที่คุณอาจต้องการเปิดใช้งานใบรับรองเหล่านี้ด้วยตนเองในขณะนี้ ด้านล่างนี้คือรายการที่พบบ่อยที่สุด:

• ไม่มีการรับประกันว่า Microsoft จะเปิดใช้งานใบรับรองบนพีซีเฉพาะของคุณก่อนวันหมดอายุ การปรับใช้อัตโนมัติจะขึ้นอยู่กับความสำคัญของอุปกรณ์ คุณอาจต้องรอเป็นเดือนๆ (หรือไม่เคยเปิดใช้งานเลย)
• ใบรับรองเก่าปี 2011 มีความเสี่ยงต่อชุดบูต BlackLotus ที่สามารถเลี่ยงผ่านการบูตแบบปลอดภัยได้ เมื่ออัปเดตทันที คุณจะได้รับความปลอดภัยทันที
• หากการอัปเดต Windows ถูกปิดใช้งานบนพีซีของคุณ หรือคุณต้องการจัดการการอัปเดตด้วยตนเอง ใบรับรองอาจจำเป็นต้องได้รับการอัปเดตด้วยตนเอง
• หากคุณมีไดรฟ์กู้คืน อาจใช้งานไม่ได้หลังจากการอัพเดตใบรับรอง ทางที่ดีควรติดตั้งตามเงื่อนไขของคุณเพื่อให้คุณสามารถสร้างไดรฟ์กู้คืนใหม่ได้ทันท่วงที

แม้ว่าคุณจะไม่ถูกล็อคไม่ให้เข้าใช้งานพีซีของคุณหากคุณไม่ติดตั้งใบรับรองล่าสุด แต่จะส่งผลต่อความปลอดภัยของพีซีของคุณและทำให้การอัพเกรดฮาร์ดแวร์ในอนาคตทำได้ยาก

ตรวจสอบว่าพีซีของคุณใช้ใบรับรองการบูตที่ปลอดภัยล่าสุดหรือไม่

มีโอกาสที่ Microsoft อาจเปิดใช้งานใบรับรองบนพีซีเฉพาะของคุณแล้ว คุณสามารถเรียกใช้คำสั่ง PowerShell เพื่อยืนยันสิ่งนี้ได้

ค้นหา “powershell” ใน Windows Search คลิกขวาที่ Windows PowerShell และเลือก เรียกใช้ในฐานะผู้ดูแลระบบ .

รันคำสั่งต่อไปนี้:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

หากเอาต์พุตระบุว่า จริง คุณมีใบรับรองล่าสุดแล้ว และคุณไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติม หากมีข้อความว่า เท็จ คุณจะต้องอัปเดตและเปิดใช้งาน

ติดตั้ง Secure Boot Certificates 2023 บน Windows

ใบรับรอง Windows UEFI CA 2023 ส่วนใหญ่น่าจะอยู่ในพีซีของคุณแล้ว Microsoft ได้เพิ่มใบรับรองเหล่านี้ลงในพีซีทุกเครื่องที่มีการอัปเดตสะสมของ Windows 11 กุมภาพันธ์ 2024 แต่ไม่ได้เปิดใช้งาน หากพีซีของคุณได้รับการอัปเดตอย่างน้อยหนึ่งครั้งหลังจากการอัปเดต Windows 11 กุมภาพันธ์ คุณสามารถทำตามขั้นตอนเหล่านี้เพื่อปรับใช้และเปิดใช้งานใบรับรอง:

เปิด PowerShell ในฐานะผู้ดูแลระบบอีกครั้ง และเรียกใช้คำสั่งต่อไปนี้:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

คำสั่งนี้จะแก้ไข Registry เพื่อปรับใช้ใบรับรอง 2023 01 Bitmask ในคำสั่งรันคำสั่งที่แตกต่างกันหกคำสั่งเพื่อทำให้พีซีของคุณพร้อมสำหรับการติดตั้ง Windows UEFI CA 2023

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"