Vanliga frågor och svar om övergång vid säker start

Berörda operativsystem:

• Windows

Innehållsförteckning

• Allmän information
• Dell-datorer och uppdateringar
• Kommunikation och kundvägledning
• Påverkan och återhämtning
• Kostnader och varaktighet

Allmän information:

• Vad är Secure Boot Key-övergången?
  • De aktuella Microsoft 2011 Secure Boot-certifikaten börjar löpa ut i juni 2026. Dessa kommer att ersättas med en ny 2023-certifikatkedja: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Krävs 2023-certifikaten för att installera Windows 11 25H2?
  • Nej. Enheter kan installera 25H2 med hjälp av 2011-certifikaten.
• Vad händer när det aktuella certifikatet för säker start upphör att gälla?
  • Datorn kan fortfarande starta. Men med ett utgånget certifikat kan datorn inte få framtida uppdateringar av bootloader eller Secure Boot.
• Vad är Dells strategi med dubbla certifikat?
  • För att underlätta övergången började Dell leverera både 2011- och 2023-certifikat på nylanserade plattformar i slutet av 2024 och i slutet av 2025 på alla hållbara plattformar som levereras från Dell-fabriker. Det gör att företagskunder med äldre avbildningar kan starta avbildningar som signerats med något av certifikaten.
• Vad är skillnaden mellan den aktiva databasen och standarddatabasen för säker start?
  • Active Secure Boot-databasen är den som datorn använder under starten för att verifiera betrodd programvara. Standarddatabasen för säker start är en säkerhetskopia av ursprungliga betrodda nycklar som kan återställas vid behov.
    I korthet:
    • Aktiva: För närvarande framtvingad (uppdateras vanligtvis från Windows Update)
    • Standard: Fabriksåterställningsversion används inte om den inte återställs (uppdateras med en BIOS-uppdatering)
    Obs! Det är viktigt att standarddatabasen för säker start uppdateras till 2023-certifikaten. Annars, om experttangentläget växlas, kan det radera de aktiva variablerna som kommer från Windows Update.
• Hur uppdateras den aktiva databasen?
  • Den aktiva databasen kan uppdateras med hjälp av Windows Update. På så sätt undviker du störningar i säkerhetsfunktioner som BitLocker. Men om Windows Update inte är ett alternativ och kunden är en expertanvändare kan den aktiva databasen skrivas över med hjälp av ett kommando i BIOS för att återställa nycklarna. Mer information finns i Så här uppdaterar du den aktiva databasen för säker start från BIOS .
• Hur uppdateras standarddatabasen?
  • Standarddatabasen uppdateras med hjälp av en BIOS FLASH.
• Vad händer när det aktuella certifikatet för säker start upphör att gälla?
  • Datorn kan fortfarande starta. Men med ett utgånget certifikat kan datorn inte hämta framtida uppdateringar av starthanteraren eller säker start.

Överst på sidan

Dell-datorer och uppdateringar:

• Vilka Dell-datorer får BIOS-uppdateringar?
  • Dell-uppdateringar:
    • Konsumentplattformar och kommersiella plattformar med servicelivslängd (EoSL) efter 31 december 2025, leverans från Dell-fabriker eller på fältet
  • Dell uppdaterar inte:
    • Plattformar med en EoSL före 1 januari 2026 Det innebär att även om Microsoft kan göra de nya certifikaten tillgängliga kanske BIOS på dessa äldre datorer inte stöder eller behåller dem, särskilt om Säker start växlas eller BIOS-standardinställningarna återställs.
• Vad gör Dell för att minska påverkan på kunderna?
  • Leverera BIOS-uppdateringar för plattformar som stöds före slutet av 2025
  • Samordna med Microsoft om återställningsverktyg
  • Publicera kunskapsbasartiklar
  • Uppdatera startbara medier
• Hur är det med påverkan på grafikkort från tredje part och Linux-datorer?
  • Microsoft har skapat två nya certifikatutfärdare från tredje part från 2023 för att ersätta de tredjepartscertifikatutfärdare som löper ut från 2011. Med andra ord har Microsoft Corporation UEFI CA 2011 delats upp i Microsoft UEFI CA 2023 (för bootloaders) och Microsoft Option ROM UEFI CA 2023 (för Option ROM). Och uppdateringar har redan gjorts i Microsofts Hardware Device Center (HDC) för att stödja signering av drivrutiner från tredje part som behöver dessa nya certifikatutfärdare för 2023. Även om partner kan börja signera med de nya certifikatutfärdarna för 2023 i oktober 2025 fortsätter Microsoft och OEM-tillverkare att stödja de befintliga Microsoft Corporation UEFI CA 2011 tills ekosystemet har haft tillräckligt med tid att migrera över till de nya certifikatutfärdarna för 2023.
• Hur skaffar en företagskund ett nytt 2023-certifikat på sin nuvarande enhetsflotta?
  • Företagskunder kan välja att låta Microsoft hantera uppdateringarna på sina enheter via Windows Update (WU) eller, alternativt, manuellt tillämpa uppdateringarna på själva enhetsflottan. Vägledning för det senare finns här: Windows-enheter med IT-hanterade uppdateringarskickar Dell dessutom BIOS-uppdateringar till enheter som är i drift, som kan användas för att fylla i den aktiva databasen. Instruktioner finns i Uppdatera Secure Boot Active Database från BIOS.
• Finns det några specifika maskinvarukrav för att få detta certifikat?
  • Enheterna måste ha stöd för säker uppstart och vara kompatibla med uppdateringar av fast UEFI-programvara. Dell validerar plattformar internt och har publicerat en lista över datorer som stöds i Dells kunskapsbasartikel Microsoft 2011 Secure Boot Certificate Expiration.

Överst på sidan

Kommunikation och kundhandledning:

• Hur förmedlar Dell detta till kunderna?
  • Dell har publicerat ett Microsoft 2011 Secure Boot Certificate Expiration som är uppdaterat med Dells lista över plattformar som är redo för uppdatering. Dell kommer att leverera ytterligare meddelanden i linje med Microsofts offentliga vägledning vid behov.
• Vad ska företagskunder göra nu?
  • Planera för BIOS-uppdateringar före lanseringen av Windows 25H2 med hjälp av listan över Dell-enheter som underhålls i Microsoft 2011 Secure Boot Certificate Expiration.
  • Om företag föredrar att hantera enheter internt (i stället för via WU) kan de redan börja uppdatera enheter med de nya certifikatutfärdarna för 2023, enligt vägledningen här: Windows-enheter med IT-hanterade uppdateringar.
  • Rapportera eventuella uppdateringsproblem till Dell.
• Hur vet en kund om de har ett certifikat från 2011 eller 2023?
  • Microsoft planerar att lägga till meddelanden i Windows för slutanvändare. Användare kan också köra följande PowerShell-kommando för att se om de har certifikatutfärdarna för 2011 eller 2023 (metod kommer i en framtida kunskapsbasartikel).
• Hur vet en kund om deras certifikat har upphört att gälla eller kommer att upphöra?
  • Datorer med något av de tre certifikaten (CA) som kommer att upphöra att gälla 2026:

    Certifikatutfärdare 2011	Utgångsdatum
    Microsoft Corporation KEK CA 2011	juni 24, 2026
    Microsoft Windows Produktion PCA 2011	oktober 19, 2026
    Microsoft Corporation UEFI CA 2011	juni 27, 2026

• Om en kund har ett 2023-certifikat, måste de agera?
  • Nej. Om både Windows UEFI CA 2023- och Microsoft Corporation KEK 2K CA 2023-certifikat finns krävs ingen ytterligare åtgärd.
• Kan en kund byta till ett 2023-certifikat om deras enheter kör Windows 10 och har eller är på väg att ta ut utökade säkerhetsuppdateringar (ESU)?
  • Ja, Microsoft uppdaterar aktiva certifikat för Windows 11-enheter i fältet och uppdaterar Windows 10-enheter om enheten:
    • Kör Windows LTSC 2021
    • Har en aktiverad ESU-licens

Överst på sidan

Påverkan och återhämtning:

• Vad är effekten av ett utgånget certifikat?
  • När Secure Boot-certifikat upphör att gälla (från och med juni 2026) fortsätter datorerna att starta (med Secure Boot på). Datorn tar dock inte längre emot uppdateringar för Windows Boot Manager och Secure Boot-komponenterna med hjälp av Windows Update, vilket försätter dem i ett komprometterat säkerhetstillstånd.
• Vad händer om säker start avaktiveras eller växlas på en enhet?
  • Ibland kan inaktivering av säker start radera alla aktiva UEFI-variabler, vilket innebär att alla certifikatutfärdare från 2023 som redan används på enheten kan raderas (och senare ersättas med äldre certifikatutfärdare från 2011 från standardprogramvaran om den aldrig uppdateras). På Dell-enheter inträffar detta om en användare väljer alternativet Expertnyckelläge i BIOS-menyn. I det här fallet hämtas de aktiva variablerna från den fasta standardprogramvaran.
    Obs! Om BitLocker är aktiverat på enheten kan du uppmanas att ange BitLocker-återställningsnyckeln.
• Vilka verktyg finns tillgängliga för återhämtning?
  • Microsoft har släppt ett manuellt återställningsverktyg, men det har begränsningar. Automatiserade verktyg för att hjälpa kunder är fortfarande under utveckling.

Överst på sidan

Kostnader och varaktighet:

• Kostar det något med de nya certifikaten?
  • Det finns ingen direkt kostnad för att ta emot 2023-certifikaten med Windows Update, och certifikatutfärdarna för 2023 är redan tillgängliga kostnadsfritt på Windows Secure Boot Key Creation and Management Guidance. BIOS-uppdateringar för enheter som inte är i drift kan dock kräva manuella åtgärder eller serviceåtagande, vilket kan medföra kostnader beroende på supportavtal.
• Hur länge gäller det nya certifikatet?
  • Certifikaten för 2023 är giltiga i 15 år (2038).

Överst på sidan