Secure Boot Transition -ohjelman usein kysytyt kysymykset

Käyttöjärjestelmät, joita asia koskee:

• Windows

Sisällysluettelo

• General Information
• Dell-tietokoneet ja -päivitykset
• Viestintä ja asiakasopastus
• Vaikutus ja elpyminen
• Kustannukset ja kesto

Yleistä tietoa:

• Mikä on suojatun käynnistysavaimen siirtymä?
  • Nykyiset Microsoft 2011 Secure Boot -varmenteet alkavat vanhentua kesäkuussa 2026. Nämä korvataan uudella vuoden 2023 sertifikaattiketjulla: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Tarvitaanko Windows 11 25H2:n asentamiseen vuoden 2023 sertifikaatteja?
  • Ei. Laitteet voivat asentaa 25H2: n 2011-varmenteiden avulla.
• Mitä tapahtuu, kun nykyinen Secure Boot -varmenne vanhenee?
  • Tietokone pystyy edelleen käynnistymään. Jos varmenne on vanhentunut, tietokone ei kuitenkaan voi enää päivittää käynnistyslatainta tai suojattua käynnistystä.
• Mikä on Dellin kaksoisvarmennestrategia?
  • Siirtymisen helpottamiseksi Dell alkoi toimittaa sekä vuoden 2011 että vuoden 2023 sertifikaatteja uusille alustoille vuoden 2024 lopulla ja vuoden 2025 loppuun mennessä kaikille ylläpitoalustoille, jotka toimitetaan Dellin tehtailta. Näin yritysasiakkaat, joilla on vanhempi levykuva, voivat käynnistää näköistiedostot, jotka on allekirjoitettu kummalla tahansa varmenteella.
• Mitä eroa on aktiivisella ja oletusarvoisella suojatun käynnistyksen tietokannalla?
  • Tietokone käyttää käynnistyksen aikana Active Secure Boot -tietokantaa luotettujen ohjelmistojen tarkistamiseen. Oletusarvoisen suojatun käynnistyksen tietokanta on varmuuskopiosarja alkuperäisiä luotettuja avaimia, jotka voidaan palauttaa tarvittaessa.
    Lyhytsanaisesti:
    • Aktiivinen: Tällä hetkellä voimassa (päivitetään usein Windows Updatesta)
    • Oletusasetus: Tehdasnollausversiota ei käytetä, ellei sitä palauteta (päivitetään BIOS-päivityksellä)
    Huomautus: On tärkeää, että oletusarvoinen suojatun käynnistyksen tietokanta päivitetään vuoden 2023 varmenteihin. Muussa tapauksessa, jos Expert Key -tila on käytössä, se saattaa poistaa Windows Update -sivustosta tulevat aktiiviset muuttujat.
• Miten aktiivinen tietokanta päivitetään?
  • Aktiivinen tietokanta voidaan päivittää Windows Update -toiminnolla. Näin vältetään suojausominaisuuksien, kuten BitLockerin, häiriöt. Jos Windows Update ei kuitenkaan ole vaihtoehto ja asiakas on asiantuntijakäyttäjä, aktiivinen tietokanta voidaan korvata BIOS-komennolla avainten nollaamiseksi. Lisätietoja on artikkelissa Suojatun käynnistyksen aktiivisen tietokannan päivittäminen BIOSista .
• Miten oletustietokanta päivitetään?
  • Oletustietokanta päivitetään BIOS FLASH -toiminnolla.
• Mitä tapahtuu, kun nykyinen Secure Boot -varmenne vanhenee?
  • Tietokone pystyy edelleen käynnistymään. Jos varmenne on vanhentunut, tietokone ei kuitenkaan voi enää päivittää käynnistyslatainta tai suojattua käynnistystä.

Alkuun

Dell-tietokoneet ja -päivitykset:

• Mitkä Dell-tietokoneet saavat BIOS-päivitykset?
  • Dell-päivitykset:
    • Kuluttaja- ja kaupalliset alustat, joiden käyttöikä on päättynyt (EoSL) 31.12.2025 jälkeen, toimitus Dellin tehtailta tai kentällä
  • Dell ei päivitä:
    • Alustat, joissa on EoSL ennen 1.1.2026 Tämä tarkoittaa, että vaikka Microsoft saattaa tuoda uudet varmenteet saataville, näiden vanhempien tietokoneiden BIOS ei välttämättä tue tai säilytä niitä, etenkin jos Secure Boot on kytketty päälle tai BIOS-oletusasetukset on palautettu.
• Miten Dell lieventää asiakasvaikutuksia?
  • Toimita tuettujen ympäristöjen BIOS-päivitykset vuoden 2025 loppuun mennessä
  • Palautustyökaluja koskeva koordinointi Microsoftin kanssa
  • Tietokanta-artikkeleiden julkaiseminen
  • Päivitä käynnistyslevy
• Entä vaikutus kolmansien osapuolten näytönohjaimiin ja Linux-tietokoneisiin?
  • Microsoft on luonut kaksi uutta vuoden 2023 kolmannen osapuolen varmenteiden myöntäjää korvaamaan umpeutuvan 2011 kolmannen osapuolen varmenteiden myöntäjän. Toisin sanoen Microsoft Corporation UEFI CA 2011 on jaettu Microsoft UEFI CA 2023:een (käynnistyslataimille) ja Microsoft Option ROM UEFI CA 2023:een (optio-ROMeille). Microsoftin Hardware Device Centeriin (HDC) on jo tehty päivityksiä, jotka tukevat näitä uusia vuoden 2023 varmenteiden myöntäjiä tarvitsevien kolmannen osapuolen ohjainten allekirjoittamista. Vaikka kumppanit voivat aloittaa allekirjoittamisen uusien vuoden 2023 varmentajien kanssa lokakuussa 2025, Microsoft ja OEM-valmistajat jatkavat olemassa olevan Microsoft Corporation UEFI CA 2011:n tukemista, kunnes ekosysteemillä on ollut riittävästi aikaa siirtyä uusiin vuoden 2023 varmentajiin.
• Miten yritysasiakas hankkii uuden vuoden 2023 sertifikaatin nykyiselle laitekannalleen?
  • Yritysasiakkaat voivat antaa Microsoftin hallita laitteidensa päivityksiä Windows Updaten (WU) kautta tai vaihtoehtoisesti asentaa päivitykset manuaalisesti laitekantalaitteisiin itse. Ohjeita jälkimmäisiin on saatavilla täältä: Windows-laitteet, joissa on IT-hallittuja päivityksiäLisäksi Dell lähettää käytössä oleviin laitteisiin BIOS-päivitykset, joita voidaan käyttää aktiivisen tietokannan täyttämiseen. Katso ohjeet kohdasta Suojatun käynnistyksen aktiivisen tietokannan päivittäminen BIOSista.
• Onko tämän sertifikaatin saamiseen erityisiä laitteistovaatimuksia?
  • Laitteiden on tuettava suojattua käynnistystä ja oltava yhteensopivia UEFI-laiteohjelmistopäivitysten kanssa. Dell validoi ympäristöjä sisäisesti ja on julkaissut luettelon tuetuista tietokoneista Dellin tietämyskannan artikkelissa Microsoft 2011 Secure Boot Certificate Expiration.

Alkuun

Viestintä ja asiakasopastus:

• Miten Dell tiedottaa tästä asiakkaille?
  • Dell on julkaissut Microsoft 2011 Secure Boot Certificate Expiration -ilmoituksen, johon on päivitetty Dellin luettelo päivitettävistä ympäristöistä. Dell toimittaa tarvittaessa lisäviestejä, jotka ovat Microsoftin julkisten ohjeiden mukaisia.
• Mitä yritysasiakkaiden pitäisi tehdä nyt?
  • Suunnittele BIOS-päivitykset ennen Windows 25H2:n käyttöönottoa Microsoft 2011:n suojatun käynnistysvarmenteen vanhentumiskohdassa ylläpidettyjen Dell-laitteiden luettelon mukaisesti.
  • Jos yritykset haluavat hallita laitteita itse (WU:n sijaan), yritykset voivat jo aloittaa laitteiden päivittämisen uusilla vuoden 2023 varmenteiden myöntäjillä seuraavien ohjeiden mukaisesti: Windows-laitteet, joissa on IT-hallittuja päivityksiä.
  • Ilmoita päivitysongelmista Dellille.
• Mistä asiakas tietää, onko hänellä vuoden 2011 vai 2023 sertifikaatti?
  • Microsoft aikoo lisätä ilmoituksia Windowsiin loppukäyttäjille. Käyttäjät voivat myös tarkistaa suorittamalla seuraavan PowerShell-komennon, onko heillä 2011- vai 2023-varmenteiden myöntäjät (menetelmät tulevat tulevaan tietämyskannan artikkeliin).
• Mistä asiakas tietää, onko hänen varmenteensa vanhentunut tai onko se vanhenemassa?
  • Tietokoneet, joissa on jokin kolmesta varmenteesta, joiden voimassaolo päättyy vuonna 2026:

    Vuoden 2011 toimivaltaiset viranomaiset	Vanhentumispäivä
    Microsoft Oyj KEK CA 2011	kesäkuu 24, 2026
    Microsoft Windows PCA 2011 -tuotantoversio	lokakuu 19, 2026
    Microsoft Corporation UEFI CA 2011	kesäkuu 27, 2026

• Jos asiakkaalla on vuoden 2023 sertifikaatti, pitääkö hänen toimia?
  • Ei. Jos sekä Windows UEFI CA 2023- että Microsoft Corporation KEK 2K CA 2023 -sertifikaatit ovat olemassa, lisätoimia ei tarvita.
• Voiko asiakas siirtyä vuoden 2023 varmenteeseen, jos hänen laitteissaan on Windows 10 ja jatketut tietoturvapäivitykset (ESU) ovat tulossa tai ovat ottamassa niitä käyttöön?
  • Kyllä, Microsoft päivittää aktiivisia varmenteita Windows 11 -laitteille kentällä ja päivittää Windows 10 -laitteita, jos laite:
    • Onko Windows LTSC 2021
    • Hänellä on aktivoitu ESU-lisenssi

Alkuun

Vaikutus ja elpyminen:

• Mikä vaikutus vanhentuneella varmenteella on?
  • Kun suojatun käynnistyksen varmenteet vanhenevat (kesäkuusta 2026 alkaen), tietokoneet jatkavat käynnistystä (suojattu käynnistys päällä). Tietokone ei kuitenkaan enää vastaanota Windows Boot Manager- ja Secure Boot -osien päivityksiä Windows Updaten kautta, mikä asettaa ne vaarantuneeseen suojaustilaan.
• Mitä tapahtuu, jos suojattu käynnistys poistetaan käytöstä tai vaihdetaan laitteessa?
  • Joskus suojatun käynnistyksen poistaminen käytöstä voi poistaa kaikki aktiiviset UEFI-muuttujat, mikä tarkoittaa, että laitteessa jo käytetyt vuoden 2023 varmenteiden myöntäjät voidaan pyyhkiä pois (ja myöhemmin korvata vanhemmilla 2011-varmenteiden myöntäjillä oletuslaiteohjelmistosta, jos sitä ei koskaan päivitetä). Dell-laitteissa näin käy, jos käyttäjä valitsee BIOS-valikosta Expert Key Mode -vaihtoehdon. Tässä tapauksessa aktiiviset muuttujat haetaan oletuslaiteohjelmistosta.
    Huomautus: Jos BitLocker on käytössä laitteessa, sinua saatetaan pyytää antamaan BitLocker-palautusavain.
• Mitä työkaluja palautukseen on käytettävissä?
  • Microsoft on julkaissut manuaalisen palautustyökalun, mutta sillä on rajoituksia. Automatisoituja työkaluja asiakkaiden avuksi kehitetään edelleen.

Alkuun

Kustannukset ja kesto:

• Liittyykö uusiin varmenteisiin kustannuksia?
  • Vuoden 2023 varmenteiden vastaanottamisesta Windows Updaten avulla ei aiheudu suoria kustannuksia, ja vuoden 2023 varmenteiden myöntäjät ovat jo saatavilla maksutta osoitteessa Windows Secure Boot Key Creation and Management Guidance. Käytöstä poistettujen laitteiden BIOS-päivitykset saattavat kuitenkin edellyttää manuaalisia toimia tai huoltotoimia, mikä voi aiheuttaa kustannuksia tukisopimuksista riippuen.
• Mikä on uuden todistuksen kesto?
  • Vuoden 2023 sertifikaatit ovat voimassa 15 vuotta (2038).

Alkuun