Microsoft menggantikan sijil But Selamat yang tamat tempoh pada Windows 11 – Semua butiran dan cara mengemas kini sijil anda

• But Selamat menghalang perisian hasad peringkat rendah daripada menjejaskan proses permulaan Windows 11.
• Sijil Secure Boot 2011 asal Microsoft akan tamat tempoh pada Jun 2026, dan sijil 2023 yang baharu melanjutkan perlindungan sehingga 2053.
• Peranti yang dibeli pada tahun 2024 dan yang lebih baharu mungkin sudah mempunyai sijil terkini. Peranti lain menerimanya secara beransur-ansur melalui Kemas Kini Windows.
• Anda boleh menyemak status sijil anda menggunakan PowerShell dan mengemas kini sijil secara manual menggunakan tweak Registry dan tugasan berjadual jika kemas kini belum tiba secara automatik.

Sijil untuk modul But Selamat PC anda akan tamat tempoh pada Jun 2026. Bermula dengan Kemas Kini Keselamatan Januari 2026 , Microsoft telah memulakan pelancaran sijil baharu secara beransur-ansur yang akan membolehkan komputer anda terus but dengan betul dan menerima kemas kini keselamatan.

Pada Windows 11 , Secure But ialah ciri keselamatan yang tersedia dalam firmware Unified Extensible Firmware Interface (UEFI) yang menghalang pengubahsuaian tanpa kebenaran pada fail sistem kritikal semasa permulaan. Hasilnya, ia memastikan peranti but hanya menggunakan perisian yang dipercayai oleh pengilang.

Dalam erti kata lain, Secure Boot membantu melindungi peranti anda daripada perisian hasad peringkat rendah (seperti bootkit dan rootkit) yang boleh menjangkiti proses but dan mengawal komputer anda sebelum sistem pengendalian dan perisian antivirus anda dimuatkan.

Fahami sijil But Selamat

Sebagai sebahagian daripada proses tersebut, ciri ini menggunakan kunci kriptografi (dikenali sebagai pihak berkuasa sijil (CA)) untuk mengesahkan bahawa modul perisian tegar datang daripada sumber yang dipercayai, membantu mencegah perisian hasad daripada berjalan semasa peringkat awal permulaan peranti.

Kini, sijil But Selamat sentiasa mempunyai tarikh luput, kerana ia membantu memastikan komputer anda terus menerima kemas kini keselamatan dan but dengan betul. Itulah sebabnya anda perlu memasang sijil 2023 sebelum CA 2011 mula tamat tempoh pada bulan Jun 2026.

Jika anda mempunyai peranti yang dibeli pada tahun 2024 (atau lebih baru), kemungkinan besar sijil terkini telah dipasang. Walau bagaimanapun, untuk komputer lain, Microsoft kini sedang dalam proses melancarkan sijil But Selamat baharu melalui Kemas Kini Windows.

Dalam “Kemas Kini Keselamatan 2026-01 (KB5074109) (26200.7623)” yang dilancarkan pada 13 Januari 2026, gergasi perisian itu telah menyatakan bahawa kemas kini kini merangkumi subset data penyasaran peranti berkeyakinan tinggi yang mengenal pasti peranti yang layak menerima sijil But Selamat baharu secara automatik. Peranti akan menerima sijil baharu hanya selepas menunjukkan isyarat kemas kini yang berjaya, memastikan penggunaan yang selamat dan berfasa.

Ini bermakna anda tidak perlu mengambil sebarang langkah manual untuk mengemas kini Secure Boot , selain daripada membenarkan sistem terus menerima kemas kini. Sekurang-kurangnya dari sekarang sehingga Kemas Kini Keselamatan Jun 2026 tersedia.

Semak tarikh luput sijil But Selamat

Memandangkan anda tidak akan menerima pemberitahuan bahawa komputer anda kini menyertakan pihak berkuasa sijil terkini, adalah penting untuk menyemak sama ada peranti anda masih memerlukan kemas kini.

Windows 11 tiada arahan natif untuk memaparkan tarikh luput firmware yang boleh dibaca oleh manusia. Walau bagaimanapun, anda boleh menyemak sama ada anda mempunyai sijil 2023 yang "dikemas kini" (yang menggantikan sijil yang akan tamat tempoh pada 2026) menggunakan langkah-langkah berikut:

Buka PowerShell (admin) dan jalankan:

[Pengekodan.Teks.Sistem]::ASCII.GetString((Dapatkan-SecureBootUEFI db).bytes) -padankan 'Windows UEFI CA 2023'

• Benar: Anda mempunyai sijil baharu (sah sehingga 2053).
• Palsu: Anda mungkin masih menggunakan sijil 2011 (tamat tempoh pada tahun 2026).

Semakan PowerShell tamat tempoh sijil But Selamat / Imej: Mauro Huculak

Hampir semua rangkaian But Selamat moden bergantung pada sijil Microsoft 2011, yang mempunyai tarikh luput berikut :

• Microsoft Corporation KEK CA 2011 (24 Jun 2026). 
• Microsoft Corporation UEFI CA 2011 (27 Jun 2026).
• ROM Pilihan Microsoft UEFI CA 2011 (27 Jun 2026).
• PCA Pengeluaran Microsoft Windows 2011 (19 Oktober 2026).

Sebagai rujukan, inilah yang dilakukan oleh setiap sijil:

• Sijil KEK: Sauh kepercayaan yang membolehkan pengemaskinian pangkalan data tandatangan Secure Boot (DB/DBX).
• Sijil UEFI CA: Percayai tandatangan pemuat but dan komponen perisian tegar (termasuk aplikasi EFI pihak ketiga).
• ROM Pilihan CA: Mempercayai modul ROM pilihan perisian tegar.
• Microsoft Windows Production PCA 2011: Memastikan bahawa pemuat but Windows dan binari berkaitan dipercayai oleh firmware di bawah But Selamat.

Kemas kini sijil But Selamat pada Windows 11

Jika sijil anda hampir tamat tempoh, Microsoft dan pengeluar komputer anda (OEM) akan secara automatik melancarkan kemas kini perisian tegar atau kemas kini “DBX” melalui Kemas Kini Windows atau kemas kini sistem untuk mendaftarkan sijil CA 2023 baharu. Walau bagaimanapun, anda boleh mengemas kini But Selamat anda secara manual.

Amaran: Sebelum meneruskan, pastikan anda menyimpan kunci pemulihan BitLocker dan BIOS (UEFI) anda terkini. Jika firmware komputer anda tidak menyokong sijil baharu, komputer anda mungkin gagal but selepas kemas kini. Anda juga disyorkan untuk membuat sandaran penuh komputer anda sebelum meneruskan.

Buka PowerShell (admin) dan jalankan:

tambah reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v Kemas Kini Tersedia /t REG_DWORD /d 0x5944 /f

Arahan ini menetapkan kunci pendaftaran yang mengarahkan sistem pengendalian untuk menggunakan semua sijil yang diperlukan (termasuk pengurus but yang ditandatangani PCA 2023).

Nilai tersebut 0x5944ialah kod "mitigasi penuh" yang membolehkan semua kemas kini sijil yang berkaitan.

Windows 11 mempunyai tugas terbina dalam yang memproses perubahan sijil ini, dan anda boleh mencetuskannya secara manual untuk mengelakkan menunggu selama 12 jam dengan arahan berikut:

Mula-JadualTask ​​-TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell mengemas kini sijil But Selamat / Imej: Mauro Huculak

Kemas kini biasanya memerlukan dua but semula untuk digunakan sepenuhnya. Selepas but semula pertama, sistem akan mengemas kini pengurus but. Selepas but semula yang kedua, ia akan memuktamadkan pendaftaran sijil dalam pangkalan data UEFI.

Selepas but semula anda, anda boleh mengesahkan sama ada “UEFI CA 2023” kini terdapat dalam pangkalan data anda dengan menjalankan arahan PowerShell ini (sebagai pentadbir):

[Pengekodan.Teks.Sistem]::ASCII.GetString((Dapatkan-SecureBootUEFI db).bytes) -padankan 'Windows UEFI CA 2023'

• Benar: Sistem anda kini dilindungi dengan sijil baharu.
• Palsu: Jika ia kekal palsu selepas beberapa but semula, firmware papan induk mungkin terlalu lama untuk menerima format sijil baharu. Semak laman web pengilang anda untuk kemas kini BIOS berkaitan “But Selamat”.

Jika BitLocker aktif, anda mungkin perlu melumpuhkan penyulitan buat sementara waktu ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) sebelum firmware boleh berjaya menulis kunci baharu pada peranti.