I februari rapporterade vi om Microsofts varning till användare att äldre certifikat för Secure Boot går ut i slutet av juni i år. Den forumtråden har vuxit till många sidor och under våren har det blivit tydligt att Microsofts försök att göra uppdateringen till de nya certifikaten från 2023 enkel och smärtfri inte har varit helt lyckad.
Många användare har inte fått några uppdaterade certifikat trots att de har följt instruktioner om att aktivera Secure Boot och se till att Windows Update får installera alla tillgängliga uppdateringar.
Som tur är har uppmärksamma forumiter tipsat om mer detaljerade instruktioner från Microsoft som i många fall kan tvinga fram uppdateringen av certifikaten. Det finns också tredjepartsverktyg som kan hjälpa till när inte heller detta fungerar, och slutligen finns en möjlighet att manuellt lägga till de nya certifikaten i UEFI (BIOS).
Osäker på om din dator har uppdaterade certifikat? Öppna Windows-säkerhet och gå till Enhetssäkerhet. Om det står att alla nödvändiga certifikatuppdateringar har tillämpats behöver du inte göra något mer.
Du måste aktivera Secure Boot (säker start) i BIOS-inställningarna för att Windows ska kunna uppdatera certifikaten. Alla kommandon nedan måste skrivas in i Powershell med administratörsbehörighet. Starta Terminal, klicka på pilknappen intill den öppna fliken, högerklicka på Windows Powershell och välj Kör som administratör.
Om du använder Bitlocker bör du dubbelkolla att du har sparat undan återställningsnyckeln, eftersom BIOS-ändringar ibland kan få Windows att begära den för att dekryptera disken.
Microsofts officiella lösning
Se till att systemet är helt uppdaterat. Skriv in följande två kommandon (ett efter ett, trippelklicka för att markera ett komplett kommando):
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
Det här ska tala om för systemet att det finns ett nytt certifikat tillgängligt och sätter igång uppdateringen. Du kan kontrollera om det har lyckats med följande kommando (du kan behöva starta om datorn först):
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Du kan även kontrollera att Windows Boot Manager har det nya certifikatet:
(Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing").UEFICA2023Status
Microsoft rekommenderar även att du blockerar det gamla certifikatet från 2011 när det nya är installerat och bekräftat. Det gör du med följande två kommandon:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Om din dator inte har fått en BIOS-uppdatering efter 2023 lär de inbyggda certifikaten i UEFI-mjukvaran vara de gamla från 2011. I så fall kommer de uppdaterade certifikaten som Windows har installerat att försvinna om du nollställer Secure Boot i BIOS-inställningarna eller nollställer hela BIOS. Nyare versioner av Windows kommer då vägra starta med Secure Boot och du måste manuellt installera de nya certifikaten.
Du kan kontrollera om din UEFI-mjukvara har de nya certifikaten med följande kommando:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')
Tredjepartsverktyg
Om du inte får till det med ovanstående kommandon kan du testa ett tredjepartsverktyg.
Användaren Garlin på Windows Eleven Forum har tagit fram ett par Powershell-skript som kan kontrollera certifikatstatus och tvinga fram uppdateringen. De är publicerade på Github och du kan själv läsa igenom och kontrollera koden.
Skriptet Check_UEFI-CA2023.ps1 kontrollerar status och Update_UEFI-CA2023.ps1 installerar de nya certifikaten.
Mosby är ett verktyg som kan installera de uppdaterade certifikaten direkt till BIOS utan att behöva gå via Windows. Du installerar det på ett USB-minne som du startar datorn från och utför installationen, men först måste du ställa in Secure Boot i ”Setup Mode” i BIOS-inställningarna (exakt hur du gör det kan variera mellan olika moderkort). Mosby kan även rätta till andra Secure Boot-fel.
Litar du inte på utvecklarna av dessa öppna verktyg kan du ge dig på att själv installera de nya certifikaten för hand. @sp1k3n har delat instruktioner här, med exempelbilder från ett Asus-moderkort.