自從 Windows 支援 Secure Boot 以來,大多數 Windows 裝置在 UEFI 的 Secure Boot 資料庫中,都使用同一系列的 Microsoft 憑證。這批較早期的憑證將從 2026 年開始陸續到期。為了維持開機安全與信任鏈完整,系統需要更新為 2023 年版的 Microsoft 憑證。
如果您的系統目前已啟用 Secure Boot,請讓這批憑證於 2026 年年中到期前完成更新。
您需要做什麼?
您只需要完成以下其中一種更新方式即可:
(方法II)手動更新UEFI BIOS
注意:在更新 BIOS 後,您可能會被提示輸入 BitLocker 恢復密鑰以解鎖並存取作業系統。有關詳細步驟,請參閱本文:如何找到 BitLocker 密鑰。
您也可以在更新 BIOS 之前先停用設備加密和標準 BitLocker 加密,然後在 BIOS 更新後重新啟用加密,以保護您的資料安全。有關詳細步驟,請參閱本文:設備加密和標準 BitLocker 加密簡介。
For Motherboard
您也可以從 ASUS 官方網站下載並更新至最新版本的 UEFI BIOS,以取得更新後的 Secure Boot 憑證。
這種方式較適合熟悉 BIOS 更新流程的進階使用者,或是無法正常透過 Windows Update 收到更新的系統。
1. 從 ASUS 官方網站下載並更新至最新版本的 UEFI BIOS,您可以參考FAQ:如何更新BIOS
2. Clear Secure Boot Keys:
2.1 更新BIOS後重啟系統,重新進入BIOS Setup,進入Advanced\Boot\Secure Boot
若Secure Boot Mode為Standard,請改為Custom
2.2 點擊 Key Management
2.3 執行 "Clear Secure Boot Keys"
點擊[Yes]
2.4 確認所有UEFI安全啟動密鑰(PK、KEK、DB、DBX)清除成功
3. Install Default Secure Boot Keys:
3.1 清除Secure Boot Keys之後, 執行 "Install Default Secure Boot Keys."
點擊[Yes]
3.2 檢查PK/KEK/DB/DBX的Size/Number of Keys不為0,Key Source為[Default]。UEFI Secure Boot Keys更新過程即已完成。
4. 将 “Windows UEFI CA 2023” certificate套用至Windows Boot Manager:
4.1 在Windows系統搜索框中輸入PowerShell
4.2 在搜索結果中,點擊Windows PowerShell圖標,選擇以管理員身份運行(Run as Administrator)
4.3 以管理員身份打Windows PowerShell窗口後,分別輸入以下命令,然後點擊Enter鍵即可完成Boot Manager的“'Windows UEFI CA 2023” certificate更新
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
Q&A
問題一:如何查看UEFI Secure Boot Keys版本?
回答:請參考如下步驟:
1. 在BIOS頁面,進入 Advanced\Boot\Secure Boot\Key Management.
2. 分別選擇以下項目,然後選擇“Delete Keys”:
➢ KEK Management
➢ DB Management
3. 在提示視窗中選擇“No”。(注意:此操作僅用於顯示Key的資訊;選擇“Yes”將刪除Key。
4. 確認KEK Management包含 "Microsoft Corporation KEK 2K CA 2023"
5. 確認DB Management同時包含 "Microsoft UEFI CA 2023" and "Windows UEFI CA 2023"
問題二:如果您在BIOS中已经更新了UEFI Secure Boot Keys,但是仍然在事件檢視器遇到如下圖TPM-WMI error message (Event ID: 1801)。
回答:請按照以上步驟4更新Boot Manager的 “Windows UEFI CA 2023” certificate以解决問題。
For Notebook
您也可以從 ASUS 官方網站下載並更新至最新版本的 UEFI BIOS,以取得更新後的 Secure Boot 憑證。
這種方式較適合熟悉 UEFI BIOS 更新流程的進階使用者操作。
1. 從 ASUS 官方網站下載並更新至最新版本的 UEFI BIOS,您可以參考FAQ:如何在Windows作業系統環境中更新BIOS | 官方支援 | ASUS 台灣
2. Reset To Setup Mode
2.1 更新BIOS後重啟系統,重新進入BIOS Setup,進入Advanced\Boot > Secure Boot
2.2 點擊 Key Management
2.3 執行 "Reset To Setup Mode"
2.4 點擊[Yes]
2.5 確認所有UEFI安全啟動密鑰(PK、KEK、DB、DBX)清除成功
3. Restore Factory Keys
3.1 執行 "Restore Factory Keys"
3.2 點擊[Yes]
3.3 檢查PK/KEK/DB/DBX的Size/Number of Keys不為0。
UEFI Secure Boot Keys更新過程即已完成。
Q&A
問題一:如何查看UEFI Secure Boot Keys狀態?
回答:請參考如下步驟:
1. 在BIOS頁面,進入 Advanced\Boot > Secure Boot > Key Management.
2. 分別選擇以下項目,然後選擇“Details”:
➢ Key Exchange Keys (KEK)
➢ Authorized Signatures (db)
3. 確認Key Exchange Keys (KEK)包含 "Microsoft Corporation KEK 2K CA 2023"
4. 確認Authorized Signatures (db)同時包含 "Microsoft UEFI CA 2023" and "Windows UEFI CA 2023"
For AIOT
您也可以從 ASUS AIOT官方網站下載並更新至最新版本的 UEFI BIOS,以取得更新後的 Secure Boot 憑證。
這種方式較適合熟悉 BIOS 更新流程的進階使用者,或是無法正常透過 Windows Update 收到更新的系統。
1. 從 ASUS AIOT官方網站下載並更新至最新版本的 UEFI BIOS,您可以參考FAQ:如何更新BIOS
2. Install Default Secure Boot Keys
2.1 更新BIOS後重啟系統,重新進入BIOS Setup,進入Security > Secure Boot
2.2 若Secure Boot Mode為Custom,請改為Standard
2.3 點擊OK (Install factory default in Key Management)
2.4 點擊 Expert Key Management
2.5檢查PK/KEK/DB/DBX的Size/Number of Keys不為0
Q&A
問題一:如何查看UEFI Secure Boot Keys狀態?確認已經完成Install 2023 年版的 Microsoft 憑證?
回答:請參考如下步驟:
1. 若Secure Boot Mode為Standard,請改為Custom
2. 點擊OK
3. 點擊 Expert Key Management
4. 選擇Key Exchange Key (KEK) > Details
5. 確認KEK Management包含 "Microsoft Corporation KEK 2K CA 2023"
6. 選擇Authorized Signatures (db) > Detail
7. 確認DB Management同時包含 " Windows UEFI CA 2023" and "Microsoft UEFI CA 2023" and "Microsoft Option ROM UEFI CA 2023"
