セキュア ブート証明書の有効期限が間もなく切れる — 継続的な保護のために更新する方法

お使いの PC が 2 年以上前のものである場合、Windows セキュア ブート証明書は 2026 年 6 月に期限切れになります。セキュア ブート更新の受信が停止され、最終的にはブートの問題が発生する可能性があります。 Microsoft は Windows Update を通じて新しい証明書を段階的に展開していますが、このガイドに従って今すぐセキュア ブート証明書を更新することで、段階的な展開の不確実性を回避できます。

目次

セキュア ブート証明書とは

PC UEFI のセキュア ブート機能により、信頼できる製造元のデジタル署名されたソフトウェアのみで PC が起動することが保証されます。この認証プロセスには複数の手順があり、最初の最も重要な手順は、コードが 1 行も実行される前に、公開証明書を使用して信頼できるソフトウェア メーカーを識別することです。

このため、PC の UEFI ファームウェアには、ソフトウェアが信頼できるソースからのものであることを確認するための「ID カード」として基本的に機能するメーカー証明書のリストが保持されています。これは、ブートキットやルートキットからの保護に役立ちます。そのようなマルウェアは、登録された製造元からの証明書がなければ機能しないためです。

最新のセキュア ブート証明書に更新する必要がある理由

セキュア ブート証明書には、他の証明書と同様に有効期限があります。 2024 年より前に製造されたほとんどの PC はMicrosoft Corporation UEFI CA 2011 を使用しています。 証明書の有効期限は 2026 年 6 月に切れます。有効期限が切れると、PC は Windows ブート マネージャーの更新を受信できなくなり、PC が新たな脅威に対して脆弱になります。また、新しい証明書で署名された最新のハードウェアの使用にも問題が発生します。

最新のWindows UEFI CA 2023 に更新する必要があります。 証明書。実際、Microsoft はすでに OEM と協力して、Windows アップデートを介してこれらの証明書をアクティブ化しています。ただし、これらの証明書を今すぐ手動でアクティブ化したい理由は数多くあります。最も一般的なものは以下のとおりです。

• Microsoft が有効期限前に特定の PC 上で証明書をアクティブ化するという保証はありません。自動展開はデバイスの重要性に基づいて行われます。何ヶ月も待たされることもあります (そうでないとアクティブ化されません)。
• 古い 2011 証明書は、セキュア ブートをバイパスできる BlackLotus ブートキットに対して脆弱です。今すぐ更新すると、すぐにセキュリティを確保できます。
• PC で Windows アップデートが無効になっている場合、またはアップデートを自分で管理したい場合は、証明書を手動で更新する必要がある場合があります。
• 回復ドライブがある場合は、証明書の更新後に機能しなくなる可能性があります。新しい回復ドライブをタイムリーに作成できるように、必要に応じてインストールすることをおすすめします。

最新の証明書をインストールしなくても PC からロックアウトされることはありませんが、PC のセキュリティが侵害され、将来のハードウェアのアップグレードが困難になります。

PC で最新のセキュア ブート証明書が実行されているかどうかを確認します

Microsoft が特定の PC 上で証明書を既にアクティブ化している可能性があります。 PowerShell コマンドを実行してこれを確認できます。

Windows 検索で「powershell」を検索し、Windows PowerShell を右クリックします。 をクリックし、管理者として実行を選択します。 。

次のコマンドを実行します。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

出力が True と表示される場合 、すでに最新の証明書を持っているので、それ以上何もする必要はありません。 誤りと表示されている場合 、更新して有効化する必要があります。

Windows に 2023 セキュア ブート証明書をインストールする

Windows UEFI CA 2023 証明書はおそらくすでに PC 上に存在しています。 Microsoft は実際、Windows 11 2024 年 2 月の累積更新プログラムでこれらの証明書をすべての PC に追加しましたが、アクティブ化はしませんでした。 Windows 11 の 2 月の更新後に PC が少なくとも 1 回更新されている場合は、次の手順に従って証明書を展開してアクティブ化できます。

管理者として PowerShell を再度開き、次のコマンドを実行します。

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

このコマンドは、レジストリを編集して 2023 証明書を展開します。 0x5944 コマンド内のビットマスクは実際に 6 つの異なる命令を実行して、PC に Windows UEFI CA 2023 をインストールできるようにします。

ここで、上記のコマンドで作成された命令を有効にするには、PowerShell で次のコマンドを実行する必要があります。

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

このコマンドは、互換性の確認や新しい証明書の WinSxS フォルダーからステージング領域への移動など、次回の起動時に Windows が証明書をインストールするために必要なジョブを実行します。コマンドの実行中に PC が少しフリーズすることに気づくかもしれません。

最も重要な手順は、Windows を 2 回再起動することです。 PC をシャットダウンして再起動するのではなく、再起動する必要があります。高速スタートアップを有効にしている場合、単純なシャットダウンではメモリはクリアされません。これは、これらの変更を有効にするために必要です。

以上です。お使いの PC には、2038 年まで有効な最新のセキュア ブート証明書が設定されます。問題が発生することはありませんが、問題が発生した場合は、これらのガイドの手順に従って、Windows が起動しない問題を修正し、無限再起動ループを修正してください。