Как обновить сертификаты UEFI CA 2023 в Windows 11/10

Безопасная загрузка (Secure Boot) — один из важнейших компонентов защиты современных компьютеров на базе Windows 11/10. Она блокирует запуск вредоносного ПО до загрузки самой операционной системы. Долгое время Secure Boot полагался на глобальный сертификат Microsoft UEFI CA 2011, срок действия которого истекает в середине 2026 года. Кроме того, из-за опасных уязвимостей, таких как BlackLotus и BootHole, Microsoft постепенно переводит все устройства на новый стандарт – Windows UEFI CA 2023. Если ваша система не будет вовремя обновлена под новый сертификат, в будущем после очередных патчей безопасности вы рискуете получить ошибку "Secure Boot Violation" или полную невозможность загрузить ОС. В этой статье я разберу, как правильно обновить и установить новый сертификат на ПК с Windwos 11 и 10.

Процесс обновления затрагивает не один, а сразу четыре сертификата, каждый из которых выполняет свою определенную роль в иерархии безопасности UEFI.

• Microsoft Corporation KEK 2K CA 2023 – это главный разрешающий сертификат доступа, который проверяет легитимность всех остальных сертификатов DB и DBX, которые добавляются в базы данных UEFI.
• Windows UEFI CA 2023 – отвечает за проверку самого диспетчера загрузки Windows (bootmgfw.efi) и системных драйверов. Без него система не запустится.
• Microsoft UEFI CA 2023 – для сторонних UEFI-загрузчиков (загрузчик Shim для Linux) и EFI-приложений.
• Microsoft Option ROM UEFI CA 2023 – пропуск для железа (видеокарты, сетевые карты).

Сценарии, если не будет какого-либо сертификата:

• Microsoft Corporation KEK 2K CA 2023 – не будет работать обновление системы безопасности Secure Boot, так как не сможете обновить списки разрешенных (DB) или заблокированных (DBX) программ. К примеру, если в будущем Windows попытается через "Центр обновления" закрыть новую критическую уязвимость в загрузчике, она не сможет этого сделать. Система выдаст ошибку обновления, так как у нее нет права подписи ключа KEK для изменения системных переменных.
• Если не будет Windows UEFI CA 2023, то сама ОС Windows и средства её восстановления не будут работать. К примеру, установили крупное обновление Windows 11 или скачали свежий ISO-образ с сайта Microsoft для переустановки системы, то при попытке загрузки вы увидите синий или черный экран с надписью "Secure Boot Violation". Компьютер откажется верить, что эта Windows подлинная, так как её новый загрузчик (bootmgfw.efi) подписан сертификатом, которого нет в вашем BIOS.
• Microsoft UEFI CA 2023 – не будет работать Linux, Live-USB и специализированный софт. К примеру, решили установить Ubuntu или воспользоваться мощной антивирусной флешкой, которая работает до загрузки Windows, то загрузка будет мгновенно заблокирована. Также могут перестать работать специфические инструменты для прошивки BIOS или диагностики "железа", которые работают в среде UEFI.
• Microsoft Option ROM CA 2023 – не будут работать Видеокарты, сетевые карты и RAID-контроллеры. К примеру, купили новую видеокарту выпущенную в 2024–2025 годах или современную сетевую карту, то черный экран при включении ПК. Система не сможет инициализировать видеокарту в режиме UEFI, так как её внутренняя микропрограмма (Option ROM) подписана новым ключом. Вам придется отключить Secure Boot (снижая защиту).

❗Начну с того, что в Интернете практически все сайты рекомендуют начать принудительное обновление через PowerShell или "Центр обновления", но не учитывают факт, что сертификат Microsoft Corporation KEK 2K CA 2023 не обновится таким методом, так как он идет с обновлением BIOS/UEFI с сайта производителя материнской платы ПК или модели ноутбука.

Как обновить сертификаты CA 2023 в Windows 11/10

❗Функция Secure Boot (Безопасная загрузка) должна быть включена в BIOS, иначе обновление сертификатов не имеет смысла как безопасность (как включить Secure Boot в BIOS).

❗Отключите шифрование BitLocker перед обновлением сертификатов.

Шаг 1. Проверим, есть ли в Windows 11/10 обновленные сертификаты CA 2023. Запустите PowerShell от имени администратора и введите ниже 4 команду для проверки 4-ех сертификатов:

# Проверка Windows CA 2023

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI DB).Bytes) -match 'Windows UEFI CA 2023'

# Проверка Microsoft UEFI CA 2023 (для драйверов/Linux)

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI DB).Bytes) -match 'Microsoft UEFI CA 2023'

# Проверка KEK 2023

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).Bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

# Microsoft Corporation KEK 2K CA 2023

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).Bytes) -match 'Microsoft Option ROM CA 2023'

• Если команда проверка выдала ответ True, то сертификат установлен. Если False, то обновим их ниже (Шаг 4).

Шаг 2. Из проверки выше видно, что у меня три сертификата есть, а Microsoft Option ROM CA 2023 выдал False, что означает его отсутствие и нужно обновить BIOS. Первым делом определите своего производителя материнской платы или модель ноутбука, после чего зайдите на официальный сайт и посмотрите последнее обновление прошивки BIOS/UEFI. Если не собираетесь менять железо (поменять сетевую карту, видеокарту), то можно не обновлять данный сертификат.

• Обновите BIOS/UEFI, чтобы обновить сертификат Microsoft Corporation KEK 2K CA 2023 и другие, если производитель их внесет в прошивку.

Шаг 3. Перейдите в центр обновления Windows 11/10 и обновите систему. Если там будут обновления со строками "Secure Boot", "сертификат", CA 2023, то данные сертификаты установятся автоматически. Есть один момент, если сертификаты обновились через центр обновления, то они установятся в течении 2 двух дней, так как установка будет происходить в неиспользованное время ПК и в фоновом режиме.

Шаг 4. Установим сертификаты вручную, если через центр обновления они не обновились. Нажмите Win+X и выберите Терминал (администратор), после чего введите ниже команды, чтобы обновить сертификаты CA 2023 для Windows 11/10:

# Меняем значение в реестре, чтобы система принудительно развернула обновленный диспетчер загрузки

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944

# Запустит системную задачу, которая распакует скачанный пакет и запишет все три ключа в базы UEFI

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

❗Перезагрузите компьютер дважды, так как для полного применения параметров и перезаписи файлов загрузчика, системе требуются две последовательные перезагрузки.

• После ввода команды, перезагрузили ПК, вошли на рабочий стол, сделали еще раз перезагрузку.
• Проверьте статус сертификатов выше командами, где ответ должен быть True (Шаг 1).

Ответы, рекомендации и ошибки по CA 2023

🛠 Почему лучше обновить BIOS, чем использовать PowerShell?

Центр обновления и PowerShell хорошо подходят для добавления 3-х рабочих ключей (DB). Этого достаточно, чтобы Windows 11 продолжала загружаться после 2026 года. Обновление BIOS необходимо для обновления главного ключа (KEK) и полной уверенности, что новое железо (видеокарты, сетевая карта) инициализируется без проблем.

Обновление BIOS от производителя, это единственный способ гарантированно обновить все 4 ключа сразу по следующим причинам:

• Права доступа: BIOS имеет прямой доступ к защищенной памяти (NVRAM), куда Windows иногда не пускают настройки безопасности.
• Целостность: Производитель материнской платы (ASUS, Gigabyte, Lenovo) сам расставляет ключи по нужным "ячейкам", исключая риск ошибки пользователя.
• Option ROM: Обновление BIOS часто несет в себе и обновленные микропрограммы для встроенного оборудования (звук, сеть), которые уже подписаны новыми ключами.

💾Что делать с загрузочными флешками, реаниматорами, WinPE?

Если вы используете флешки для восстановления, WinPE, реаниматоры, то в них нужно заменить файл bootmgfw.efi на версию из Windows 11 (22H2/23H2 с обновлениями от 2024 года).

🚀 Почему важно наличие Option ROM CA 2023?

Если вы обновите сертификаты Windows, но прошивка вашей видеокарты (Option ROM) подписана старым ключом, а в базе UEFI не будет нового Option ROM CA 2023, вы можете столкнуться с проблемами:

• Черный экран при загрузке до входа в Windows.
• Ошибка "Secure Boot Violation" при попытке инициализировать видеокарту.
• Невозможность зайти в настройки BIOS.

🔄️Ничего не происходит, обновление не устанавливается

Убедитесь, что Secure Boot включен в BIOS и что ваш компьютер загружается в режиме UEFI, а не Legacy (CSM). Также проверьте, что диск с которого загружается система, имеет разметку GPT.

💻После включения Secure Boot компьютер перестал загружаться

Иногда случается на старых системах. Зайдите в BIOS, временно отключите Secure Boot, загрузите Windows и выполните обновление сертификатов. После успешного обновления можно снова включить Secure Boot.

Патчи KB с сертификатами

📃Какие сертификаты Secure Boot истекают в 2026 году и чем их заменяют