🔑
WSUS環境でのWindows セキュア ブート証明書の有効期限切れ対応
Windowsのセキュアブート証明書の有効期間が2026年6月に切れるということで、対策について検証してみた。
本記事では、
- 更新された証明書定義を DB にインストール
- デバイスのブートマネージャーを更新
- 失効を有効
- SVN 更新プログラムをファームウェアに適用
の4ステップのうち、
- 更新された証明書定義を DB にインストール
までの検証をしたものである。
検証の進捗に応じて今後、更新していく。
セキュアブート証明書の有効期限についてはこちら
検証環境
- Windows11 23H2
- WSUSで2025年9月のパッチ適用済み
- キッティング後はインターネット接続なし
- 端末は2023年に納品されたもので、UEFIのバージョンはキッティングした時点のものからアップデートしていない
※2025年7月8日にリリースされた Windows 月次サービス更新プログラムは適用されているので条件は満たしている。
インターネットに繋がる端末であれば、特段気にしなくても更新はなるようだが、インターネットに繋がっていない環境では対策が必要らしい。
事前確認
セキュアブートの確認
セキュアブートはWindows11の最小システム要件になっているが、念のため確認
- 「msinfo32.exe」を実行し、「セキュアブートの状態」を確認
- PowerShellを管理者で起動し、「Confirm-SecureBootUEFI」コマンドを実行
のどちらかで確認できる。
msinfo32.exeでセキュアブートの状態を確認した画面
セキュアブート証明書の確認
PowerShellを管理者で起動し、このコマンドを実行
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
「False」であれば、未適用
検証
更新された証明書定義をDBにインストール
レジストリの設定とタスクスケジューラに登録されているタスクを実行
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x40
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
実行後、再起動を2回行う。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
「True」 が帰ってくればOK。
検証環境では、UEFI/BIOSを最新に更新済みの端末と未更新の端末で試したが、どちらも「True」が返ってきたことを確認
「"Windows UEFI CA 2023" 証明書で署名されたブートマネージャーのインストール」以降の検証は、後日行う。
参考サイト
Discussion