Microsoftは、対象となるWindows 11 24H2および25H2システムで、期限切れが近いSecure Boot証明書の自動置き換えを開始しました。
「ほとんどのWindowsデバイスで使用されているSecure Boot証明書は、2026年6月から期限切れになる予定です。適時に更新されない場合、特定の個人用および業務用デバイスが安全に起動できなくなる可能性があります」と、Microsoftは述べています。
「この更新プログラム以降、Windowsの品質更新プログラムには、新しいSecure Boot証明書を自動的に受け取る対象デバイスを特定する、高い信頼度のデバイスターゲティングデータの一部が含まれます。デバイスは、十分な成功した更新シグナルを示した後にのみ新しい証明書を受け取り、安全かつ段階的な展開を確実にします」と、同社は付け加えました。
Secure Boot機能を維持し、エンドポイントのセキュリティを確保したいIT管理者は、古い証明書がこの夏に期限切れになる前に、新しい証明書をインストールする必要があります。
これを行わないと、Windows Boot ManagerおよびSecure Bootの保護を失う可能性があります。Secure Boot有効デバイスには、起動前コンポーネント向けのセキュリティ更新プログラムが提供されなくなるためです。
「更新がない場合、Secure Boot有効のWindowsデバイスはセキュリティ更新プログラムを受け取れなくなったり、新しいブートローダーを信頼できなくなったりするリスクがあり、保守性とセキュリティの両方が損なわれます」と、Microsoftは説明しています。
MicrosoftはWindows Updateを通じて高信頼度のデバイスを自動的に更新しますが、組織はレジストリキー、Windows Configuration System(WinCS)、およびグループポリシー設定を使用してSecure Boot証明書を展開することもできます。
MicrosoftのSecure Bootプレイブックによると、管理者はまずデバイス群の棚卸しを行い、PowerShellコマンドまたはレジストリキーを使用してSecure Bootの状態を確認し、その後、Microsoftの証明書更新プログラムをインストールする前にメーカーのファームウェア更新を適用する必要があります。
