Secure Boot Sertifika Yenileme Rehberi

Microsoft, Haziran 2026 itibarıyla Secure Boot güven zincirinde mekan saha bazı eleştirel sertifikaların süresinin dolacağını biçimsel olarak duyurdu. Özellikle Microsoft Corporation KEK CA 2011 ve Microsoft Corporation UEFI CA 2011 sertifikalarının yaşam döngüsünün sona erecek olması, hem istemci hem da sunucu sistemler için dikkatle planlanması lüzumen tek geçiş sürecini beraberinde getiriyor.

Secure Boot, UEFI firmware seviyesinde çalışan ve sistemleri açılışında yalnızca güvenilir şekilde imzalanmış bileşenlerin yüklenmesini sağlayan ilköğretim tek güvenlik mekanizmasıdır. Bu yapı; Platform Key (PK), Key Exchange Key (KEK), imzalı bileşen veritabanı (db) ve iptal edilmiş imzalar veritabanı (dbx) gibi bileşenlerden oluşan tek güven zincirine dayanır. Süresi dolan sertifikalar güncellenmediği takdirde, ilerleyen dönemlerde boot bileşenlerinin doğrulanamaması, güvenlik güncellemelerinin uygulanamaması ya da bazı sistemlerde açılış sualnleri gibi riskler ortaya çıkabilir.

Microsoft’un yayımladığı rehberlerde, bu değişikliğin yalnızca yepyeni sistemleri değil; Windows Server 2012 ve sonrası karışmış bulunmak üzere Secure Boot kullanan şimdiki firma altyapıları da tesirleyebileceği vurgulanmaktadır. Bu nedenle başlık, sıradan tek sertifika güncellemesi değil; donanım seviyesindeki güven zincirinin sürekliliğini himaye operasyonudur.

Bu rehberde, Secure Boot sertifika sürecinin teknikleri arka planı, şimdiki ortamın nasıl envanterleneceği, olası riskler senaryoları ve firma ölçekte güvenli geçiş stratejileri ele alınacaktır. Amaç, Haziran 2026 öncesinde lüzumli hazırlıkların tamamlanmasını sağlayarak altyapının güvenli ve kesintisiz çalışmasını güvence altına edinmektır.

Teknik Arka Plan: Secure Boot Güven Zinciri Nasıl Çalışır?

Secure Boot, UEFI firmware içinde tanımlı kriptografik anahtarlar ve sertifikalar üzerinden çalışan tek güven zinciri (chain of trust) mekanizmasıdır. Amaç basittir: Sistem açılırken yalnızca güvenilir ve imzalanmış şifre çalışsın.

Bu zincirin ilköğretim bileşenleri şunlardır:

Platform Key (PK)

En üst ytesirli anahtardır.
Sistemin Secure Boot yapılandırmasını kimin değiştirebileceğini belirler. PK değişirse tüm güven zinciri değişmiş olur. Kurumsal cihazlarda genelleme OEM tarafından yüklenmiş halde gelir.

Key Exchange Key (KEK)

KEK, güncelleme ytesirsini temsilcilik eder.
UEFI veritabanına (db ve dbx) yepyeni sertifika eklenmesini ya da iptal edilmesini sağlayan anahtarları budur.

Haziran 2026’da süresi dolacak olan sertifikalardan biri:

• Microsoft Corporation KEK CA 2011

Bu sertifika güncellenmezse, önde yayınlanacak yepyeni imzalı boot bileşenleri güvenilir giriş edilmeyebilir.

db (Allowed Signatures Database)

Bu veritabanı, çalışmasına müsaade verilen imzaları içerir.
Windows Boot Manager ve diğer önyükleme bileşenleri bu imzalarla doğrulanır.

Süresi dolacak sonuncu eleştirel sertifika:

• Microsoft Corporation UEFI CA 2011

Bu sertifika, Windows bootloader’larının güvenilirliğini doğrulayan imza zincirinin tek parçasıdır.

dbx (Revoked Signatures Database)

Bu liste, artık güvenilir olmayan ya da güvenliği ihlal eden edilmiş imzaları içerir.
Örneğin tek bootloader zafiyet içeriyorsa, Microsoft bunu dbx’e ekleyerek manileyebilir.

Bu mekanizma, özellikle geçmişte yaşanan Bootkit ve Secure Boot bypass zafiyetlerinden sonraları daha eleştirel hale gelmiştir.

2026’da Tam Olarak Ne Değişiyor?

Microsoft, 2011 yılında oluşturulan Secure Boot sertifikalarını 2023 versiyonları ile yeniliyor.
Yeni sertifikalar:

• Microsoft Corporation KEK CA 2023
• Microsoft UEFI CA 2023

Ama işte eleştirel husus şu:

Bu geçiş yalnızca Windows update edinmekla bitmiyor.
Bazı sistemlerde firmware tarafında da güncelleme lüzumebilir.

Eğer firmware, yepyeni KEK ya da UEFI CA sertifikasını tanımıyorsa:

• Yeni imzalı boot bileşeni doğrulanamaz
• Güncellenmiş bootloader yüklenemez
• Güven zinciri kırılabilir

Bu durum, özellikle önceki donanımlarda operasyonel riskler oluşturur.

Risk Senaryosu

Haziran 2026 sonrası şu senaryoyu düşün:

• Yeni tek Windows güvenlik güncellemesi boot bileşenini yeniledi.
• Bu bileşen 2023 sertifikasıyla imzalı.
• Firmware içinde hala olan yalnızca 2011 sertifikası var.
• Doğrulama başarısız.
• Sistem boot etmiyor.

Bu, teorik değil; Secure Boot mimarisinin doğrudan sonucu.

Kurumsal Etki Alanı

Bu değişiklik şunları tesirler:

• Fiziksel sunucular
• Hyper-V sanal makineleri (Secure Boot açık olanlar)
• Windows Server 2012 ve sonrası
• Windows 10 / 11 istemciler
• OEM firmware bağımlılığı olan cihazlar

Özellikle SCCM ile orta update yapan ortamlarda, firmware ve OS tarafının uyumlu ilerlemesi kritik.

Neden “Act Now” Deniyor?

Çünkü bu tek “gün geldi yamalar geç” meselesi değil.

• Envanter çıkarılmalı
• Secure Boot anahtarları durumu denetim edilmeli
• OEM firmware yolda haritası incelenmeli
• Güncelleme planı yapılmalı

Güven zinciri firmware seviyesinde başlar. İşletim sistemi yalnızca üst katmandır. Zincirin en dip halkasını ihmal edersen, yukarıdaki tüm güvenlik mimarisi teorik kalır.

Güncelleme Akışı

Microsoft yepyeni KEK 2023 sertifikasını yayınladığında süreç şöyle işler:

Windows Update tek Secure Boot update paketi getirir
İşletim sistemi, firmware’e tek UEFI variable update çağrısı yapar
Firmware, şimdiki KEK ile imzayı doğrular
İmza geçerliyse NVRAM içindeki KEK listesine yepyeni sertifika eklenir

Kontrollü Geçiş Stratejisi

• Envanter
• Firmware update ve Windows Update doğrulama
• Pilot grup
• Gözlem (UEFICA2023Status + Event ID 1808)
• Kademeli rollout

Hadi Başlayalım!! (Nereden başlamalıyız?)

Faz 1 Evanter Çıkarmak

İlk adım olarak evanter çıkarmamız lüzumiyor. Yani güvenli olan boot açık olan malumatsayarlar ve bu sistemlerde sertifikaların durumu. Bu öğrenmek için farklı yöntemler var bunlardan tek tane ve en basit olanı intune raporlamak, tek diğer sccm compliance kaleme saha başka tek yöntem manuel olarak powershell senaryolar ile denetlemek. Bu makalede elimden geldiğince tüm yöntemlere değineceğim.

Intune ile envanter toplamak

Eğer ortamınızda intune varsa işiniz gerçekten basit birinci olarak https://support.microsoft.com/en-us/topic/sample-secure-boot-inventory-data-collection-script-d02971d2-d4b5-42c9-b58a-8527f0ffa30b buradaki adımları takip ederek tek envanter çıkarıyoruz.

Powershell ile envanter toplamak

Diğer tek yöntem powershell ile sertifikaları denetlemek buradaki “https://www.powershellgallery.com/packages/Get-UEFICertificate/1.3” ps ile sistemini denetim edebilirisiniz.

PS çalıştırıldıktan sonraları aşağıdaki çıktıda açıkça 6 Haziran 2016’a sertifikanın expire olacağını görebiliyorız.

Bu gibi yöntemler ile envanter çıkarıldıktan sonraları sonuncu faz-2 e geçebiliriz.

Faz 2 Güncelleme

Bu yazısı olabildiğince farkı platformlar ile bu sertifikanın güncellenmesine değineceğim. Ancak bazı lüzumsinimleri öncesinde karşılamanız lüzumiyor. Bunlarında başında Microsoft tarafında aylık olarak yayınlanan güncellemelerin sistemlere yüklenmesi geliyor. Bunun nedeni sertifikaların bu güncellemeler ile gelmesi, bu nedenle birinci olarak aşağıdaki güncellemelerin sistemlerde yüklü olduğunu doğrulamanız lüzumiyor. Microsoft, yepyeni Secure Boot sertifikalarını farklı Windows sürümleri için özel KB güncellemeleriyle dağıtıyor.

Windows 10 tarafında 22H2 ve 21H2 sürümleri için KB5075912 yayımlandı. Bu paket hem güvenlik düzeltmeleri hem da sertifika güncellemelerini içeriyor. Sistemleri sırasıyla 19045.6937 ve 19044.6937 build seviyesine yükseltiyor. Ancak işte eleştirel husus şu: Windows 10 cihazların bu güncellemeyi alabilmesi için Extended Security Updates (ESU) programına kayıtlı olması lüzumiyor.

Windows 11’de dağıtım sürüme göre farklı KB’lerle yapılıyor. Ocak 2026’da yayımlanan KB5074109, 26200.7623 ve 26100.7623 build’leri için sertifika dağıtımını başlattı. Şubat 2026 Patch Tuesday içerikında ise:

• 24H2 ve 25H2 için KB5077181
• 23H2 için KB5075941
• 26H1 (build 28000.1575) için KB5077179
  yayımlandı ve sertifikalar bu paketlerle dağıtıldı.

Windows Server tarafında da karşılık gelen güncellemeler var:

• Windows Server 2022 için KB5075906 (build 20348.4773)
• Windows Server 2016 için Servicing Stack Update KB5075902
• Windows Server 2019 ve Windows 10 1809 için Safe OS Dynamic Update KB5075909

Standart Windows Update yönetimi kullanan sistemlerde bu güncellemeler otomatik olarak yükleniyor bununla birlikte bu yetersiz, bunun yanında bios firmware güncellemeleri oğullar olarakta sertifikaların güncellenmesi için tetiklenmesi lüzumiyor.

Aylık KB güncellemeleri yalnızca Secure Boot update payload’unu getirir. Sertifikanın firmware’e yazılması için ayrıca tetikleme (GPO, registry ya da otomatik high-confidence akışı) lüzumir.

Faz 3 Sertifikaların güncellenmesi

Secure Boot Sertifika Güncelleme Mekanizmasının Genel Çalışma Prensibi

Secure Boot sertifika geçiş süreci, klasik tek Windows güncellemesi değildir. Bu işlem işletim sistemi seviyesinde değil, firmware (UEFI) seviyesinde tamamlanır. Windows yalnızca süreci başlatır ve lüzumli sertifika değişkenlerini firmware’e devreder; yazma ve doğrulama işlemi doğrudan UEFI tarafından gerçekleştirilir.

Sürecin Başlatılması

Secure Boot sertifika dağıtımı üç yöntemle tetiklenebilir:

• Group Policy (Enable Secure Boot certificate deployment)
• Registry anahtarı üzerinden manuel tetikleme
• Intune

Her yöntemde da Windows, aşağıdaki sistemleri anahtarını algıladığında güncelleme sürecini başlatır:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
AvailableUpdates = 0x5944

0x5944 değeri, cihazın:

• Yeni Key Exchange Key (KEK)
• Güncellenmiş DB (Allowed Signatures)
• Güncellenmiş DBX (Revoked Signatures)
• Windows UEFI CA 2023 imzalı yepyeni boot manager

ile güncellenmesini başlatır.

Arka Plan İşleme Süreci

Registry değeri ayarlandıktan sonraları Windows, arka planda çalışan Secure Boot güncelleme görevini devreye alır. Bu görev yaklaşık her arasında biri 12 saatte tek çalışır ve süreci aşamalı olarak ilerletir.

İşlem şu sırayla gerçekleşir:

1. Güncellenecek Secure Boot değişkenleri hazırlanır.
2. Sertifika zinciri doğrulanır.
3. Gerekli ise sistemleri yeniden başlatılır.
4. Yeniden başlatma sırasında firmware’e yazım işlemi gerçekleştirilir.

Boot yöneticiler güncellemesi genelleme yeniden başlatma sonrasında tamamlanır.

Firmware Aşaması

Yeniden başlatma sırasında Windows, sertifika değişkenlerini UEFI firmware’e devreder. Bu aşamada:

• KEK güncellenir
• DB güncellenir
• DBX güncellenir
• Sistem Windows UEFI CA 2023 imzalı boot zincirine geçirilir

Firmware güncellemeyi giriş ederse işlem tamamlanır. Firmware reddederse yanlışlı oluşur ve hadise kayıtlarına yansır.

Sürecin İzlenmesi

Güncellemenin ilerleyişi aşağıdaki registry anahtarları ve hadise kayıtları üzerinden takip edilebilir:

• UEFICA2023Status: Sürecin durumunu gösterir (NotStarted, InProgress, Updated).
• UEFICA2023Error: Yalnızca yanlışlı oluştuğunda oluşturulur. Değeri sıfırdan farklıysa sualn vardır.

Ayrıca Event Viewer > Windows Logs > System altında Secure Boot DB, DBX ve KEK güncelleme olayları incelenmelidir.

Önemli Not

Secure Boot sertifika güncellemesi geri alınabilir tek Windows ayarı değildir. Sertifikalar firmware’e yazıldığında, kaldırma işlemi bununla birlikte BIOS/UEFI arayüzü üzerinden yapılabilir.

Bu nedenle dağıtım süreci:

• Önce pilotlar cihazlarda testleri edilmeli
• Farklı donanım modellerinde doğrulanmalı
• Firmware sürümleri güncel tutulmalıdır

Başlamadan Önce Not 1:

Çoğu alet için Microsoft, Secure Boot sertifikalarını Windows Update üzerinden otomatik güncelleyecek. Yani yüksek güvenli (high-confidence) olarak işaretlenen cihazları sistemleri öz kendine güncelliyor. Ama “ben süreci kendim doğrulayıp kontrollü dağıtacağım” diyorsan, önce envanter çıkarman lüzumiyor.

Envanter kısmı önemli. 2012 sonrası üretilen çoğu cihazda Secure Boot açık geliyor ama buna güvenme, doğrula diyor. Bunun için:

• PowerShell komutlarıyla denetim edebilirsin,
• veya registry’deki UEFICA2023Status değerine bakabilirsin. Bu değer nihayetinde “updated” olmalı.

Ayrıca Windows Autopatch içinde artık Secure Boot şart raporu var. Hangi cihazda Secure Boot açık, hangisi güncel, hangisinin sertifikası eksik – netler görebiliyorsun.

Güncel olmayan cihazlardan küçük ve temsilcilik gücü olan tek örnek cemaat oluşturmanı öneriyor. Özellikle ender ya da alışılmadık donanımlara odaklan. Çünkü Microsoft’un “yüksek güven” sınıflandırması bunlarda otomatik olmayabilir. Önce pilotlar yap, sonraları yaygınlaştır.

Dağıtıma geçmeden önce cihazları nasıl yöneteceğini planla diyor. Sertifika dağıtımı için üç ilköğretim yöntem var:

• Registry anahtarları
• Group Policy
• MDM/CSP (örneğin Microsoft Intune)

Ana prensip şu: Güncellemeye hazır olduğu doğrulanmış cihazlara sertifikaları dağıt.

Daha yaygın alet tipleri için ikisi “yardımcı mod” var:

Birincisi: High-confidence cihazlar için aylık Windows Update ile otomatik sertifika dağıtımı. Varsayılan olarak açık. İstemiyorsan HighConfidenceOptOut registry anahtarını 1 yaparak ya da ilgili GPO’yu Enabled yaparak devre dışı bırakabiliyorsun.

İkincisi: Microsoft’un kontrollü özellikler rollout modeline cihazları karışmış etmek. Bunun için MicrosoftUpdateManagedOptIn registry anahtarını 1 yapıyorsun. 0 ya da anahtarları yoksa karışmış değilsin. GPO üzerinden da Certificate Deployment via Controlled Feature Rollout ayarı var. Ama işte eleştirel şart: Cihazların lüzumli tanılama (diagnostic) verilerini Microsoft’a göndermesi lüzumiyor.

Tüm Secure Boot registry anahtarları ikisi yollar altında:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Group Policy ayarları ise:
Computer Configuration > Administrative Templates > Windows Components > Secure Boot

Ve bu GPO’ları görevakıf oldu için en güncel Windows 11 / Windows Server ADMX şablonlarını indirmen lüzumiyor.

Özetle sistemleri şöyle işliyor: Microsoft çoğu cihazı otomatik günceller. Ama firma ortamdaysan, envanter çıkar, pilotlar yap, kontrolü eline al ve registry/GPO/Intune üzerinden bilinçli tek rollout planla. Secure Boot zinciri kırılırsa alet açılmaz; o yüzden işte refleks değil, metodoloji lüzumiyor.

Not 2:

Dağıtım öncesi ve sonrası cihazların durumunu denetim et. Bunun için üç esas imkan var:

• Windows Autopatch raporu
• Registry anahtarları
• Windows Event Log

Asıl izleme noktası registry’deki UEFICA2023Status değeri. Bu değer şunlardan arasında biri olur:

• not started
• in progress
• updated

Süreç ilerledikçe bu metinleri değişir. Her şey doğru giderse nihayetinde “Updated” olur. Bu, yepyeni Secure Boot sertifikalarının ve yepyeni boot manager’ın başarıyla yüklendiği manaına gelir.

Başarılı dağıtımı nasıl doğrularsın?

1. Windows Autopatch üzerinden:
   Intune Admin Center > Reports > Windows nitelikler updates > Secure Boot status
   Burada “Certificate status” kolonu “Up to date” görünüyorsa işlem tamamdır.
2. Event Log kontrolü:
   Windows System log’da Event ID 1808 informational event’ini ararsın.
   Bu event, lüzumli yepyeni Secure Boot sertifikalarının firmware’e yazıldığını gösterir.
3. Registry kontrolü:

• UEFICA2023Status = “Updated” olmalı.
• UEFICA2023Error anahtarı olmamalı. Bu anahtarları varsa yanlışlı var demektir.

Hata senaryosu nasıl anlaşılır?

Autopatch’te “Certificate status” kolonu “Not up to date” ise, hangi sertifikaların eksik olduğunu detayda görebilirsin.

Event Log’da Event ID 1801 varsa bu yanlışlı demektir. Güncellenmiş sertifikalar firmware’e yazılamamış.

Ayrıca:

• UEFICA2023Error registry anahtarı varsa yanlışlı oluşmuştur.
• Bu yanlışnın kendisi Event Log’da görünmeyebilir.
• Sorunu kavramak için Secure Boot DB ve DBX variable update event’lerini ttesirkn lüzumir.

Özetle sistemleri şöyle çalışıyor:

Başarılı
UEFICA2023Status = Updated
Event ID 1808 var
UEFICA2023Error yok

Hata
Event ID 1801 var
UEFICA2023Error var
Autopatch’te Not up to date

Bu tamamlanmış gözlem ve doğrulama katmanı. Çünkü Secure Boot firmware seviyesinde çalışır. İşletim sistemi açılıyor diye her arasında biri şey doğru demek değildir. Zincirin kriptografik halkaları doğru güncellenmiş mi önemli olan bu.

Bu malumatler sonrasında güncellemelere başlayabiliriz. Bu makalede üç ayrı seçenek ile ilerleyeceğiz Intune, GPO ve Manuel güncelleme.

Manuel Güncelleme

Tüm ön lüzumsimleri karşıladıktan sonraları manuel olarak bu işlemi etmek istiyorsak önce şimdiki durumu aşağıdaki komut ile denetim ediyoruz

Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\ -Name UEFICA2023Status | Select-Object UEFICA2023Status

Aşağıdaki görüldüğü gibi süreç henüz başlamamış. Aşağıdaki registry anahtarlar ile süreci başlatıyoruz.

Set-ItemProperty -Path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot’ -Name ‘AvailableUpdates’ -Value 0x5944

Sonrasında zamanlanmış görevi çalıştırıyoruz ve süre. “InProgress” olarak değişiyor.

Start-ScheduledTask -TaskName ‘\Microsoft\Windows\PI\Secure-Boot-Update’

Görev tetiklense bile boot yöneticiler güncellemesi için yeniden başlatma lüzumlidir. Sistem yeniden başladıktan sonraları taskı tek kez daha çalıştırıp süreci noktalıyoruz.

Start-ScheduledTask -TaskName ‘\Microsoft\Windows\PI\Secure-Boot-Update’

Intune İle Güncelleme

GPO İle Güncelleme

İlk olarak Windows 11 ve Windows Server için yayınlanan oğullar admx paketlerini sisteminize yüklemeniz lüzumiyor.

Bu işlem sonrası güncelleme otomatik başlayacaktır.

Secure Boot Sertifika Güncelleme Sürecinde Hata Analizi

Secure Boot sertifika geçişi (Windows UEFI CA 2023) sırasında oluşabilecek sualnları belirleme etmek için Windows, hem registry anahtarları hem da Event Viewer üzerinden izleme imkânı sunar. Özellikle firmware seviyesinde yapılan değişiklikler nedeniyle, sualnların doğru yorumlanması eleştirel öneme sahiptir.

UEFICA2023Error Anahtarı

Registry yolu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

UEFICA2023Error anahtarı yalnızca tek yanlışlı oluştuğunda oluşturulur.

• Anahtar yoksa > süreçte yanlışlı yoktur.
• Anahtar şimdiki ve değeri 0’dan farklıysa > Secure Boot değişken güncellemesi sırasında yanlışlı oluşmuştur.

Bu durumda, Event Viewer üzerinden Secure Boot DB (Allowed Signatures) ve DBX (Revoked Signatures) güncelleme olayları incelenmelidir. Bu olaylar, sertifika zincirinin hangi aşamada başarısız olduğunu gösterir.

AvailableUpdates Değeri ve 0x0004 Bit’i

Aynı registry başlıkmunda bulunan AvailableUpdates değeri, Secure Boot dağıtım sürecinin hangi aşamada olduğunu gösteren tek bit alanıdır.

Örnek durum:

AvailableUpdates = 0x4104

Bu değer içerisindeki 0x0004 biti, sistemin yepyeni Key Exchange Key (KEK) sertifikasını firmware’e yazma aşamasında olduğunu ifadeleri eder.

Eğer:

• Cihaz birden fazla yeniden başlatmaya rağmen
• 0x0004 biti temizlenmiyorsa

bu, cihazın KEK sertifikasını firmware’e yazamadığı manaına gelir.

Bu aşamada sualn genelleme Windows tarafında değil, UEFI firmware implementasyonundadır. Microsoft bu durumda OEM üreticiyle iletişime geçilmesini ve alet için tek firmware güncellemesi olup olmadığının denetim edilmesini önermektedir.

Event ID 1795

Event Viewer > Windows Logs > System altında görülebilir.

Event ID 1795 şu manaa gelir:

Windows, Secure Boot sertifikalarını firmware’e devretmeye çalışmış bununla birlikte firmware bu işlemi reddetmiştir.

Bu yanlışlı çoğunlukla aşağıdaki nedenlerden kaynaklanır:

• UEFI firmware sürümünün güncel olmaması
• OEM’in Secure Boot değişken yönetim yönergelerine hepsi uyumlu olmayan implementasyonu
• Donanım üreticisinin 2023 sertifika geçişine hazırlıklı olmaması

Bu durumda yapılması lüzumen birinci adım:

• Cihaz üreticisinin yayınladığı en güncel BIOS/UEFI firmware sürümünü denetlemek
• Gerekirse firmware güncellemesi icra etmek

Önemli Mimari Not

Secure Boot sertifika güncellemesi Windows içinde değil, firmware seviyesinde tamamlanır. Windows yalnızca sertifikayı firmware’e teslim eder. Yazma işlemi UEFI tarafından gerçekleştirilir.

Bu nedenle:

• Tekrarlayan restart sonrası terakki yoksa
• 0x0004 biti temizlenmiyorsa
• Event ID 1795 oluşuyorsa

sualn büyük olasılıkla firmware katmanındadır.

Son sözler

• Eğer güncellemeler başarız oluyorsa Group Policy ya da registry değişikliği sualnu çözmez. Firmware güncellemesi ya da OEM desteği lüzumir.

• Secure Boot geçiş süreci, klasik tek Windows update’inden farklı olarak güven zincirinin en dip katmanına müdahale eder. Bu nedenle yanlışlı teşhisinde registry değerleri, bit bayraklar analizleri ve firmware hadise kayıtları birlikteki değerlendirilmelidir.

• Sertifikaların süresinin dolması tekbaşına başına sistemin anında boot etmeyeceği manaına gelmez. Ancak Microsoft’un 2023 zincirine geçişi güçunlu kılacağı aşamalı enforcement planı nedeniyle, güncelleme yapılmayan sistemler ilerleyen dönemlerde riskler altına girecektir

• Secure Boot değişkenleri firmware NVRAM’ine yazılır. Bu işlem Windows üzerinden rollback edilemez. Temizleme yalnızca UEFI arayüzünden yapılabilir.