La sécurité dans Windows 11 est un élément clé et de plus en plus important à mesure que de nouvelles versions sont publiées. Nous devons prendre en compte le fait que Secure Boot empêche les logiciels malveillants de bas niveau de compromettre le processus de démarrage de Windows 11, un composant qui nécessite notre attention.
La première chose que nous devons garder à l’esprit est que certains certificats Secure Boot expirent en juin 2026 prochain. Nous allons donc expliquer ci-dessous comment les réviser et les mettre à jour. Tout cela pour protéger notre ordinateur et évitez les problèmes de démarrage ou de sécurité.
Sur cette base, les certificats auxquels nous faisons référence ici pour Microsoft Secure Boot datent de 2011 et expirent en juin. Désormais, les nouveaux certificats prolongent la protection jusqu'en 2053. Bien entendu, il est probable que les équipements achetés après 2024 disposeront déjà des certificats les plus récents. D'autres les reçoivent progressivement grâce à Mise à jour Windows.
Afficher l'état des certificats de démarrage sécurisé
Nous pouvons vérifier l'état de notre certificat à l'aide de l'outil PowerShell et le mettre à jour manuellement si nous ne les avons pas reçus automatiquement. On devrait le savoir dès cette mise à jour de sécurité de janvier 2026, Microsoft a entamé le déploiement progressif d'un nouveau certificat. Cela permettra à notre ordinateur de continuer à démarrer correctement et de recevoir mises à jour de sécurité.
Et sous Windows 11, Secure Boot est une fonctionnalité de sécurité disponible dans le micrologiciel UEFI. Empêche les modifications non autorisées des fichiers système critiques lors du démarrage. Cela garantit que votre ordinateur démarre uniquement avec un logiciel fiable du fabricant. Aide à nous protéger contre les logiciels malveillants de bas niveau qui peuvent infecter le processus de démarrage et prendre le contrôle de notre ordinateur avant même que le système d'exploitation et l'antivirus ne soient chargés.
Cette fonctionnalité utilise des clés cryptographiques pour valider que les modules du micrologiciel proviennent d'une source fiable. Il faut dire que le Certificats de démarrage sécurisé Ils ont toujours eu une date d'expiration, car ils permettent de garantir que votre ordinateur continue de recevoir des mises à jour de sécurité.
Par conséquent, nous devons installer les certificats 2023 avant l'expiration des certificats 2011 en juin 2026. Dans la mise à jour KB5074109 de ce mois-ci, Microsoft a indiqué que les mises à jour incluent désormais un sous-ensemble de données de haute confiance afin de recevoir automatiquement de nouveaux certificats de démarrage sécurisé. La mise en œuvre sera progressive.
Cela signifie que vous n'avez pas besoin d'effectuer d'étapes manuelles pour mettre à jour Secure Boot. Mais voyons comment vérifier la date d'expiration de ces certificats, puisque nous ne recevrons aucune notification indiquant que l'équipement comprend les plus récents. Pour vérifier que nous disposons déjà des plus récents, nous ouvrons PowerShell avec les autorisations d'administrateur et exécutez cette commande :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Si nous recevons une sortie True, nous avons le nouveau certificat valable jusqu'en 2053. Sinon, False signifie que nous avons toujours le certificat 2011 qui expire en juin 2026.
Mettre à jour les certificats dans Windows 11
Cela signifie que si les certificats sont sur le point d'expirer, il est possible que Microsoft ou le fabricant de l'ordinateur nous envoie des mises à jour du micrologiciel via Windows Update. Cependant, nous pouvons également mettre à jour manuellement Secure Boot.
Bien entendu, avant de continuer, nous vous recommandons de sauvegarder le Clé de récupération BitLocker et que le BIOS (UEFI) est mis à jour. Il est également recommandé de faire une sauvegarde complète de votre PC. À partir de là, nous ouvrons à nouveau une fenêtre d'outil PowerShell avec les autorisations d'administrateur et exécutons ce qui suit :
reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Cette commande définit la clé de registre qui demande au système d'exploitation de déployer tous les certificats nécessaires. Cela inclut le démarrage mis à jour. Il convient de mentionner que cette mise à jour nécessite généralement deux redémarrages pour être entièrement appliquée.