Genel Bakış
UEFI Secure Boot, işletim sistemi başlatılmadan önce imzasız veya kötü niyetli kodların yüklenmesini engelleyen kritik bir güvenlik katmanıdır. Microsoft tarafından sağlanan orijinal Secure Boot sertifikalarının süresi dolduğunda veya güncellenmesi gerektiğinde, sisteminiz güvenlik açıklarına karşı savunmasız kalabilir. Bu makale, Windows cihazlarda bu sertifikaların nasıl yönetileceğini ve güncelleneceğini açıklamaktadır.
Sorun Tanımı
Sisteminizde 'Secure Boot DB' sertifikalarının güncel olmaması, üçüncü taraf sürücülerin veya önyükleyicilerin (bootloader) yüklenememesine veya sistem güvenliğinin zayıflamasına neden olabilir. Özellikle eski donanımlarda, Microsoft'un yayınladığı güncel sertifika paketlerinin manuel veya otomatik olarak sisteme işlenmesi gerekebilir.
Çözüm Adımları
Sertifika durumunu kontrol etmek ve güncelleme işlemini gerçekleştirmek için aşağıdaki adımları izleyin:
- Sertifika Durumunu Kontrol Edin: PowerShell'i yönetici olarak çalıştırın ve mevcut sertifika veritabanını sorgulayın.
- Güncellemeleri Uygulayın: Microsoft tarafından sağlanan 'UEFI CA' güncellemelerini Windows Update üzerinden alın.
- Manuel Güncelleme (Gerekirse): Eğer Windows Update başarısız olursa, üretici yazılımı (firmware) güncelleme araçlarını kullanın.
Kullanılan Komutlar
Mevcut sertifikaları görüntülemek için aşağıdaki PowerShell komutunu kullanabilirsiniz:
Get-SecureBootUEFI -Name dbEğer Secure Boot'un aktif olup olmadığını doğrulamak isterseniz:
Confirm-SecureBootUEFIUyarı: UEFI ayarlarında yapılacak yanlış bir değişiklik, sistemin açılmamasına (boot failure) neden olabilir. İşlem yapmadan önce mutlaka sistem yedeğinizi alın ve üreticinizin dokümantasyonunu kontrol edin.
İleri Seviye İpuçları
Kurumsal ortamlarda, bu sertifikaları dağıtmak için Microsoft Endpoint Configuration Manager (MECM) veya Intune gibi araçlar kullanılabilir. Sertifika güncellemesi sırasında 'Forbidden Signature Database' (dbx) veritabanının da güncel tutulması, bilinen güvenlik açıklarına karşı tam koruma sağlar.
