Microsoft, Haziran 2026’da orijinal Secure Boot sertifikalarının süresinin dolacağını ve bu tarihten sonra güncellemeyi uygulamayan Windows 11 cihazlarının kalıcı güvenlik bozulması yaşayacağını duyurdu. Bu 2011 sertifika süre dolumu süreci kapsamında, 2011’den beri Windows donanımını yöneten sertifikaların yerini alan 2023 üretimi yeni Secure Boot sertifikaları, Microsoft’un uzun süredir devam eden kontrollü dağıtımıyla milyonlarca bilgisayara ulaşıyor. Secure Boot sertifika geçişini görmezden gelen kullanıcıların bilgisayarları açılmaya devam edecek ancak Microsoft, bu cihazlara önyükleme kritik güncellemeleri ve kötü amaçlı yazılım kara listeleri göndermeyi tamamen durduracak.

UEFI Donanım Yazılımı Güncellemesi Hassas Bir Süreç Gerektiriyor

Microsoft’un Mart 2026’da düzenlediği “Ask Microsoft Anything” oturumunda Baş Güvenlik Mühendisi Arden White, Baş Yazılım Mimarı Scott Shell ve Grup Mühendislik Yöneticisi Richard Powell, bu Secure Boot sertifika yenileme sürecinin inceliklerini açıkladı. Bu UEFI donanım yazılımı güncellemesi, anakarttaki donanım yazılımını doğrudan manipüle ettiği için oldukça hassas bir işlem olarak nitelendirildi. Eğer bir cihaz Legacy BIOS kullanıyorsa veya Secure Boot özelliği BIOS düzeyinde devre dışı bırakılmışsa, Windows güncelleme mekanizması bu cihazları atlayarak güncellemeyi uygulamıyor. Sistem, SecureBootCapable=False ve SecureBootEnabled=False olarak kaydolduğunda, yeni sertifikaların yüklenmesi için gereken adımlar hiç başlamıyor.

Yazılım Mimarı Shell, güncelleme sürecinin birden fazla yeniden başlatma gerektirdiğini doğruladı. İlk yeniden başlatma sertifikaları donanım yazılımına aşamalandırmak, ikincisi donanım yazılımının bunları uygulaması ve sonraki yeniden başlatma ise yeni imzalanmış önyükleyiciyi yüklemek için gerekli. Bu sürecin BitLocker farkında olduğunu belirten Shell, kullanıcıların şifrelemeyi askıya almasına gerek olmadığını, sistemin anahtarları otomatik olarak yeniden mühürlediğini açıkladı. BlackLotus bootkit koruması açısından bu geçiş hayati önem taşıyor çünkü eski sertifikalar, bu tür bootkit saldırılarına karşı savunmasız kalıyor.

Sistem yöneticileri için en kritik uyarılardan biri, Secure Boot sertifika güncellemelerini tüm filoya körü körüne uygulayan politika ayarından geldi. Microsoft, milyonlarca benzersiz anakart varyasyonunu fiziksel olarak test edemeyecekleri için bu tür toplu dağıtımların üretkenliği riske atabileceği konusunda uyardı. BT yöneticilerinin, politikayı zorunlu kılmadan önce kendi donanım modellerinin bir alt kümesini test etmeleri gerekiyor. PXE önyükleme sorunu da kurumsal ağlarda önemli bir zorluk teşkil ediyor çünkü PXE protokolü bir istemci cihaza yalnızca tek bir Boot Manager sunabiliyor.

Hyper-V gibi sanallaştırılmış ortamlarda ise farklı bir sorun ortaya çıkıyor. Bazı yöneticiler, aynı yama düzeyindeki Server 2019 sanal makinelerinde tutarsız durumlar gözlemlediklerini bildirdi. White, bunun uzun süredir çalışan sanal makinelerde Key Exchange Key güncellemesiyle ilgili bilinen bir hata olduğunu açıkladı. Çözüm için hem Hyper-V Ana Sunucusuna hem de Konuk VM’ye Mart güncellemelerinin uygulanması gerekiyor. Ayrıca Windows Server’ın, tüketici Windows 11 PC’lerinde kullanılan otomatik CFR programına katılmadığını ve sertifikaları uygulamak için yöneticilerin belirli PowerShell komutlarını kullanarak manuel işlem yapması gerektiğini vurguladı.

Windows 11 Güvenlik Uygulaması Sertifika Durumunu Gösteriyor

Kullanıcılar, Windows Security uygulamasının Cihaz Güvenliği bölümündeki Secure Boot alanından sertifika durumlarını kontrol edebiliyor. Yeşil onay işareti “tamamen güncel” anlamına gelirken, sarı uyarı işareti “henüz güncellenmedi” ve kırmızı durdurma işareti ise “işlem gerekli” anlamına geliyor. Kurumsal ortamlar için Microsoft, aka.ms/GetSecureBoot adresinde özel PowerShell betikleri sağlıyor. Kuantum Sonrası kriptografi geçişi ise 2030’da başlayacak ve yeni donanımlar tamamen yeni sertifikalarla gönderilecek.

👉️ İlginizi Çekebilir: Windows Server 2016’nın Mayıs 2026 Güncellemesi Domain Controller Bulma İşlevini Bozuyor

Grup Mühendislik Yöneticisi Powell’ın belirttiği gibi, Microsoft telemetriye dayalı Kontrollü Özellik Dağıtımları kullanarak donanımı kademeli olarak test ediyor. Belirli bir anakart modeli sorunsuz çalıştığını kanıtladığında “yüksek güven” havuzuna ekleniyor ve LCU aracılığıyla geniş çapta dağıtılıyor. Cihazınızın güncelleme alması için telemetri göndermeniz şart değil çünkü sistem, aynı donanıma sahip diğer cihazların gönderdiği telemetriden faydalanıyor. Ancak oldukça özel veya nadir bir makine kullanıyorsanız, Microsoft’un cihazınızı “yüksek güven” olarak işaretleyebilmesi için tanılama verilerini açmanız gerekiyor.