"Updated Secure Boot certificates are available on this device but have not yet been applied to the firmware" -virheet EventViewerissä

[arcane]

Huomasin, että saan ~5 minuuttia käynnistyksestä Event vieweriin TPMn errorin. Virheet ovat alkaneet huomaamattani jo lokakuussa 2025, eli viitisen kuukautta sitten, mutta olen käyttänyt konetta vähän ajoittain ja tapahtumienhallintaakin katsoin ihan vain satunnaisesti.

Source: TPM-WMI Level: Error, Event ID: 1801

Updated Secure Boot certificates are available on this device but have not yet been applied to the firmware. Review the published guidance to complete the update and maintain full protection. This device signature information is included here.

DeviceAttributes: BaseBoardManufacturer: ASRock; FirmwareManufacturer: American Megatrends International, LLC.;FirmwareVersion:3.20; OEMModelNumber:B850M Riptide WiFi; OEMModelBaseBoard:B850M Riptide WiFi; OEMModelSystemFamily: Default string; OEMManufacturerName:ASRock; OEMModelSKU: Default string; OSArchitecture: amd64;

Relevantit speksit:
AMD Ryzen 5 7500F
Asrock B850M Riptide WiFi
Bios-versio: 3.20 (bios versio ajalta kun kone saapui minulle, en ole itse päivittänyt)
Windows 11 Home, versio 24H2 (en ole päivittänyt 25H2, kun Windows on sitä tarjonnut vain optionaalisena)
Lokaali käyttäjätunnus

Secure Boot on päällä. Jouduin aiemmin koneen käyttöönotossa kyselemään apua sen käyttöönottoon.

Biosissa tilanne näyttää Secure Bootin osalta kuvan mukaiselta. En ole varma miksi tuo on tilassa "Custom", tai miten se eroaa Standardista.

Ilmeisesti virhe-eventti liittyy Microsoftin uusiin sertifikaatteihin, ja nykyiset sertifikaatit menevät vanhaksi kesäkuussa 2026. Mitähän tuolloin käytännössä käy? Miksi koneeni ei suostu ottamaan uusia sertifikaatteja käyttöön, ja pitäisikö vaan odotella kiltisti vai mitä voin tehdä asialle? Estääkö esimerkiksi vanha BIOS-versio tuon käyttöönoton jotenkin? Jos päivitän biosin, pitääkö tehdä jotain etukäteen, kun Asrockin oma ohje varoittaa Bitlockerin tai TPMn nojaavien enkryptausten disabloinnista? Jos katson Settings -> Privacy & Security -> Device Encryption, se on Windowsin mukaan päällä mutta tilassa "Sign in with you Microsoft account to finish encrypting this device".

...olen kyllä ihan täysin pihalla tästä SecureBootista ja TPMstä, ei ole tarvinnut tällaisia asioita miettiä muilla koneilla lainkaan.

 

[BoomerX]

Microsofti ainakin mainosti päivittäneen certifikaatit viimeisimmässä Windows 11 25H2 ja 24H2 KB5077181 päivityksessä.

February 10, 2026—KB5077181 (OS Builds 26200.7840 and 26100.7840) - Microsoft-tuki

support.microsoft.com

 

[Sire]

Toivottavasti tämä sepustus ei mene ihan metsään, kun en näitä täysin itsekään ymmärrä...

Mitähän tuolloin käytännössä käy?

Ilmeisesti kone ei lakkaa buuttaamasta Windowsiin, vaikka Secure Boot -sertit happanisivat. Systeemin tietoturva kuitenkin heikkenee jonkin verran. Emolevyn UEFIssa on tallennettuna sekä hyväksytyt ja mitätöidyt Secure Boot -sertifikaatit. Jos UEFIn KEK (Key Exchange Key, avainten vaihtoavain) ei ole voimassa, sallittujen ja mitätöityjen Secure Boot -sertien tietokantoja UEFIssa ei enää voi päivittää.

Lisäksi nykyisin käytetty Secure Boot -sertifikaatti on haavoittuvainen ainakin BlackLotus UEFI bootkitille. Tosin tältä suojautumiseen ei taida riittää pelkkä Secure Boot sertien päivitys (mitä nyt ollaan tekemässä), vaan vanhat on mitätöitävä, jotta en eivät enää toimi. Ja jos vielä pidemmälle mennään, on estettävä mahdollisuus vanhojen sertien palauttamiseen. Mutta tämä ei taida varsinaisesti olla kotikäyttäjän juttuja.

Estääkö esimerkiksi vanha BIOS-versio tuon käyttöönoton jotenkin?

En tarkalleen tiedä, miten tuon eventin virhesanoma pitäisi tulkita, mutta vanha BIOS-versio voi estää sertifikaattien päivittämisen. Firmiksissäkin on bugeja. Lisäksi uudet sertit voidaan tuoda joko UEFIn NVRAMiin Windows-päivitysten kautta tai "kovakoodattuna" suoraan firmikseen BIOS-päivityksen kautta. Luultavasti riittää, kun jompikumpi tehdään, mutta täysin varma en ole.

Jos päivitän biosin, pitääkö tehdä jotain etukäteen, kun Asrockin oma ohje varoittaa Bitlockerin tai TPMn nojaavien enkryptausten disabloinnista? Jos katson Settings -> Privacy & Security -> Device Encryption, se on Windowsin mukaan päällä mutta tilassa "Sign in with you Microsoft account to finish encrypting this device".

Windowsin Pro- ja Enterprise-versioiden "täysiverisessä" Bitlockerissa levysalaus on laitettava keskeytetty/suspend -tilaan ennen BIOS-päivityksen asentamista:

Jos levysalausta ei ole keskeytetty ennen BIOSin päivittämistä, kone haluaa Bitlocker-palautusavaimen seuraavassa buutissa. Ilman palautusavainta levyn sisältö on menetetty.

En tiedä, miten Home-version laitesalaus / device encryption toimii tässä, kun siinä ei ole samalla tavalla mahdollisuuksia valita. Mutta oma käsitykseni on, että jos et ole kirjautuneena Microsoft-tilille (ainoa paikka, mihin laitesalauksen / device encryptionin palautusavaimen voi varmuuskopioida), levyn salaus ei ole "sinetöity" ja levyllä oleva data on täysin luettavissa, vaikka levyn siirtäisi toiseen koneeseen. Eli BIOS-päivityksen ei _pitäisi_ vaikuttaa sen osalta mitenkään. Itse tekisin kuitenkin varman päälle, eli joko:

• kirjaudu Microsof-tiliä käyttäen ja varmista, että palautusavain on tallessa pilvessä
• pura laitesalaus / device encryption, koska ilman "sinetöintiä" se on yhtä tyhjän kanssa

... ja toki varmuuskopiot kuntoon.

JOS jostain syystä BIOS-päivitys nollaisi koneen TPM:n - missä ei pohjimmiltaan ole mitään järkeä, mutta mistä näistä ikinä tietää:

• tarvitset jälleen Bitlocker-palautusavaimen
• TPM:ää käyttävä autentikointi on konffattava uudelleen, esim. Windows Hello PIN-koodi ja biometriikka

... mutta ainakaan noita jälkimmäisiä sinulla tuskin on käytössä, kun kerta paikallinen tili.

Ihan yleisellä tasolla BIOS on minusta järkevä pitää ajan tasalla. Tietotekniikassa "älä koske toimivaan" on päivä päivältä huonompi ajatusmalli.