GMKtec NucBox G5のセキュアブート有効化手順メモ

GMKtec NucBox G5のセキュアブートはBIOS画面で有効化する必要がある

セキュアブート証明書の有効期限が切れてしまってもPCはそのまま使えるっぽい

　年始頃から（？）PC情報系ニュースサイトでちらほら「Windowsのセキュアブートの有効期限切れで2026年6月以降にPCが起動しなくなる」といった記事を目にするようになった。

　現在使用中のGMKtec NucBox G5のセキュアブートの状態はどうなっているんだろうと、Windowsセキュリティの「デバイスセキュリティ」画面を確認すると、記事に載っているスクリーンショットにある「セキュアブート」の項目がそもそも表示されていない。「自分のPCには関係ない話…？」と思いつつ、6月が迫ってきたので再度調べてみると、NucBox G5（GMKtec製PCは機種に関わらず、かも）に関してはセキュアブート機能はデフォルトで無効に設定されているらしい。有効化するにはBIOS画面で設定変更が必要みたい。

そもそもセキュアブート証明書の有効期限が切れると本当にPCが使えなくなるのか？とMicrosoftのコメントを探してみると、どうやら「PCは引き続き使えるが、今後のセキュリティ強化のアップデートを受けられなくなる可能性がある」ということらしい。

一般的なセキュア ブートに関する FAQ

Q1: デバイスが古いセキュア ブート証明書の有効期限が切れる前に新しいセキュア ブート証明書を取得しなかった場合はどうなりますか?

セキュア ブート証明書の有効期限が切れると、新しい 2023 証明書を受信していないデバイスは引き続き正常に起動して動作し、標準の Windows 更新プログラムは引き続きインストールされます。 ただし、これらのデバイスは、Windows ブート マネージャー、セキュア ブート データベース、失効リスト、または新しく検出されたブート レベルの脆弱性の軽減策などの、初期ブート プロセスの新しいセキュリティ保護を受け取れなくなります。 

時間が経つにつれて、新たな脅威に対するデバイスの保護が制限され、BitLocker の強化やサードパーティ製のブートローダーなど、セキュア ブートの信頼に依存するシナリオに影響する可能性があります。 ほとんどの Windows デバイスは更新された証明書を自動的に受け取り、多くの OEM は必要に応じてファームウェア更新プログラムを提供しています。 これらの更新プログラムを使用してデバイスを最新の状態に保つことは、セキュア ブートが提供するように設計された完全なセキュリティ保護のセットを引き続き受け取るのに役立ちます。

Q6: セキュア ブートが無効になっているデバイスへの影響は何ですか?

セキュア ブートが無効になっているデバイスは、ファームウェアで新しいセキュア ブート証明書を受け取りません。 その結果、セキュア ブート保護は適用されないため、ブート キットなどのブート レベルのマルウェアに対して脆弱なままになります。 

セキュア ブート更新プロセスに関してよく寄せられる質問 – Microsoft サポート

そんなに大事なことなら、パソコンにそれほど興味がないWindowsユーザーの目に触れるようなところにまで情報が降りてきていないとダメなのでは、とか思うが「とりあえず使えはする」のであればこんな感じなのか。

　このままでも良さそう…ではないのか。とりあえずセキュアブートを有効化しておこう。

GMKtec NucBox G5のセキュアブート有効化手順

　「GMKtec Secure Boot」で検索すると、GMKtec公式がセキュアブートの有効化手順の動画をYouTubeにアップしていた。動画の機種は「GMKtec M2」らしいがNucBox G5で試してみたところ有効化に成功した。Intel製プロセッサ搭載モデルであればセキュアブート有効化の方法は共通かもしれない。

GMKtec Nucbox G5のセキュアブートを有効化する手順は以下の通り

Nucbox G5起動時に「Del」キーを連打しBIOS画面を表示する（※一般的にBluetoothキーボードではBIOSを操作できないので有線キーボードか2.4GHz 無線キーボードを使用する）

「Security」タブ＞「Secure Boot」でEnter

「Secure Boot Mode」>「Customized」から「Standard」に変更してEnter

「Install factory defaults – Press ‘Yes’ to proceed ‘No’ to cancel」で「Yes」を選択してEnter

「Reset without Saving – Reset without saving?」で「No」を選択してEnter

「Secure Boot Mode」が「Standard」に切り替わっている

「Save&Exit」タブ＞「Save Changes and Exit」＞「Yes」を選択してEnter＞再起動中に「Del」キーを連打し再びBIOS画面に入る

「Security」タブ＞「Secure Boot」でEnter

「Attempt Secure Boot」>「Enabled」を選択してEnter

「Save&Exit」タブ＞「Save Changes and Exit」＞「Yes」を選択してEnter＞再起動

Windows11の「設定」＞「プライバシーとセキュリティ」＞「Windowsセキュリティ」＞「デバイスセキュリティ」

「デバイスセキュリティ」画面にセキュアブートが表示されていれば有効化完了

「Attempt Secure Boot」を「Enabled」にするだけではダメなのか？と最初に「Secure Boot Mode」が「Customized」のまま「Attempt Secure Boot」を「Enabled」に変更しようしたところ、「Secure Boot can be enabled when System in User Mode. Repeat operation after enrolling Platform Key(PK)」とメッセージが表示されてDisabledから変更できなかった。有効化の前に「プラットフォームキー」の登録が先に必要で、「Secure Boot Mode」を「Standard」に変更する際の「Install factory defaults」の確認画面のところでそのプラットフォームキーが設定されるようだ。

セキュアブート有効化直後は緑色のアイコンと「セキュアブートはオンになっていますが、デバイスは古いブート信頼構成を使用しており、サービス可能な状態を維持するために更新する必要があります。」というメッセージが表示されている。

何かする必要がありますか？

ほとんどの場合、アクションは必要ありません。 セキュア ブート証明書の更新プログラムは、コンシューマー PC と一部のビジネス デバイスにWindows Updateを介して自動的に配信されます。 デバイスがインターネットに接続されており、最新の更新プログラムがインストールされていることを確認します。 Windows セキュリティ アプリにセキュア ブートの緑色のチェックマークが表示されている場合は、操作は必要ありません。 

Windows セキュリティ アプリのセキュア ブート証明書の更新状態 – Microsoft サポート

MicrosoftによればWindows Updateを適用していればそのうち更新されるらしいのでしばらく様子を見てみよう。

追記：セキュアブート有効化後、翌日に再起動して確認するとセキュアブート証明書の更新が完了していた。

追記：CHUWI HeroBoxもセキュアブートが無効化されていたので有効化を実施しました。

CHUWI HeroBoxのセキュアブート有効化手順メモ