ينطبق على
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

تاريخ النشر الأصلي: 26 يونيو 2025

معرف KB: 5062710

تغيير التاريخ

تغيير الوصف

10 نوفمبر 2025

تصحيح خطأين مطبعيين ضمن "شهادة جديدة":

  • من Microsoft Corporation KEK CA 2023" إلى "Microsoft Corporation KEK 2K CA 2023"

  • ومن "Microsoft Option ROM CA 2023" إلى "Microsoft Option ROM UEFI CA 2023"

ما هو التمهيد الآمن؟

Secure Boot هي ميزة أمان في البرامج الثابتة الموحدة المستندة إلى واجهة البرامج الثابتة الموسعة (UEFI) التي تساعد على ضمان تشغيل البرامج الموثوق بها فقط أثناء تسلسل تمهيد الجهاز (البدء). يعمل من خلال التحقق من التوقيع الرقمي لبرامج التمهيد المسبق مقابل مجموعة من الشهادات الرقمية الموثوق بها (المعروفة أيضا باسم المرجع المصدق أو CA) المخزنة في البرنامج الثابت للجهاز. كمعيار صناعي، يحدد UEFI Secure Boot كيفية إدارة البرنامج الثابت للنظام الأساسي للشهادات، ومصادقة البرامج الثابتة، وكيفية واجهات نظام التشغيل (OS) مع هذه العملية. لمزيد من التفاصيل حول UEFI والتمهيد الآمن، يرجى الاطلاع على التمهيد الآمن.

تم تقديم التمهيد الآمن لأول مرة في Windows 8 للحماية من تهديد البرامج الضارة الناشئة قبل التمهيد (المعروفة أيضا باسم bootkit) في ذلك الوقت. كجزء من تهيئة النظام الأساسي، يصادق Secure Boot وحدات البرامج الثابتة قبل التنفيذ. تتضمن هذه الوحدات برامج تشغيل البرامج الثابتة ل UEFI (مثل خيار ROMs) ومحملات التمهيد والتطبيقات. كخطوة أخيرة من عملية التمهيد الآمن، يتحقق البرنامج الثابت مما إذا كان Secure Boot يثق في محمل التمهيد. بعد ذلك، يمرر البرنامج الثابت التحكم إلى محمل التمهيد، والذي بدوره يتحقق، ويحمل في الذاكرة، ويبدأ تشغيل نظام التشغيل Windows.

يعرف Secure Boot التعليمات البرمجية الموثوق بها من خلال مجموعة نهج البرامج الثابتة أثناء التصنيع. يتم التحكم في التغييرات التي تطرأ على هذا النهج، مثل إضافة الشهادات أو إبطالها، بواسطة تسلسل هرمي للمفاتيح. يبدأ هذا التسلسل الهرمي بمفتاح النظام الأساسي (PK)، المملوك عادة من قبل الشركة المصنعة للأجهزة، متبوعا بمفتاح تسجيل المفتاح (KEK) (المعروف أيضا باسم مفتاح Exchange الرئيسي)، والذي قد يتضمن Microsoft KEK وKEK OEM أخرى. تحدد قاعدة بيانات التوقيع المسموح بها (DB) وقاعدة بيانات التوقيع غير المسموح بها (DBX) التعليمات البرمجية التي يمكن تشغيلها في بيئة UEFI قبل بدء تشغيل نظام التشغيل. تتضمن قاعدة البيانات شهادات تديرها Microsoft وشركة OEM، بينما يتم تحديث DBX بواسطة Microsoft بأحدث عمليات الإبطال. يمكن لأي كيان مع KEK تحديث DB وDBX.

تنتهي صلاحية شهادات Windows Secure Boot في 2026

منذ أن قدم Windows دعم التمهيد الآمن، حملت جميع الأجهزة المستندة إلى Windows نفس مجموعة شهادات Microsoft في KEK وDB. تقترب هذه الشهادات الأصلية من تاريخ انتهاء صلاحيتها، ويتأثر جهازك إذا كان يحتوي على أي من إصدارات الشهادة المدرجة. لمتابعة تشغيل Windows وتلقي تحديثات منتظمة لتكوين التمهيد الآمن، ستحتاج إلى تحديث هذه الشهادات.

المصطلحات

  • KEK: مفتاح التسجيل الرئيسي

  • CA: المرجع المصدق

  • الديسيبل: قاعدة بيانات توقيع التمهيد الآمن

  • DBX: قاعدة بيانات توقيع تم إبطال التمهيد الآمنة

شهادة منتهية الصلاحية

تاريخ انتهاء الصلاحية

شهادة جديدة

موقع التخزين

قصد

Microsoft Corporation KEK CA 2011

يونيو 2026

Microsoft Corporation KEK 2K CA 2023

مخزنة في KEK

توقيع التحديثات إلى DB وDBX.

Microsoft Windows Production PCA 2011

أكتوبر 2026

Windows UEFI CA 2023

مخزن في DB

يستخدم لتوقيع محمل تمهيد Windows.

Microsoft UEFI CA 2011*

يونيو 2026

Microsoft UEFI CA 2023

مخزن في DB

توقيع أحمال التمهيد التابعة لجهة خارجية وتطبيقات EFI.

Microsoft UEFI CA 2011*

يونيو 2026

Microsoft Option ROM UEFI CA 2023

مخزن في DB

توقيعات لخيار جهة خارجية ROMs

*أثناء تجديد شهادة Microsoft Corporation UEFI CA 2011، تفصل شهادتان توقيع محمل التمهيد عن توقيع خيار ROM. يسمح هذا بالتحكم الدقيق في ثقة النظام. على سبيل المثال، يمكن للأنظمة التي تحتاج إلى الثقة في خيار ROMs إضافة Microsoft Option ROM UEFI CA 2023 دون إضافة ثقة لمحملات التمهيد التابعة لجهة خارجية.

أصدرت Microsoft شهادات محدثة لضمان استمرارية حماية التمهيد الآمن على أجهزة Windows. ستقوم Microsoft بإدارة عملية التحديث لهذه الشهادات الجديدة على جزء كبير من أجهزة Windows. بالإضافة إلى ذلك، سنقدم إرشادات مفصلة للمؤسسات التي تدير تحديثات أجهزتها الخاصة.

هام عند انتهاء صلاحية المراجع المصدقة 2011، لن تتمكن أجهزة Windows التي ليس لديها شهادات 2023 جديدة من تلقي إصلاحات الأمان لمكونات التمهيد المسبق التي تعرض أمان تمهيد Windows للخطر.

الحث على اتخاذ إجراء

قد تحتاج إلى اتخاذ إجراء للتأكد من أن جهاز Windows الخاص بك يظل آمنا عند انتهاء صلاحية الشهادات في 2026. يجب تحديث كل من UEFI Secure Boot DB وKEK بإصدارات شهادة 2023 الجديدة المقابلة. لمزيد من المعلومات حول الشهادات الجديدة، راجع Windows Secure Boot Key Creation and Management Guidance

هام بدون تحديثات، تخاطر أجهزة Windows الممكنة للتمهيد الآمن بعدم تلقي تحديثات الأمان أو الوثوق بمحملات التمهيد الجديدة التي ستخترق كل من قابلية الخدمة والأمان.

ستختلف إجراءاتك بناء على نوع جهاز Windows لديك. حدد من القائمة الموجودة على اليسار لنوع الجهاز والإجراءات المحددة التي تحتاج إلى اتخاذها.  

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة