الأسئلة المتداولة حول عملية تحديث التمهيد الآمن

من الأفضل تحديث شهادات التمهيد الآمن قبل تاريخ انتهاء صلاحية يونيو 2026. 

إذا كانت Microsoft تدير جهازك، وتشارك البيانات التشخيصية مع Microsoft، فستحاول Microsoft تحديث شهادات التمهيد الآمن تلقائيا في معظم الحالات. بينما ستبذل Microsoft قصارى جهدها لتحديث Secure Boot، ستكون هناك بعض الحالات التي لا يكون فيها التحديث مضمونا للتطبيق وستحتاج إلى إجراء العميل. العميل هو المسؤول في نهاية المطاف عن تحديث شهادات التمهيد الآمن. 

فيما يلي بعض الحالات التي لا يتم فيها تحديث أجهزة Microsoft المدارة التي تحتوي على بيانات تشخيصية مشتركة: 

• تعمل تحديثات Microsoft Secure Boot على بعض إصدارات Windows المدعومة فقط.

• يمكن حظر البيانات التشخيصية التي تم تمكينها على جهازك بواسطة جدار حماية في مؤسستك ولا يصل إلى Microsoft.

• قد يكون هناك خطأ ما في البرنامج الثابت على الجهاز.

‏ملاحظة ماذا يعني أن تكون "تديرها Microsoft"؟ يشارك النظام البيانات التشخيصية وتتم إدارتها بواسطة Microsoft Cloud أو Intune. 

إذا كان جهازك لا يشارك البيانات التشخيصية مع Microsoft ويديره قسم تكنولوجيا المعلومات في مؤسستك أو العميل، فيمكن لقسم تكنولوجيا المعلومات تحديث الأنظمة باتباع إرشادات Microsoft في انتهاء صلاحية شهادة التمهيد الآمن ل Windows وتحديثات CA.

إذا كانت Microsoft تدير الكمبيوتر، يتم تحديث شهادات التمهيد الآمن من خلال Windows Update.  

إذا كان الكمبيوتر مدارا من قبل مؤسستك أو مسؤول تكنولوجيا المعلومات للأعمال، فإن قسم تكنولوجيا المعلومات لديه طرق لتحديث النظام باستخدام إرشادات في انتهاء صلاحية شهادة Windows Secure Boot وتحديثات CA. 

سيظل الكمبيوتر يبدأ تشغيل Windows بشكل طبيعي، حتى إذا لم يتم تحديث شهادات التمهيد الآمن.  
سيتوقف الكمبيوتر في النهاية عن تلقي تحديثات أمان Windows معينة من Microsoft بما في ذلك تحديثات أمان مكونات Boot Manager و Secure Boot. سيؤدي ذلك إلى تعريض الجهاز لخطر BootKits الذي يمكنه التحكم الكامل في الكمبيوتر.

ينتهي دعم Windows 10 في 14 أكتوبر 2025. لمزيد من المعلومات، راجع انتهاء الدعم Windows 10 في 14 أكتوبر 2025. 

للاستمرار في تلقي التحديثات الأمان بعد هذا التاريخ، يمكن للعملاء المتبقين على Windows 10 التسجيل في: 

• برنامج Windows 10 التحديثات الأمان الموسع (ESU)، راجع برنامج Windows 10 التحديثات الأمان الموسع (ESU)

• أو إذا كان لديك إصدار LTSC مدعوم من Windows 10، فسيستمر في الحصول على التحديثات الأمان حتى تاريخ انتهاء صلاحية LTSC. على سبيل المثال، راجع برنامج التحديثات الأمان الموسع (ESU) Windows 10

ملاحظة

• يتوفر Windows 10 Enterprise LTSC للشراء إما ك SKU مستقل أو كجزء من اشتراك Windows Enterprise E3.

• يمكن شراء Windows IoT Enterprise LTSC مباشرة من الشركة المصنعة للمعدات الأصلية أو من خلال ترخيص المورد ك SKU مستقل.

هناك مساران محتملان: 

• إذا كانت Microsoft تدير الكمبيوتر مع مشاركة البيانات التشخيصية وكان نظام التشغيل مدعوما، فستحاول Microsoft التحديث.

• إذا كان الجهاز مدارا من قبل العميل أو يديره مسؤول تكنولوجيا المعلومات، فيمكن لقسم تكنولوجيا المعلومات تطبيق التحديثات على مجموعة أجهزة الكمبيوتر التي تم التحقق من صحتها والتي يمكنها إجراء التحديثات بأمان لكل إرشادات Microsoft في انتهاء صلاحية شهادة Windows Secure Boot وتحديثات CA.

من المتوقع أن تعالج هذه الخطوات معظم العملاء دون الحاجة إلى تحديث البرنامج الثابت من الشركات المصدرة للبناء. ومع ذلك، ستكون هناك حالات معينة لا تنطبق فيها التحديثات بسبب مشكلات معروفة أو غير معروفة في البرنامج الثابت للجهاز. في مثل هذه الحالات، اتبع إرشادات الشركة المصنعة للمعدات الأصلية (OEM) حول تحديثات البرامج الثابتة. 

‏ملاحظة تطبق العملية أعلاه المتغيرات النشطة للتمهيد الآمن من خلال نظام التشغيل. يتم الاحتفاظ بالقيم الافتراضية للبرامج الثابتة للتمهيد الآمن في البرنامج الثابت الذي يتم إصداره بواسطة الشركة المصنعة للمعدات الأصلية. الإرشادات هي عدم تغيير تكوين التمهيد الآمن أو تحديثه ما لم تصدر الشركة المصنعة للمعدات الأصلية تحديثا لتغيير الإعدادات الافتراضية للبرامج الثابتة إلى الشهادات الجديدة.

 إذا انتهت صلاحية الشهادات، يتم تدهور حماية التمهيد الآمن. إذا كان النظام يفي بمتطلبات نظام تشغيل أحدث مثل Windows 11، فسيكون من الممكن الترقية إلى إصدار نظام تشغيل أحدث من Windows 11.  

إذا لم يتم تمكين التمهيد الآمن على أجهزة Windows 10 LTSC، فلن يتم تضمينها في الإطلاق الحالي لشهادات Secure Boot الجديدة. عند بدء الترقية إلى Windows 11 LTSC، ستحتاج إلى اتباع خطوات ترحيل محددة ذات صلة في ذلك الوقت لضمان تضمين شهادات 2023 الجديدة.

ستحصل إصدارات نظام التشغيل Windows المدعومة فقط على الشهادات. 

بعد انتهاء صلاحية الشهادات، سيستمر الجهاز في التمهيد دون تغيير، ومع ذلك سيتوقف الجهاز عن الحصول على تحديثات الأمان لمدير التمهيد ومكونات التمهيد الآمن. سيؤدي ذلك إلى تعريض الجهاز بأكمله لخطر البرامج الضارة "bootkit" التي يمكن أن تؤثر على جميع جوانب الأمان على الجهاز.

بالنسبة إلى Windows الذي يعمل في بيئة ظاهرية، هناك طريقتان لإضافة الشهادات الجديدة إلى متغيرات البرامج الثابتة للتمهيد الآمن: 

• يمكن لمنشئ البيئة الظاهرية (AWS وAzure وHyper-V وVMware وما إلى ذلك) توفير تحديث للبيئة وتضمين الشهادات الجديدة في البرنامج الثابت الظاهري. قد يعمل هذا مع الأجهزة الظاهرية الجديدة.

• بالنسبة إلى Windows الذي يعمل على المدى الطويل في جهاز ظاهري، يمكن تطبيق التحديثات من خلال Windows مثل أي أجهزة أخرى، إذا كان البرنامج الثابت الظاهري يدعم تحديثات التمهيد الآمن.

غالبا ما تفتقر هذه البيئات المدارة من قبل العملاء/تكنولوجيا المعلومات إلى بيانات تشخيصية كافية ل Microsoft لنشر ميزات جديدة بثقة وأمان. بالإضافة إلى ذلك، تفضل أقسام تكنولوجيا المعلومات عادة الحفاظ على التحكم الكامل في توقيت التحديث والمحتوى لضمان التوافق والاستقرار والتوافق مع الأدوات الداخلية وسير العمل. تعمل العديد من أجهزة المؤسسة أيضا في بيئات حساسة أو مقيدة حيث قد يكون الوصول الخارجي أو الإدارة - التي يتضمنها CFR - غير مرغوب فيه أو محظور.

إذا كان Windows يستخدم بالفعل مدير التمهيد الموقع عام 2023 ولكن تتم إعادة تعيين البرنامج الثابت إلى الإعدادات الافتراضية التي لا تتضمن شهادة Windows UEFI CA 2023، فسيحظر Secure Boot عملية التمهيد. 

لإصلاح ذلك، تحتاج إلى إعادة تطبيق شهادة 2023 على قاعدة بيانات البرنامج الثابت باستخدام تطبيق الاسترداد. يتم ذلك عن طريق إنشاء USB للاسترداد، ثم تمهيد الجهاز المتأثر من USB لاستعادة الشهادة المفقودة. 

للحصول على إرشادات خطوة بخطوة، راجع إرشادات Microsoft الرسمية لتحديث وسائط تثبيت Windows.