الأسئلة المتداولة حول عملية تحديث التمهيد الآمن

بعد انتهاء صلاحية شهادات التمهيد الآمن، ستستمر الأجهزة التي لم تتلق شهادات 2023 الأحدث في البدء والعمل بشكل طبيعي، وستستمر تحديثات Windows القياسية في التثبيت. ومع ذلك، لن تتمكن هذه الأجهزة بعد الآن من تلقي حماية أمان جديدة لعملية التمهيد المبكر، بما في ذلك التحديثات إلى Windows Boot Manager أو قواعد بيانات التمهيد الآمن أو قوائم الإبطال أو عوامل التخفيف من الثغرات الأمنية المكتشفة حديثا على مستوى التمهيد. 

بمرور الوقت، يحد هذا من حماية الجهاز من التهديدات الناشئة وقد يؤثر على السيناريوهات التي تعتمد على ثقة التمهيد الآمن، مثل تصلب BitLocker أو أدوات تحميل التمهيد التابعة لجهة خارجية. ستتلقى معظم أجهزة Windows الشهادات المحدثة تلقائيا، وقد قدمت العديد من الشركات OEMs تحديثات البرامج الثابتة عند الحاجة. يساعد الحفاظ على تحديث جهازك بهذه التحديثات على ضمان أنه يمكنه الاستمرار في تلقي المجموعة الكاملة من الحماية الأمنية التي تم تصميم Secure Boot لتوفيرها.

من الأفضل تحديث شهادات التمهيد الآمن قبل تاريخ انتهاء صلاحية يونيو 2026. 

إذا كانت Microsoft تدير جهازك، وتشارك البيانات التشخيصية مع Microsoft، فستحاول Microsoft تحديث شهادات التمهيد الآمن تلقائيا في معظم الحالات. بينما ستبذل Microsoft قصارى جهدها لتحديث Secure Boot، ستكون هناك بعض المواقف التي لا يضمن فيها تطبيق التحديث وستحتاج إلى إجراء العميل. العميل هو المسؤول في نهاية المطاف عن تحديث شهادات التمهيد الآمن. 

تتضمن أمثلة الحالات التي قد لا تتلقى فيها الأجهزة التي تديرها Microsoft مع تمكين البيانات التشخيصية التحديثات ما يلي:

• تنطبق تحديثات Microsoft Secure Boot فقط على بعض إصدارات Windows الداعمة.

• يمكن حظر البيانات التشخيصية التي تم تمكينها على جهازك بواسطة جدار حماية في مؤسستك ولا يصل إلى Microsoft.

• قد يكون هناك خطأ ما في البرنامج الثابت على الجهاز.

‏ملاحظة ماذا يعني أن تكون "تديرها Microsoft"؟ يشارك النظام البيانات التشخيصية وتتم إدارتها بواسطة Microsoft Cloud أو Intune. 

إذا كان جهازك لا يشارك البيانات التشخيصية مع Microsoft ويديره قسم تكنولوجيا المعلومات في مؤسستك أو العميل، فيمكن لقسم تكنولوجيا المعلومات تحديث الأنظمة باتباع إرشادات Microsoft في انتهاء صلاحية شهادة التمهيد الآمن ل Windows وتحديثات CA.

إذا كانت Microsoft تدير الكمبيوتر، يتم تحديث شهادات التمهيد الآمن من خلال Windows Update.  

إذا كان الكمبيوتر مدارا من قبل مؤسستك أو مسؤول تكنولوجيا المعلومات للأعمال، فإن قسم تكنولوجيا المعلومات لديه طرق لتحديث النظام باستخدام إرشادات في انتهاء صلاحية شهادة Windows Secure Boot وتحديثات CA. 

ينتهي دعم Windows 10 في 14 أكتوبر 2025. لمزيد من المعلومات، راجع انتهاء الدعم Windows 10 في 14 أكتوبر 2025. 

للاستمرار في تلقي التحديثات الأمان بعد هذا التاريخ، يمكن للعملاء المتبقين على Windows 10 التسجيل في: 

• برنامج Windows 10 التحديثات الأمان الموسع (ESU)، راجع برنامج Windows 10 التحديثات الأمان الموسع (ESU)

• أو إذا كان لديك إصدار LTSC مدعوم من Windows 10، فسيستمر في الحصول على التحديثات الأمان حتى تاريخ انتهاء صلاحية LTSC. على سبيل المثال، راجع برنامج التحديثات الأمان الموسع (ESU) Windows 10

ملاحظة

• يتوفر Windows 10 Enterprise LTSC للشراء إما ك SKU مستقل أو كجزء من اشتراك Windows Enterprise E3.

• يمكن شراء Windows IoT Enterprise LTSC مباشرة من الشركة المصنعة للمعدات الأصلية أو من خلال ترخيص المورد ك SKU مستقل.

تسمح شهادات التمهيد الآمن للبرنامج الثابت بالتحقق من أن المكونات الهامة - مثل مديري التمهيد وعناوين ROMs للخيارات (برامج تشغيل البرامج الثابتة) والبرامج الأخرى المستندة إلى البرامج الثابتة - موثوق بها ولم يتم العبث بها. تستخدم Microsoft هذه الشهادات لتوقيع مديري التمهيد والمكونات الأخرى التي يجب الوثوق بها، بالإضافة إلى تحديثات التمهيد الآمن. عند انتهاء صلاحية الشهادات القديمة، لا يمكن استخدامها بعد الآن لتوقيع مكونات أو تحديثات جديدة.

لن تتلقى الأجهزة التي تم تعطيل التمهيد الآمن شهادات التمهيد الآمن الجديدة في البرامج الثابتة. ونتيجة لذلك، ستظل عرضة للبرامج الضارة على مستوى التمهيد، مثل bootkits، لأن حماية التمهيد الآمن لا يتم فرضها. 

بالنسبة للأجهزة المؤهلة - مثل تلك التي تتلقى تحديثات تراكمية من خلال النشر المستند إلى الثقة أو المسجلة في إطلاق الميزات الخاضعة للرقابة (CFR) مع تمكين البيانات التشخيصية - ستحاول Microsoft تحديث جميع الشهادات القابلة للتطبيق. ومع ذلك، يتم توفير هذه التحديثات كمساعدة، وليس ضمانا. يظل مسؤولو تكنولوجيا المعلومات مسؤولين عن ضمان تحديث أسطولهم بالكامل، باستخدام CFR التلقائي من Microsoft وأساليب النشر الموثقة الأخرى.

تم تضمين الشهادات في 13 مايو 2025 والتحديثات التراكمية (LCU) والإصدارات الأحدث. ومع ذلك، لا يتم تطبيقها تلقائيا خطوات إضافية مطلوبة. للحصول على إرشادات التوزيع، راجع https://aka.ms/getsecureboot.

وهي تخدم أغراضا مختلفة.

يمكن لتحديثات البرامج الثابتة تحديث متغيرات التمهيد الآمن الافتراضية المخزنة في البرامج الثابتة. يكون هذا مفيدا بشكل أساسي إذا تمت إعادة تعيين إعدادات التمهيد الآمن لاحقا إلى الإعدادات الافتراضية لأن الإعدادات الافتراضية للبرامج الثابتة تحدد الشهادات التي تتم استعادتها في هذا السيناريو.

يطبق Windows التغييرات على متغيرات التمهيد الآمن النشطة التي يتم فرضها أثناء التمهيد العادي. هذه المتغيرات النشطة هي ما يستخدمه البرنامج الثابت للتحقق من صحة مكونات التمهيد وما يعتمد عليه Windows لتقديم حماية التمهيد الآمن المستقبلية.

في الممارسة العملية، يكون Windows مسؤولا عن الحفاظ على تكوين التمهيد الآمن النشط الحالي. تساعد تحديثات البرامج الثابتة على ضمان تحديث القيم الافتراضية أيضا، ما يقلل من المخاطر إذا تم إعادة تعيين التمهيد الآمن أو إعادة تهيئته في المستقبل.

يجب على المسؤولين التأكد من تحديث متغيرات التمهيد الآمن النشطة ومراقبة حالة التوزيع، بغض النظر عما إذا كانت تحديثات البرامج الثابتة متوفرة أم لا.

هناك مساران محتملان: 

• إذا كانت Microsoft تدير الكمبيوتر مع مشاركة البيانات التشخيصية وكان نظام التشغيل مدعوما، فستحاول Microsoft التحديث.

• إذا كان الجهاز مدارا من قبل العميل أو يديره مسؤول تكنولوجيا المعلومات، فيمكن لقسم تكنولوجيا المعلومات تطبيق التحديثات على مجموعة أجهزة الكمبيوتر التي تم التحقق من صحتها والتي يمكنها إجراء التحديثات بأمان لكل إرشادات Microsoft في انتهاء صلاحية شهادة Windows Secure Boot وتحديثات CA.

من المتوقع أن تعالج هذه الخطوات معظم العملاء دون الحاجة إلى تحديث البرنامج الثابت من الشركات المصدرة للبناء. ومع ذلك، ستكون هناك حالات معينة لا تنطبق فيها التحديثات بسبب مشكلات معروفة أو غير معروفة في البرنامج الثابت للجهاز. في مثل هذه الحالات، اتبع إرشادات الشركة المصنعة للمعدات الأصلية (OEM) حول تحديثات البرامج الثابتة. 

‏ملاحظة تطبق العملية أعلاه المتغيرات النشطة للتمهيد الآمن من خلال نظام التشغيل. يتم الاحتفاظ بالقيم الافتراضية للبرامج الثابتة للتمهيد الآمن في البرنامج الثابت الذي يتم إصداره بواسطة الشركة المصنعة للمعدات الأصلية. الإرشادات هي عدم تغيير تكوين التمهيد الآمن أو تحديثه ما لم تصدر الشركة المصنعة للمعدات الأصلية تحديثا لتغيير الإعدادات الافتراضية للبرامج الثابتة إلى الشهادات الجديدة.

 إذا انتهت صلاحية الشهادات، يتم تدهور حماية التمهيد الآمن. إذا كان النظام يفي بمتطلبات نظام تشغيل أحدث مثل Windows 11، فسيكون من الممكن الترقية إلى إصدار نظام تشغيل أحدث من Windows 11.  

إذا لم يتم تمكين التمهيد الآمن على أجهزة Windows 10 LTSC، فلن يتم تضمينها في الإطلاق الحالي لشهادات Secure Boot الجديدة. عند بدء الترقية إلى Windows 11 LTSC، ستحتاج إلى اتباع خطوات ترحيل محددة ذات صلة في ذلك الوقت لضمان تضمين شهادات 2023 الجديدة.

ستحصل إصدارات نظام التشغيل Windows المدعومة فقط على الشهادات. 

بالنسبة إلى Windows الذي يعمل في بيئة ظاهرية، هناك طريقتان لإضافة الشهادات الجديدة إلى متغيرات البرامج الثابتة للتمهيد الآمن: 

• يمكن لمنشئ البيئة الظاهرية (AWS، Azure، وHyper-V، وVMware، وما إلى ذلك) توفير تحديث للبيئة وتضمين الشهادات الجديدة في البرنامج الثابت الظاهري. قد يعمل هذا مع الأجهزة الظاهرية الجديدة.

• بالنسبة إلى Windows الذي يعمل على المدى الطويل في جهاز ظاهري، يمكن تطبيق التحديثات من خلال Windows مثل أي أجهزة أخرى، إذا كان البرنامج الثابت الظاهري يدعم تحديثات التمهيد الآمن.

غالبا ما تفتقر هذه البيئات المدارة من قبل العملاء/تكنولوجيا المعلومات إلى بيانات تشخيصية كافية ل Microsoft لنشر ميزات جديدة بثقة وأمان. بالإضافة إلى ذلك، تفضل أقسام تكنولوجيا المعلومات عادة الحفاظ على التحكم الكامل في توقيت التحديث والمحتوى لضمان التوافق والاستقرار والتوافق مع الأدوات الداخلية وسير العمل. تعمل العديد من أجهزة المؤسسة أيضا في بيئات حساسة أو مقيدة حيث قد يكون الوصول الخارجي أو الإدارة - التي يتضمنها CFR - غير مرغوب فيه أو محظور.

إذا كان Windows يستخدم بالفعل مدير التمهيد الموقع عام 2023 ولكن تتم إعادة تعيين البرنامج الثابت إلى الإعدادات الافتراضية التي لا تتضمن شهادة Windows UEFI CA 2023، فسيحظر Secure Boot عملية التمهيد. 

لإصلاح ذلك، تحتاج إلى إعادة تطبيق شهادة 2023 على قاعدة بيانات البرنامج الثابت باستخدام تطبيق الاسترداد. يتم ذلك عن طريق إنشاء USB للاسترداد، ثم تمهيد الجهاز المتأثر من USB لاستعادة الشهادة المفقودة. 

للحصول على إرشادات خطوة بخطوة، راجع إرشادات Microsoft الرسمية لتحديث وسائط تثبيت Windows. 

​​​​​​​نعم. لا يزال من الممكن تطبيق التحديثات التراكمية التي تحتوي على شهادات التمهيد الآمن الجديدة حتى إذا انتهت صلاحية الشهادات الموجودة. إذا كان بإمكان الجهاز تشغيل Windows وتثبيت التحديثات، يمكن كتابة الشهادات المحدثة إلى البرامج الثابتة باتباع إرشادات النشر المنشورة. ستتلقى معظم الأجهزة هذه التحديثات تلقائيا، ولكن قد تتطلب بعض الأنظمة تحديثات إضافية للبرامج الثابتة.