انتهاء صلاحية شهادة التمهيد الآمن ل Windows وتحديثات CA
ينطبق على
تاريخ النشر الأصلي: 26 يونيو 2025
معرف KB: 5062710
|
تغيير التاريخ |
تغيير الوصف |
|---|---|
|
3 فبراير 2026 |
|
|
10 نوفمبر 2025 |
تصحيح خطأين مطبعيين ضمن "شهادة جديدة":
|
ما هو التمهيد الآمن؟
Secure Boot هي ميزة أمان في البرامج الثابتة الموحدة المستندة إلى واجهة البرامج الثابتة الموسعة (UEFI) التي تساعد على ضمان تشغيل البرامج الموثوق بها فقط أثناء تسلسل تمهيد الجهاز (البدء). يعمل من خلال التحقق من التوقيع الرقمي لبرامج التمهيد المسبق مقابل مجموعة من الشهادات الرقمية الموثوق بها (المعروفة أيضا باسم المرجع المصدق أو CA) المخزنة في البرنامج الثابت للجهاز. كمعيار صناعي، يحدد UEFI Secure Boot كيفية إدارة البرنامج الثابت للنظام الأساسي للشهادات، ومصادقة البرامج الثابتة، وكيفية واجهات نظام التشغيل (OS) مع هذه العملية. لمزيد من التفاصيل حول UEFI والتمهيد الآمن، يرجى الاطلاع على التمهيد الآمن.
تم تقديم التمهيد الآمن لأول مرة في Windows 8 للحماية من تهديد البرامج الضارة الناشئة قبل التمهيد (المعروفة أيضا باسم bootkit) في ذلك الوقت. كجزء من تهيئة النظام الأساسي، يصادق Secure Boot وحدات البرامج الثابتة قبل التنفيذ. تتضمن هذه الوحدات برامج تشغيل البرامج الثابتة ل UEFI (مثل خيار ROMs) ومحملات التمهيد والتطبيقات. كخطوة أخيرة من عملية التمهيد الآمن، يتحقق البرنامج الثابت مما إذا كان Secure Boot يثق في محمل التمهيد. بعد ذلك، يمرر البرنامج الثابت التحكم إلى محمل التمهيد، والذي بدوره يتحقق، ويحمل في الذاكرة، ويبدأ تشغيل نظام التشغيل Windows.
يعرف Secure Boot التعليمات البرمجية الموثوق بها من خلال مجموعة نهج البرامج الثابتة أثناء التصنيع. يتم التحكم في التغييرات التي تطرأ على هذا النهج، مثل إضافة الشهادات أو إبطالها، بواسطة تسلسل هرمي للمفاتيح. يبدأ هذا التسلسل الهرمي بمفتاح النظام الأساسي (PK)، المملوك عادة من قبل الشركة المصنعة للأجهزة، متبوعا بمفتاح تسجيل المفتاح (KEK) (المعروف أيضا باسم مفتاح Exchange الرئيسي)، والذي قد يتضمن Microsoft KEK وKEK OEM أخرى. تحدد قاعدة بيانات التوقيع المسموح بها (DB) وقاعدة بيانات التوقيع غير المسموح بها (DBX) التعليمات البرمجية التي يمكن تشغيلها في بيئة UEFI قبل بدء تشغيل نظام التشغيل. تتضمن قاعدة البيانات شهادات تديرها Microsoft وشركة OEM، بينما يتم تحديث DBX بواسطة Microsoft بأحدث عمليات الإبطال. يمكن لأي كيان مع KEK تحديث DB وDBX.
تأثير انتهاء صلاحية شهادة التمهيد الآمن
تقوم Microsoft بتحديث شهادات التمهيد الآمن التي تم إصدارها في الأصل في عام 2011 لضمان استمرار أجهزة Windows في التحقق من برنامج التمهيد الموثوق به. تبدأ صلاحية هذه الشهادات القديمة في يونيو 2026. ستستمر الأجهزة التي لم تتلق شهادات 2023 الأحدث في البدء والعمل بشكل طبيعي، وستستمر تحديثات Windows القياسية في التثبيت. ومع ذلك، لن تتمكن هذه الأجهزة بعد الآن من تلقي حماية أمان جديدة لعملية التمهيد المبكر، بما في ذلك التحديثات إلى Windows Boot Manager أو قواعد بيانات التمهيد الآمن أو قوائم الإبطال أو عوامل التخفيف من الثغرات الأمنية المكتشفة حديثا على مستوى التمهيد.
بمرور الوقت، يحد هذا من حماية الجهاز من التهديدات الناشئة وقد يؤثر على السيناريوهات التي تعتمد على ثقة التمهيد الآمن، مثل تصلب BitLocker أو أدوات تحميل التمهيد التابعة لجهة خارجية. ستتلقى معظم أجهزة Windows الشهادات المحدثة تلقائيا، وتوفر العديد من الشركات OEMs تحديثات البرامج الثابتة عند الحاجة. يساعد الحفاظ على تحديث جهازك بهذه التحديثات على ضمان أنه يمكنه الاستمرار في تلقي المجموعة الكاملة من الحماية الأمنية التي تم تصميم Secure Boot لتوفيرها.
تنتهي صلاحية شهادات Windows Secure Boot في 2026
منذ أن قدم Windows دعم التمهيد الآمن، حملت جميع الأجهزة المستندة إلى Windows نفس مجموعة شهادات Microsoft في KEK وDB. تقترب هذه الشهادات الأصلية من تاريخ انتهاء صلاحيتها، ويتأثر جهازك إذا كان يحتوي على أي من إصدارات الشهادة المدرجة. لمتابعة تشغيل Windows وتلقي تحديثات منتظمة لتكوين التمهيد الآمن، ستحتاج إلى تحديث هذه الشهادات.
المصطلحات
-
KEK: مفتاح التسجيل الرئيسي
-
كاليفورنيا: المرجع المصدق
-
Db: قاعدة بيانات توقيع التمهيد الآمن
-
Dbx: قاعدة بيانات توقيع تم إبطال التمهيد الآمنة
|
شهادة منتهية الصلاحية |
تاريخ انتهاء الصلاحية |
شهادة جديدة |
موقع التخزين |
الغرض |
|
Microsoft Corporation KEK CA 2011 |
يونيو 2026 |
Microsoft Corporation KEK 2K CA 2023 |
مخزنة في KEK |
توقيع التحديثات إلى DB وDBX. |
|
Microsoft Windows Production PCA 2011 |
أكتوبر 2026 |
Windows UEFI CA 2023 |
مخزن في DB |
يستخدم لتوقيع محمل تمهيد Windows. |
|
Microsoft UEFI CA 2011* |
يونيو 2026 |
Microsoft UEFI CA 2023 |
مخزن في DB |
توقيع أحمال التمهيد التابعة لجهة خارجية وتطبيقات EFI. |
|
Microsoft UEFI CA 2011* |
يونيو 2026 |
Microsoft Option ROM UEFI CA 2023 |
مخزن في DB |
توقيعات لخيار جهة خارجية ROMs |
*أثناء تجديد شهادة Microsoft Corporation UEFI CA 2011، تفصل شهادتان توقيع محمل التمهيد عن توقيع خيار ROM. يسمح هذا بالتحكم الدقيق في ثقة النظام. على سبيل المثال، يمكن للأنظمة التي تحتاج إلى الثقة في خيار ROMs إضافة Microsoft Option ROM UEFI CA 2023 دون إضافة ثقة لمحملات التمهيد التابعة لجهة خارجية.
أصدرت Microsoft شهادات محدثة لضمان استمرارية حماية التمهيد الآمن على أجهزة Windows. ستقوم Microsoft بإدارة عملية التحديث لهذه الشهادات الجديدة على جزء كبير من أجهزة Windows. بالإضافة إلى ذلك، سنقدم إرشادات مفصلة للمؤسسات التي تدير تحديثات أجهزتها الخاصة.
الحث على اتخاذ إجراء
قد تحتاج إلى اتخاذ إجراء للتأكد من أن جهاز Windows الخاص بك يظل آمنا عند انتهاء صلاحية الشهادات في 2026. يجب تحديث كل من UEFI Secure Boot DB وKEK بإصدارات شهادة 2023 الجديدة المقابلة. لمزيد من المعلومات حول الشهادات الجديدة، راجع Windows Secure Boot Key Creation and Management Guidance.
ستختلف إجراءاتك بناء على نوع جهاز Windows لديك. حدد من القائمة الموجودة على اليسار لنوع الجهاز والإجراءات المحددة التي تحتاج إلى اتخاذها.
هل تحتاج إلى مزيد من المساعدة؟
الخروج من الخيارات إضافية؟
استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.
تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.
