Често задавани въпроси относно процеса на актуализиране на защитеното стартиране

Отнася се за
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Забележка

  • Първоначална дата на публикуване: 15 септември 2025 г.
  • ИД на БЗ: 5068008
Регистър на промените
Промяна на датата Описание на промяната
23 февруари 2026 г.
  • Добавени са нови ЧЗВ в "Общи ЧЗВ за защитеното стартиране"
9 февруари 2026 г.
  • Добавени нови ЧЗВ в "ЧЗВ за защитено стартиране на системи, управлявани от клиент/ИТ"
3 февруари 2026 г.
  • "Трим4" е преместено в "Трим1" под "Общи ЧЗВ за защитеното стартиране" и актуализиране на съдържанието.
12 януари 2026 г.
  • Изяснено поведение, когато срокът на сертификатите изтече за Q4.

ЧЗВ за общото защитено стартиране

В1: Какво се случва, ако моето устройство не получи новите сертификати за защитено стартиране, преди да изтече срокът на старите?

След изтичане на сертификатите за защитено стартиране устройствата, които не са получили по-новите сертификати от 2023 г., ще продължат да стартират и да работят нормално, а стандартните актуализации на Windows ще продължат да се инсталират. Въпреки това тези устройства вече няма да могат да получават нови защити за ранния процес на стартиране, включително актуализации на диспечера за зареждане на Windows, бази данни за защитено стартиране, списъци на анулиране или смекчавания на последствията за новооткрити уязвимости в нивото на стартиране.

С течение на времето това ограничава защитата на устройството срещу възникващи заплахи и може да засегне сценарии, които разчитат на доверието на защитеното стартиране, като например подсилване на BitLocker или bootloaders на други разработчици. Повечето устройства с Windows ще получат актуализираните сертификати автоматично, а много OEM са предоставили актуализации на фърмуера, когато е необходимо. Поддържането на актуалността на вашето устройство с тези актуализации помага да се гарантира, че то може да продължи да получава пълния набор от защити, които защитеното стартиране е предназначено да предоставя.

В2: Кога трябва да се актуализират сертификатите за защитено стартиране?

Най-добре е да актуализирате сертификатите за защитено стартиране много преди датата на изтичане на валидността юни 2026 г.

Ако устройството ви се управлява от Microsoft и споделяте диагностични данни с Microsoft, Microsoft ще се опита да актуализира автоматично сертификатите за защитено стартиране в повечето случаи. Въпреки че Microsoft ще направи всичко възможно за актуализиране на защитеното стартиране, ще има някои ситуации, в които актуализацията не е гарантирано, че ще се приложи и ще се нуждаят от действие от страна на клиента. Клиентът е отговорен за актуализирането на сертификатите за защитено стартиране.

Примери за ситуации, в които устройства, управлявани от Microsoft с разрешени диагностични данни, може да не получават актуализации, включват:

  • Актуализациите на защитеното стартиране на Microsoft се отнасят само за някои поддържани версии на Windows.
  • Диагностичните данни, разрешени на вашето устройство, може да са блокирани от защитна стена във вашата организация и да не достигат до Microsoft.
  • Може да нещо не е наред с фърмуера на устройството.

Забележка Какво означава да бъдеш "управляван от Microsoft"? Системата споделя диагностични данни и се управлява от Microsoft Cloud или Intune.

Ако устройството не споделя диагностични данни с Microsoft и се управлява от ИТ отдела на вашата организация или от клиента, ИТ отделът може да актуализира системите, като следва указанията на Microsoft за изтичане на сертификата за защитено стартиране на Windows и актуализациите на CA.

В3: Как се актуализират сертификатите за защитено стартиране?

Ако компютърът се управлява от Microsoft, сертификатите за защитено стартиране се актуализират чрез актуализиране на Windows.

Ако компютърът се управлява от ИТ администратора на вашата организация или фирма, ИТ отделът има методи за актуализиране на системата с помощта на указанията в изтичането на сертификата за защитено стартиране на Windows и актуализациите на CA.

В4: Какво се случва със системите на Windows 10 след разширена актуализация на защитата (ESU) от 14 октомври 2025 г.?

Поддръжката за Windows 10 приключва на 14 октомври 2025 г. За повече информация вижте Поддръжката на Windows 10 приключва на 14 октомври 2025 г.

За да продължат да получават Актуализации на защитата след тази дата, клиентите, останали на Windows 10, могат да се регистрират за:

Забележка

  • Windows 10 Enterprise LTSC е наличен за закупуване като самостоятелен пакет или като част от абонамент за Windows Enterprise E3.
  • Windows IoT Enterprise LTSC може да бъде закупен директно от OEM или чрез лиценз на доставчик като самостоятелен SKU.
В5: Как се използват сертификатите за защитено стартиране?

Сертификатите за защитено стартиране позволяват на фърмуера да се провери, че критичните компоненти – като диспечери за зареждане, опционални ROM (драйвери за фърмуер) и друг софтуер, базиран на фърмуер, са надеждни и не са били променяни. Microsoft използва тези сертификати, за да подписва диспечерите за стартиране и други компоненти, които би трябвало да са надеждни, както и актуализациите на защитеното стартиране. Когато срокът на по-стари сертификати изтече, те повече не могат да се използват за подписване на нови компоненти или актуализации.

В6: Какво е влиянието върху устройства с деактивирано защитено зареждане?

Устройства с деактивирано защитено зареждане няма да получат новите сертификати за защитено стартиране във фърмуера. В резултат на това те ще останат уязвими към злонамерен софтуер на ниво стартиране, като bootkits, тъй като защитата на защитеното стартиране не е наложена.

В7: Ще актуализира ли Microsoft всички сертификати за защитено стартиране, включително тези в KEK и базата данни?

За отговарящите на условията устройства, като например тези, които получават кумулативни актуализации чрез базирано на надеждност разполагане или записани в контролирано внедряване на функции (CFR) с разрешени диагностични данни, Microsoft ще се опита да актуализира всички приложими сертификати. Въпреки това тези актуализации се предоставят като помощ, а не като гаранция. ИТ администраторите остават отговорни да гарантират, че целият им парк е актуализиран, като използват автоматизирания CFR на Microsoft и други документирани методи за внедряване.

В8: Кога бяха доставени актуализираните сертификати за защитено стартиране за 2023 г.?

Сертификатите са включени в кумулативните актуализации (LCU) от 13 май 2025 г. и по-нови. Те обаче не се прилагат автоматично Изискват се допълнителни стъпки. За указания относно разполагането вижте https://aka.ms/getsecureboot.

В9: Каква е разликата между актуализации на фърмуера и актуализации на Windows при прилагане на сертификати за защитено стартиране?

Те служат за различни цели.

Актуализациите на фърмуера могат да актуализират променливите по подразбиране на защитеното стартиране, съхранявани във фърмуера. Това е полезно преди всичко, ако настройките на защитеното стартиране бъдат по-късно нулирани до стойностите по подразбиране, тъй като настройките по подразбиране на фърмуера определят кои сертификати ще бъдат възстановени в този сценарий.

Windows прилага промени към активните променливи на защитеното стартиране, които се налагат по време на нормалното стартиране. Тези активни променливи са това, което фърмуерът използва за проверка на компоненти на зареждането и на което Windows разчита за предоставяне на бъдещи защити при стартиране.

На практика Windows е отговорен за поддържането актуална на конфигурацията на активното защитено стартиране. Актуализациите на фърмуера помагат да се гарантира, че стойностите по подразбиране също се актуализират, което намалява риска от нулиране или повторно инициализиране на защитеното стартиране в бъдеще.

Администраторите трябва да се уверят, че активните променливи на защитеното стартиране са актуализирани и да наблюдават състоянието на внедряване, независимо дали има налични актуализации на фърмуера.

ЧЗВ за защитеното стартиране на системи, управлявани от клиент/ИТ

В1: Какво може да се направи, за да се запази функционалността на защитеното стартиране на по-стари компютри, управлявани от клиенти/ИТ, които може да не получават актуализации на фърмуера от OEM?

Има два възможни пътя:

  • Ако компютърът се управлява от Microsoft със споделени диагностични данни и операционната система се поддържа, Microsoft ще се опита да актуализира.
  • Ако устройството се управлява от клиент или се управлява от ИТ администратор, тогава ИТ отделът може да прилага актуализациите на проверения набор от компютри, които могат безопасно да приемат актуализации съгласно указанията на Microsoft в изтичането на сертификата за защитено стартиране на Windows и актуализациите на CA.

Очаква се тези стъпки да са насочени към повечето клиенти, без да е необходима актуализация на фърмуера от OEM. Въпреки това ще има определени случаи, в които актуализациите не се прилагат поради известни или неизвестни проблеми във фърмуера на устройството. В такива случаи следвайте указанията на OEM за актуализации на фърмуера.

Забележка Горният процес прилага активните променливи на защитеното стартиране чрез операционната система. Стойностите по подразбиране на фърмуера за защитено стартиране се запазват във фърмуера, който е издаден от OEM. Указанията са да не променяте или актуализирате конфигурацията на защитеното стартиране, освен ако OEM не е издал актуализация за промяна на фърмуера по подразбиране към новите сертификати.

В2: Ако сертификатите за защитено стартиране на компютъра са с изтекъл срок, ще бъде ли възможно да инсталирате нова версия на Windows?

Ако срокът на валидност на сертификатите изтече, защитата на защитеното стартиране се влошава. Ако системата отговаря на изискванията за по-нова операционна система като Windows 11, ще бъде възможно да се надстрои до по-нова версия на операционната система на Windows 11.

В3: Какво се случва при надстройване на компютър с Windows 10 LTSC без разрешено защитено зареждане до Windows 11 LTSC след датите на изтичане на срока на сертификата?

Ако защитеното стартиране не е разрешено на вашите устройства с Windows 10 LTSC, те не са включени в текущото внедряване за новите сертификати за защитено стартиране. Когато започнете надстройката до Windows 11 LTSC, ще трябва да следвате конкретни стъпки за мигриране, които са приложими към момента, за да сте сигурни, че новите сертификати от 2023 г. са включени.

В4: Ще получат ли актуализираните сертификати версиите на Windows, които вече не се поддържат?

Само поддържани версии на операционната система Windows ще получат сертификатите.

В5: Как работят виртуализираните среди с актуализациите на сертификати за защитено стартиране?

За Windows, който се изпълнява във виртуална среда, има два метода за добавяне на новите сертификати към променливите на фърмуера на защитеното стартиране:

  • Създателят на виртуалната среда (AWS, Azure, Hyper-V, VMware и др.) може да предостави актуализация за средата и да включи новите сертификати във виртуализирания фърмуер. Това би свършило работа за нови виртуализирани устройства.
  • За Windows, който работи дългосрочно във VM, актуализациите могат да се прилагат чрез Windows като всички други устройства, ако виртуализираният фърмуер поддържа актуализации на защитеното стартиране.
В6: Защо Microsoft не може да внедри в моя автопарк, управляван от предприятие/ИТ, с помощта на контролирано внедряване на функции (CFR), който се използва в управлявани от Microsoft системи?

Тези управлявани от клиенти/ИТ среди често нямат достатъчно диагностични данни, за да може Microsoft уверено и безопасно да внедри новите функции. Освен това ИТ отделите обикновено предпочитат да поддържат пълен контрол върху времето и съдържанието на актуализацията, за да гарантират съответствие, стабилност и съвместимост с вътрешните инструменти и работни потоци. Много корпоративни устройства работят и в чувствителни или ограничени среди, където външният достъп или управление – подразбиращо се от CFR – може да е нежелан или забранен.

В7: Моето устройство спря да се стартира, след като възстанових настройките на фърмуера по подразбиране – какво се случи и как да коригирам това?

Ако Windows вече използва подписания в 2023 г. диспечер за зареждане, но фърмуерът е върнат до стойности по подразбиране, които не включват сертификата на Windows UEFI CA 2023, защитеното стартиране ще блокира процеса на стартиране.

За да коригирате това, трябва да приложите повторно сертификата от 2023 г. към базата данни на фърмуера с помощта на приложението за възстановяване. Това се прави чрез създаване на USB за възстановяване, след което стартиране на засегнатото устройство от това USB, за да възстановите липсващия сертификат.

За подробни инструкции вижте официалните указания на Microsoft за актуализиране на инсталационен носител на Windows.

В8: Ако сертификатите за защитено стартиране на моето устройство вече са изтекли, мога ли все пак да получавам актуализирани сертификати?

Да. Кумулативните актуализации, които съдържат новите сертификати за защитено стартиране, все още могат да се прилагат дори ако съществуващите сертификати са изтекли. Ако устройството може да стартира Windows и да инсталира актуализации, актуализираните сертификати могат да бъдат записани във фърмуера, като се следват публикуваните указания за разполагане. Повечето устройства ще получат тези актуализации автоматично, но някои системи може да изискват допълнителни актуализации на фърмуера.