Често задавани въпроси за процеса на актуализация на защитеното стартиране

След като срокът на сертификатите за защитено стартиране изтече, устройствата, които не са получили по-новите сертификати на версия 2023, ще продължат да се стартират и работят нормално, а стандартните актуализации на Windows ще продължат да се инсталират. Въпреки това тези устройства вече няма да могат да получават нови защити на защитата за процеса на ранно стартиране, включително актуализации на диспечера за зареждане на Windows, базите данни за защитено стартиране, списъците на анулираните или смекчавания на наскоро открити уязвимости в нивото на зареждане. 

С течение на времето това ограничава защитата на устройството от възникващи заплахи и може да повлияе на сценарии, които разчитат на доверие на защитеното стартиране, като например втвърдяване на BitLocker или зареждащи устройства на трети лица. Повечето устройства с Windows ще получават автоматично актуализираните сертификати и много OEM са предоставили актуализации на фърмуера, когато е необходимо. Поддържането на актуално състояние на вашето устройство с тези актуализации гарантира, че може да продължи да получава пълния набор от защити на защитата, които защитеното стартиране е създадено да предоставя.

Най-добре е да актуализирате сертификатите за защитено стартиране още преди датата на изтичане на срока от юни 2026 г. 

Ако вашето устройство се управлява от Microsoft и споделянето на диагностични данни с Microsoft, Microsoft ще се опита да актуализира автоматично сертификатите за защитено стартиране в повечето случаи. Въпреки че Microsoft ще направи всичко възможно, за да актуализира защитеното стартиране, ще има някои ситуации, в които актуализацията не е гарантирана за прилагане и ще се нуждае от действие от страна на клиента. Клиентът носи крайната отговорност за актуализирането на сертификатите за защитено стартиране. 

Примери за ситуации, в които устройства, управлявани от Microsoft с разрешени диагностични данни, може да не получават актуализации, са:

• Актуализациите на защитеното стартиране на Microsoft важат само за някои версии на Windows, които се поддържат.

• Диагностичните данни, разрешени на вашето устройство, може да са блокирани от защитна стена във вашата организация и да не достигат до Microsoft.

• Възможно е да има проблем с фърмуера на устройството.

Забележка Какво означава да бъдеш "Управляван от Microsoft"? Системата споделя диагностични данни и се управлява от облака на Microsoft или Intune. 

Ако вашето устройство не споделя диагностични данни с Microsoft и се управлява от ИТ отдела на вашата организация или от клиента, тогава ИТ отделът може да актуализира системите, като следва указанията на Microsoft в Изтичане на срока на сертификата за защитено стартиране на Windows и актуализации на CA.

Ако компютърът се управлява от Microsoft, сертификатите за защитено стартиране се актуализират чрез актуализиране на Windows.  

Ако компютърът се управлява от ИТ администратора на вашата организация или фирма, тогава ИТ отделът има методи за актуализиране на системата с помощта на указания в Изтичане на срока на сертификата за защитено стартиране на Windows и актуализации на CA. 

Windows 10 Поддръжката приключва на 14 октомври 2025 г. За повече информация вижте Windows 10 поддръжката приключва на 14 октомври 2025 г. 

За да продължите да получавате Актуализации за защита след тази дата, клиентите, които остават на Windows 10 могат да се запишат за: 

• Програмата Windows 10 за разширена защита Актуализации (ESU) вж. програмата Windows 10 разширена защита Актуализации (ESU)

• Или, ако имате поддържана версия на LTSC на Windows 10, тя ще продължи да получава Актуализации за защита до датата на изтичане на ltsc. Например вижте Програма за разширена защита Актуализации (ESU) за Windows 10

Бележка

• Windows 10 Enterprise LTSC е наличен за закупуване като самостоятелен ИЕ или като част от абонамент за Windows Enterprise E3.

• Windows IoT Enterprise LTSC може да бъде закупен директно от OEM или чрез лиценз на доставчик като самостоятелна ИЕ.

Сертификатите за защитено стартиране позволяват на фърмуера да проверява дали критичните компоненти, като например диспечери за стартиране, ROM на опции (драйвери за фърмуер) и друг софтуер, базиран на фърмуера, са надеждни и не са променяни. Microsoft използва тези сертификати, за да подписва диспечери за стартиране и други компоненти, които трябва да бъдат надеждни, както и актуализации на защитеното стартиране. Когато по-старите сертификати изтекат, те вече не могат да се използват за подписване на нови компоненти или актуализации.

Устройства със защитено стартиране, които са забранени, няма да получат новите сертификати за защитено стартиране във фърмуера. В резултат на това те ще останат уязвими за злонамерен софтуер на ниво стартиране, като например bootkits, тъй като защитата на защитеното стартиране не е наложена. 

За отговарящи на условията устройства, като например тези, които получават кумулативни актуализации чрез разполагане, базирано на доверие, или са записани в контролирано внедряване на функции (CFR) с разрешени диагностични данни, Microsoft ще се опита да актуализира всички приложими сертификати. Въпреки това тези актуализации се предоставят като помощ, а не като гаранция. ИТ администраторите остават отговорни да гарантират, че целият им автопарк е актуализиран, като използват автоматизирания CFR на Microsoft и други документирани методи за разполагане.

Сертификатите са включени в кумулативните актуализации (LCU) от 13 май 2025 г. и по-нови. Те обаче не се прилагат автоматично допълнителни стъпки са необходими. За указания за разполагане вж. https://aka.ms/getsecureboot.

Те служат за различни цели.

Актуализациите на фърмуера могат да актуализират променливите по подразбиране за защитено стартиране, съхранени във фърмуера. Това е предимно полезно, ако настройките на защитеното стартиране по-късно се нулират до настройките по подразбиране, тъй като настройките по подразбиране на фърмуера определят кои сертификати се възстановяват в този сценарий.

Windows прилага промените към активните променливи на защитеното стартиране, които се налагат по време на нормалното стартиране. Тези активни променливи са това, което фърмуерът използва за проверка на компонентите за стартиране и на какво разчита Windows, за да предостави бъдещи защити на защитеното стартиране.

На практика Windows е отговорен за поддържането на актуалното активно конфигуриране на защитеното стартиране. Актуализациите на фърмуера гарантират, че стойностите по подразбиране също се актуализират, което намалява риска, ако защитеното стартиране бъде нулирано или инициализирано отново в бъдеще.

Администраторите трябва да се уверят, че активните променливи на защитеното стартиране се актуализират и да наблюдават състоянието на разполагане, независимо дали са налични актуализации на фърмуера.

Има два възможни пътя: 

• Ако компютърът се управлява от Microsoft със споделени диагностични данни и операционната система се поддържа, Microsoft ще се опита да актуализира.

• Ако устройството се управлява или управлява от ИТ администратор, то ИТ отделът може да приложи актуализациите на проверения набор от компютри, които могат безопасно да приемат актуализации съгласно указания на Microsoft в Изтичане на срока на сертификата за защитено стартиране на Windows и актуализации на СЕРТИФИЦИРАщ орган.

Тези стъпки се очаква да адресират повечето клиенти, без да е необходима актуализация на фърмуера от OEM. Въпреки това ще има някои случаи, в които актуализациите не се прилагат поради известни или неизвестни проблеми във фърмуера на устройството. В такива случаи следвайте указанията за OEM за актуализации на фърмуера. 

Забележка Горният процес прилага активните променливи на защитеното стартиране чрез операционната система. Стойностите по подразбиране на фърмуера за защитено стартиране се поддържат във фърмуера, който се издава от OEM. Указанията са да не се променя или актуализира конфигурацията на защитеното стартиране, освен ако OEM не е издал актуализация за промяна на настройките по подразбиране на фърмуера на новите сертификати.

 Ако срокът на сертификатите изтече, защитата на защитеното стартиране е влошена. Ако системата отговаря на изискванията за по-нова операционна система, като например Windows 11, ще бъде възможно да надстроите до по-нова версия на операционната система на Windows 11.  

Ако защитеното стартиране не е разрешено на вашите Windows 10 LTSC устройства, те не са включени в текущото внедряване за новите сертификати за защитено стартиране. Когато започнете надстройката до Windows 11 LTSC, ще трябва да следвате конкретните стъпки за мигриране, които са подходящи в този момент, за да се гарантира, че новите сертификати за 2023 г. са включени.

Само поддържаните версии на ОС Windows ще получат сертификатите. 

За Windows, който се изпълнява във виртуална среда, има два метода за добавяне на новите сертификати към променливите на фърмуера на защитеното стартиране: 

• Създателят на виртуалната среда (AWS, Azure, Hyper-V, VMware и т.н.) може да предостави актуализация за средата и да включи новите сертификати във виртуализирания фърмуер. Това ще работи за нови виртуализирани устройства.

• За Windows, който работи дългосрочно във виртуална машина, актуализациите могат да бъдат приложени чрез Windows като всички други устройства, ако виртуализираният фърмуер поддържа актуализации на защитеното стартиране.

Тези клиентски/ИТ управлявани среди често нямат достатъчно диагностични данни, за да може Microsoft да разполага уверено и безопасно с нови функции. Освен това ИТ отделите обикновено предпочитат да запазят пълен контрол върху времето за актуализиране и съдържанието, за да гарантират съответствие, стабилност и съвместимост с вътрешни инструменти и работни потоци. Много корпоративни устройства работят и в чувствителна или ограничена среда, където външният достъп или управление, подразбиращи се от CFR, може да са нежелателни или забранени.

Ако Windows вече използва диспечера за стартиране, подписан с 2023, но фърмуерът се нулира до настройки по подразбиране, които не включват сертификата на Windows UEFI CA 2023, защитеното стартиране ще блокира процеса на зареждане. 

За да коригирате това, трябва да приложите отново сертификата 2023 към базата данни на фърмуера с помощта на приложението за възстановяване. Това се прави чрез създаване на USB за възстановяване, след което зареждане на засегнатото устройство от това USB, за да възстановите липсващия сертификат. 

За инструкции "стъпка по стъпка" вижте официалните указания на Microsoft за актуализиране на носител за инсталиране на Windows. 

​​​​​​​Да. Кумулативните актуализации, които съдържат новите сертификати за защитено стартиране, все още могат да бъдат приложени дори ако съществуващите сертификати са изтекли. Ако устройството може да стартира Windows и да инсталира актуализации, актуализираните сертификати могат да бъдат записани във фърмуера, като следват публикуваните указания за разполагане. Повечето устройства ще получат тези актуализации автоматично, но някои системи може да изискват допълнителни актуализации на фърмуера.