Забележка
- Първоначална дата на публикуване: 26 юни 2025 г.
- ИД на БЗ: 5062710
Регистър на промените
| Промяна на датата | Описание на промяната |
|---|---|
| 18 май 2026 г. |
|
| 5 май 2026 г. |
|
| 3 февруари 2026 г. |
|
| 10 ноември 2025 г. | Коригирани са две правописни грешки под "Нов сертификат":
|
Какво е защитено зареждане?
Защитеното стартиране е функция за защита във фърмуера, базиран на унифициран разширяем интерфейс за фърмуер (UEFI), която помага да се гарантира, че само надежден софтуер се изпълнява по време на последователността за стартиране (стартиране) на устройството. Той работи чрез проверка на цифровия подпис на софтуера преди стартиране срещу набор от надеждни цифрови сертификати (известни също като сертифициращ орган или CA), съхранявани във фърмуера на устройството. Като стандарт в отрасъла, защитеното стартиране на UEFI определя как фърмуерът на платформата управлява сертификатите, удостоверява фърмуера и как операционната система (ОС) взаимодейства с този процес. За повече информация относно UEFI и защитеното зареждане вж. "Защитено стартиране".
Защитеното стартиране е въведено за първи път в Windows 8 за защита срещу възникващата по това време заплаха от злонамерен софтуер (известен също като bootkit). Като част от инициализацията на платформата защитеното стартиране удостоверява модулите на фърмуера преди изпълнение. Тези модули включват драйвери за фърмуер UEFI (като например опции за ROM), зареждащи служебни програми и приложения. Като последна стъпка от процеса на защитено стартиране фърмуерът проверява дали защитеното стартиране се доверява на зареждащата служебна програма за зареждане. След това фърмуерът предава управлението на зареждащото устройство, което от своя страна проверява, зарежда се в паметта и стартира операционната система Windows.
Защитеното стартиране определя надежден код чрез правила за фърмуера, зададени по време на производството. Промените в тези правила, като добавяне или анулиране на сертификати, се контролират от йерархия от ключове. Тази йерархия започва с ключа за платформата (PK), обикновено притежаван от производителя на хардуера, последван от ключа за записване на ключ (KEK) (известен също като ключ за обмен на ключ), който може да включва Microsoft KEK и други OEM KEK. Разрешената база данни за подписи (DB) и забранената база данни за подписи (DBX) определят кой код може да се изпълнява в средата на UEFI преди стартирането на операционната система. DBX включва сертификати, управлявани от Microsoft и OEM, докато DBX се актуализира от Microsoft с най-новите анулирани файлове. Всеки обект с KEK може да актуализира DB и DBX.
Влиянието на изтичането на сертификата за защитено стартиране
Microsoft актуализира сертификатите за защитено стартиране, първоначално издадени през 2011 г., за да гарантира, че устройствата с Windows продължават да проверяват софтуера за надеждно стартиране. Тези по-стари сертификати започват да изтичат през юни 2026 г. Устройства, които не са получили по-новите сертификати от 2023 г., ще продължат да стартират и да работят нормално, а стандартните актуализации на Windows ще продължат да се инсталират. Въпреки това тези устройства вече няма да могат да получават нови защити за ранния процес на стартиране, включително актуализации на диспечера за зареждане на Windows, бази данни за защитено стартиране, списъци на анулиране или смекчавания на последствията за новооткрити уязвимости в нивото на стартиране.
С течение на времето това ограничава защитата на устройството срещу възникващи заплахи и може да засегне сценарии, които разчитат на доверието на защитеното стартиране, като например подсилване на BitLocker или bootloaders на други разработчици. Повечето устройства с Windows ще получат актуализираните сертификати автоматично, а много OEM предоставят актуализации на фърмуера, когато е необходимо. Поддържането на актуалността на вашето устройство с тези актуализации помага да се гарантира, че то може да продължи да получава пълния набор от защити, които защитеното стартиране е предназначено да предоставя.
Сертификати за защитено стартиране на Windows изтичат през 2026 г.
Откакто Windows въведе поддръжка на защитеното стартиране, всички устройства, базирани на Windows, носят един и същ набор от сертификати на Microsoft в KEK и DB. Тези оригинални сертификати наближават датата си на изтичане на срока и вашето устройство е засегнато, ако има някоя от изброените версии на сертификата. За да продължите да работите с Windows и да получавате редовни актуализации за вашата конфигурация на защитеното стартиране, ще трябва да актуализирате тези сертификати.
Терминология
- КЕК: Ключ за записване на ключ
- CA: Сертифициращ орган
- DB: База данни за подписи на защитено стартиране
- DBX: Защитено стартиране – анулирана база данни с подписи
| Изтичащ сертификат | Дата на изтичане на срока | Нов сертификат | Местоположение за съхранение | Цел |
|---|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | 24 юни 2026 г. | Microsoft Corporation KEK 2K CA 2023 | Съхранено в KEK | Подписва актуализации на DB и DBX. |
| Microsoft Windows Production PCA 2011 | 19 октомври 2026 г. | Windows UEFI CA 2023 | Съхранено в база данни | Използва се за подписване на зареждащата служебна програма за стартиране на Windows. |
| Microsoft UEFI CA 2011*** | 27 юни 2026 г. | Microsoft UEFI CA 2023 | Съхранено в база данни | Подписва зареждащи устройства на трети лица и приложения на EFI. |
| Microsoft UEFI CA 2011*** | 27 юни 2026 г. | Microsoft Option ROM UEFI CA 2023 | Съхранено в база данни | Подписва опции за ROM на трети лица |
Забележка
*По време на подновяването на сертификата на Microsoft Corporation UEFI CA 2011, два сертификата разделят подписването на зареждащия служещ от опцията за ROM подписване. Това позволява по-фин контрол върху доверието на системата. Например системи, които трябва да се доверят на опции за ROM, могат да добавят Microsoft Option ROM UEFI CA 2023, без да добавят доверие за зареждащи устройства на трети лица.
Microsoft издаде актуализирани сертификати, за да осигури непрекъснатост на защитата на защитеното стартиране на устройства с Windows. Microsoft ще управлява процеса на актуализиране за тези нови сертификати на значителна част от устройствата с Windows. Освен това ще предложим подробни указания за организации, които управляват собствените си актуализации на устройства.
Повикване за действие
Може да се наложи да предприемете действия, за да гарантирате, че вашето устройство с Windows остава защитено, когато срокът на сертификатите изтече през 2026 г. Както UEFI Secure Boot DB, така и KEK трябва да бъдат актуализирани със съответните нови версии на сертификата от 2023 г. За повече информация относно новите сертификати вж. Указания за създаване и управление на ключ за защитено стартиране на Windows.
Действията ви ще се различават в зависимост от типа на устройството с Windows, което имате. Изберете от менюто вляво типа на устройството и конкретното действие, което трябва да предприемете.
Ресурси за поддръжка на клиенти на Microsoft
За да се свържете с поддръжката от Microsoft, вижте:
"Поддръжка от Microsoft " и след това щракнете върху Windows.
Поддръжка за бизнеса и след това щракнете върху "Създай", за да създадете нова заявка за поддръжка.
След като създадете нова заявка за поддръжка, тя трябва да изглежда подобно на следното: