Изтичане на сертификата за защитено стартиране на Windows и актуализации на CA

Отнася се за
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Забележка

  • Първоначална дата на публикуване: 26 юни 2025 г.
  • ИД на БЗ: 5062710
Регистър на промените
Промяна на датата Описание на промяната
18 май 2026 г.
  • Актуализирана таблица със сертификати в раздела "Сертификати за защитено стартиране на Windows изтичат през 2026 г.", за да включва деня от месеца.
5 май 2026 г.
  • Добавен е нов раздел "Ресурси за поддръжка на клиенти на Microsoft".
3 февруари 2026 г.
  • Добавен нов раздел "Влиянието от изтичането на срока на сертификата за защитено стартиране".
  • Премахнати са бележките, маркирани като "Важно" над и под раздела " Повикване за действие".
10 ноември 2025 г. Коригирани са две правописни грешки под "Нов сертификат":
  • от Microsoft Corporation KEK CA 2023" до "Microsoft Corporation KEK 2K CA 2023"
  • и от "Microsoft Option ROM CA 2023" към "Microsoft Option ROM UEFI CA 2023"

Какво е защитено зареждане?

Защитеното стартиране е функция за защита във фърмуера, базиран на унифициран разширяем интерфейс за фърмуер (UEFI), която помага да се гарантира, че само надежден софтуер се изпълнява по време на последователността за стартиране (стартиране) на устройството. Той работи чрез проверка на цифровия подпис на софтуера преди стартиране срещу набор от надеждни цифрови сертификати (известни също като сертифициращ орган или CA), съхранявани във фърмуера на устройството. Като стандарт в отрасъла, защитеното стартиране на UEFI определя как фърмуерът на платформата управлява сертификатите, удостоверява фърмуера и как операционната система (ОС) взаимодейства с този процес. За повече информация относно UEFI и защитеното зареждане вж. "Защитено стартиране".

Защитеното стартиране е въведено за първи път в Windows 8 за защита срещу възникващата по това време заплаха от злонамерен софтуер (известен също като bootkit). Като част от инициализацията на платформата защитеното стартиране удостоверява модулите на фърмуера преди изпълнение. Тези модули включват драйвери за фърмуер UEFI (като например опции за ROM), зареждащи служебни програми и приложения. Като последна стъпка от процеса на защитено стартиране фърмуерът проверява дали защитеното стартиране се доверява на зареждащата служебна програма за зареждане. След това фърмуерът предава управлението на зареждащото устройство, което от своя страна проверява, зарежда се в паметта и стартира операционната система Windows.

Защитеното стартиране определя надежден код чрез правила за фърмуера, зададени по време на производството. Промените в тези правила, като добавяне или анулиране на сертификати, се контролират от йерархия от ключове. Тази йерархия започва с ключа за платформата (PK), обикновено притежаван от производителя на хардуера, последван от ключа за записване на ключ (KEK) (известен също като ключ за обмен на ключ), който може да включва Microsoft KEK и други OEM KEK. Разрешената база данни за подписи (DB) и забранената база данни за подписи (DBX) определят кой код може да се изпълнява в средата на UEFI преди стартирането на операционната система. DBX включва сертификати, управлявани от Microsoft и OEM, докато DBX се актуализира от Microsoft с най-новите анулирани файлове. Всеки обект с KEK може да актуализира DB и DBX.

Влиянието на изтичането на сертификата за защитено стартиране

Microsoft актуализира сертификатите за защитено стартиране, първоначално издадени през 2011 г., за да гарантира, че устройствата с Windows продължават да проверяват софтуера за надеждно стартиране. Тези по-стари сертификати започват да изтичат през юни 2026 г. Устройства, които не са получили по-новите сертификати от 2023 г., ще продължат да стартират и да работят нормално, а стандартните актуализации на Windows ще продължат да се инсталират. Въпреки това тези устройства вече няма да могат да получават нови защити за ранния процес на стартиране, включително актуализации на диспечера за зареждане на Windows, бази данни за защитено стартиране, списъци на анулиране или смекчавания на последствията за новооткрити уязвимости в нивото на стартиране.

С течение на времето това ограничава защитата на устройството срещу възникващи заплахи и може да засегне сценарии, които разчитат на доверието на защитеното стартиране, като например подсилване на BitLocker или bootloaders на други разработчици. Повечето устройства с Windows ще получат актуализираните сертификати автоматично, а много OEM предоставят актуализации на фърмуера, когато е необходимо. Поддържането на актуалността на вашето устройство с тези актуализации помага да се гарантира, че то може да продължи да получава пълния набор от защити, които защитеното стартиране е предназначено да предоставя.

Сертификати за защитено стартиране на Windows изтичат през 2026 г.

Откакто Windows въведе поддръжка на защитеното стартиране, всички устройства, базирани на Windows, носят един и същ набор от сертификати на Microsoft в KEK и DB. Тези оригинални сертификати наближават датата си на изтичане на срока и вашето устройство е засегнато, ако има някоя от изброените версии на сертификата. За да продължите да работите с Windows и да получавате редовни актуализации за вашата конфигурация на защитеното стартиране, ще трябва да актуализирате тези сертификати.

Терминология

  • КЕК: Ключ за записване на ключ
  • CA: Сертифициращ орган
  • DB: База данни за подписи на защитено стартиране
  • DBX: Защитено стартиране – анулирана база данни с подписи
Изтичащ сертификат Дата на изтичане на срока Нов сертификат Местоположение за съхранение Цел
Microsoft Corporation KEK CA 2011 24 юни 2026 г. Microsoft Corporation KEK 2K CA 2023 Съхранено в KEK Подписва актуализации на DB и DBX.
Microsoft Windows Production PCA 2011 19 октомври 2026 г. Windows UEFI CA 2023 Съхранено в база данни Използва се за подписване на зареждащата служебна програма за стартиране на Windows.
Microsoft UEFI CA 2011*** 27 юни 2026 г. Microsoft UEFI CA 2023 Съхранено в база данни Подписва зареждащи устройства на трети лица и приложения на EFI.
Microsoft UEFI CA 2011*** 27 юни 2026 г. Microsoft Option ROM UEFI CA 2023 Съхранено в база данни Подписва опции за ROM на трети лица

Забележка

*По време на подновяването на сертификата на Microsoft Corporation UEFI CA 2011, два сертификата разделят подписването на зареждащия служещ от опцията за ROM подписване. Това позволява по-фин контрол върху доверието на системата. Например системи, които трябва да се доверят на опции за ROM, могат да добавят Microsoft Option ROM UEFI CA 2023, без да добавят доверие за зареждащи устройства на трети лица.

Microsoft издаде актуализирани сертификати, за да осигури непрекъснатост на защитата на защитеното стартиране на устройства с Windows. Microsoft ще управлява процеса на актуализиране за тези нови сертификати на значителна част от устройствата с Windows. Освен това ще предложим подробни указания за организации, които управляват собствените си актуализации на устройства.

Повикване за действие

Може да се наложи да предприемете действия, за да гарантирате, че вашето устройство с Windows остава защитено, когато срокът на сертификатите изтече през 2026 г. Както UEFI Secure Boot DB, така и KEK трябва да бъдат актуализирани със съответните нови версии на сертификата от 2023 г. За повече информация относно новите сертификати вж. Указания за създаване и управление на ключ за защитено стартиране на Windows.

Действията ви ще се различават в зависимост от типа на устройството с Windows, което имате. Изберете от менюто вляво типа на устройството и конкретното действие, което трябва да предприемете.

Ресурси за поддръжка на клиенти на Microsoft

За да се свържете с поддръжката от Microsoft, вижте:

  • "Поддръжка от Microsoft " и след това щракнете върху Windows.

  • Поддръжка за бизнеса и след това щракнете върху "Създай", за да създадете нова заявка за поддръжка.

    След като създадете нова заявка за поддръжка, тя трябва да изглежда подобно на следното:

    Създаване на нова заявка за поддръжка