Първоначална дата на публикуване: 15 септември 2025 г.
ИД на КБ: 5068008
ЧЗВ за общо защитено стартиране
Най-добре е да актуализирате сертификатите за защитено стартиране още преди датата на изтичане на срока от юни 2026 г.
Ако вашето устройство се управлява от Microsoft и споделянето на диагностични данни с Microsoft, Microsoft ще се опита да актуализира автоматично сертификатите за защитено стартиране в повечето случаи. Въпреки че Microsoft ще направи всичко възможно, за да актуализира защитеното стартиране, ще има някои ситуации, в които актуализацията не е гарантирана за прилагане и ще се нуждае от действие от страна на клиента. Клиентът носи крайната отговорност за актуализирането на сертификатите за защитено стартиране.
Някои примерни ситуации, при които управлявани от Microsoft устройства със споделени диагностични данни не се актуализират, са както следва:
-
Актуализациите на защитеното стартиране на Microsoft работят само на някои версии на Windows, които се поддържат.
-
Диагностичните данни, разрешени на вашето устройство, може да са блокирани от защитна стена във вашата организация и да не достигат до Microsoft.
-
Възможно е да има проблем с фърмуера на устройството.
Забележка Какво означава да бъдеш "Управляван от Microsoft"? Системата споделя диагностични данни и се управлява от облака на Microsoft или Intune.
Ако вашето устройство не споделя диагностични данни с Microsoft и се управлява от ИТ отдела на вашата организация или от клиента, тогава ИТ отделът може да актуализира системите, като следва указанията на Microsoft в Изтичане на срока на сертификата за защитено стартиране на Windows и актуализации на CA.
Ако компютърът се управлява от Microsoft, сертификатите за защитено стартиране се актуализират чрез актуализиране на Windows.
Ако компютърът се управлява от ИТ администратора на вашата организация или фирма, тогава ИТ отделът има методи за актуализиране на системата с помощта на указания в Изтичане на срока на сертификата за защитено стартиране на Windows и актуализации на CA.
Компютърът все още ще стартира Windows нормално дори ако сертификатите за защитено стартиране не са актуализирани. В крайна сметка компютърът ще спре да получава определени актуализации на защитата на Windows от Microsoft, включително диспечера за зареждане и актуализациите на защитата на компонента на защитеното стартиране. Това ще изложи устройството на риск от BootKits, които могат да поемат пълен контрол над компютъра.
Windows 10 Поддръжката приключва на 14 октомври 2025 г. За повече информация вижте Windows 10 поддръжката приключва на 14 октомври 2025 г.
За да продължите да получавате Актуализации за защита след тази дата, клиентите, които остават на Windows 10 могат да се запишат за:
-
Програмата Windows 10 за разширена защита Актуализации (ESU) вж. програмата Windows 10 разширена защита Актуализации (ESU)
-
Или, ако имате поддържана версия на LTSC на Windows 10, тя ще продължи да получава Актуализации за защита до датата на изтичане на ltsc. Например вижте Програма за разширена защита Актуализации (ESU) за Windows 10
Бележка
-
Windows 10 Enterprise LTSC е наличен за закупуване като самостоятелен ИЕ или като част от абонамент за Windows Enterprise E3.
-
Windows IoT Enterprise LTSC може да бъде закупен директно от OEM или чрез лиценз на доставчик като самостоятелна ИЕ.
ЧЗВ за защитеното стартиране на клиентски/ИТ управлявани системи
Има два възможни пътя:
-
Ако компютърът се управлява от Microsoft със споделени диагностични данни и операционната система се поддържа, Microsoft ще се опита да актуализира.
-
Ако устройството се управлява или управлява от ИТ администратор, то ИТ отделът може да приложи актуализациите на проверения набор от компютри, които могат безопасно да приемат актуализации съгласно указания на Microsoft в Изтичане на срока на сертификата за защитено стартиране на Windows и актуализации на СЕРТИФИЦИРАщ орган.
Тези стъпки се очаква да адресират повечето клиенти, без да е необходима актуализация на фърмуера от OEM. Въпреки това ще има някои случаи, в които актуализациите не се прилагат поради известни или неизвестни проблеми във фърмуера на устройството. В такива случаи следвайте указанията за OEM за актуализации на фърмуера.
Забележка Горният процес прилага активните променливи на защитеното стартиране чрез операционната система. Стойностите по подразбиране на фърмуера за защитено стартиране се поддържат във фърмуера, който се издава от OEM. Указанията са да не се променя или актуализира конфигурацията на защитеното стартиране, освен ако OEM не е издал актуализация за промяна на настройките по подразбиране на фърмуера на новите сертификати.
Ако срокът на сертификатите изтече, защитата на защитеното стартиране е влошена. Ако системата отговаря на изискванията за по-нова операционна система, като например Windows 11, ще бъде възможно да надстроите до по-нова версия на операционната система на Windows 11.
Ако защитеното стартиране не е разрешено на вашите Windows 10 LTSC устройства, те не са включени в текущото внедряване за новите сертификати за защитено стартиране. Когато започнете надстройката до Windows 11 LTSC, ще трябва да следвате конкретните стъпки за мигриране, които са подходящи в този момент, за да се гарантира, че новите сертификати за 2023 г. са включени.
Само поддържаните версии на ОС Windows ще получат сертификатите.
След като сертификатите изтекат, устройството ще продължи да се стартира без промяна, но устройството ще спре да получава актуализации на защитата за диспечера за зареждане и компонентите на защитеното стартиране. Това ще постави цялото устройство в риск от злонамерен софтуер bootkit, който може да засегне всички аспекти на защитата на устройството.
За Windows, който се изпълнява във виртуална среда, има два метода за добавяне на новите сертификати към променливите на фърмуера на защитеното стартиране:
-
Създателят на виртуалната среда (AWS, Azure, Hyper-V, VMware и т.н.) може да предостави актуализация за средата и да включи новите сертификати във виртуализирания фърмуер. Това ще работи за нови виртуализирани устройства.
-
За Windows, който работи дългосрочно във виртуална машина, актуализациите могат да бъдат приложени чрез Windows като всички други устройства, ако виртуализираният фърмуер поддържа актуализации на защитеното стартиране.
Тези клиентски/ИТ управлявани среди често нямат достатъчно диагностични данни, за да може Microsoft да разполага уверено и безопасно с нови функции. Освен това ИТ отделите обикновено предпочитат да запазят пълен контрол върху времето за актуализиране и съдържанието, за да гарантират съответствие, стабилност и съвместимост с вътрешни инструменти и работни потоци. Много корпоративни устройства работят и в чувствителна или ограничена среда, където външният достъп или управление, подразбиращи се от CFR, може да са нежелателни или забранени.
Ако Windows вече използва диспечера за стартиране, подписан с 2023, но фърмуерът се нулира до настройки по подразбиране, които не включват сертификата на Windows UEFI CA 2023, защитеното стартиране ще блокира процеса на зареждане.
За да коригирате това, трябва да приложите отново сертификата 2023 към базата данни на фърмуера с помощта на приложението за възстановяване. Това се прави чрез създаване на USB за възстановяване, след което зареждане на засегнатото устройство от това USB, за да възстановите липсващия сертификат.
За инструкции "стъпка по стъпка" вижте официалните указания на Microsoft за актуализиране на носител за инсталиране на Windows.
