Ofte stillede spørgsmål om sikker bootstart-opdateringsproces

Når certifikater til sikker bootstart udløber, fortsætter enheder, der ikke har modtaget de nyere 2023-certifikater, med at starte og fungere normalt, og standardopdateringer til Windows fortsætter med at installere. Disse enheder vil dog ikke længere kunne modtage ny sikkerhedsbeskyttelse til den tidlige startproces, herunder opdateringer til Windows Boot Manager, Secure Boot-databaser, lister over tilbagekaldte filer eller afhjælpninger af nyligt opdagede sårbarheder på startniveau. 

Med tiden begrænser dette enhedens beskyttelse mod nye trusler og kan påvirke scenarier, der er afhængige af sikker bootstart, f.eks. BitLocker-hærdning eller bootloadere fra tredjepart. De fleste Windows-enheder modtager automatisk de opdaterede certifikater, og mange OEM'er har leveret firmwareopdateringer, når det er nødvendigt. Hvis du holder din enhed opdateret med disse opdateringer, sikrer du, at den kan fortsætte med at modtage det fulde sæt sikkerhedsbeskyttelser, som Sikker bootstart er udviklet til at levere.

Det er bedst at opdatere certifikater til sikker bootstart i god tid før udløbsdatoen for juni 2026. 

Hvis din enhed administreres af Microsoft, og du deler diagnosticeringsdata med Microsoft, vil Microsoft i de fleste tilfælde forsøge at opdatere certifikater til sikker bootstart automatisk. Selvom Microsoft vil gøre deres bedste for at opdatere Sikker bootstart, vil der være nogle situationer, hvor opdateringen ikke er garanteret til at gælde og kræver handling fra kundens side. Kunden er i sidste ende ansvarlig for opdatering af certifikater til sikker bootstart. 

Eksempler på situationer, hvor Microsoft-administrerede enheder med aktiverede diagnosticeringsdata muligvis ikke modtager opdateringer, omfatter:

• Microsoft Secure Boot-opdateringer gælder kun for nogle versioner af Windows, der understøtter support.

• De diagnosticeringsdata, der er aktiveret på din enhed, kan blive blokeret af en firewall i organisationen og ikke komme til Microsoft.

• Der kan være noget galt med firmwaren på enheden.

Bemærk! Hvad betyder det at være "Administreret af Microsoft"? Systemet deler diagnosticeringsdata og administreres af Microsoft Cloud eller Intune. 

Hvis din enhed ikke deler diagnosticeringsdata med Microsoft og administreres af organisationens it-afdeling eller af kunden, kan it-afdelingen opdatere systemerne efter Microsofts vejledning i udløb af Windows Secure Boot-certifikat og ca-opdateringer.

Hvis computeren administreres af Microsoft, opdateres certifikater til sikker bootstart via Windows Update.  

Hvis computeren administreres af din organisation eller virksomhedens it-administrator, har it-afdelingen metoder til at opdatere systemet ved hjælp af vejledning i udløb af certifikat til sikker start af Windows og opdateringer af nøglecenteret. 

Windows 10 support ophører den 14. oktober 2025. Du kan få mere at vide under Windows 10 support slutter d. 14. oktober 2025. 

Hvis du vil fortsætte med at modtage Opdateringer efter denne dato, kan kunder, der er på Windows 10 tilmelde sig: 

• ESU-programmet (Windows 10 Extended Security Opdateringer) skal du se Windows 10 ESU-program (Extended Security Opdateringer)

• Eller hvis du har en understøttet LTSC-version af Windows 10, vil den fortsat få sikkerheds- Opdateringer indtil UDLØBSDATOen for LTSC. Se f.eks. ESU-programmet (Extended Security Opdateringer) for at få Windows 10

Bemærk!

• Windows 10 Enterprise LTSC kan købes enten som en separat SKU eller som en del af et Windows Enterprise E3-abonnement.

• Windows IoT Enterprise LTSC kan købes direkte fra en OEM eller via en leverandørlicens som en separat SKU.

Certifikater til sikker bootstart gør det muligt for firmwaren at bekræfte, at der er tillid til vigtige komponenter – f.eks. startadministratorer, indstillingsrommer (firmwaredrivere) og anden firmwarebaseret software – og at de ikke er blevet ændret. Microsoft bruger disse certifikater til at signere bootadministratorer og andre komponenter, der skal være tillid til, samt opdateringer til sikker bootstart. Når ældre certifikater udløber, kan de ikke længere bruges til at signere nye komponenter eller opdateringer.

Enheder, hvor Sikker bootstart er deaktiveret, modtager ikke de nye certifikater til sikker bootstart i firmware. Derfor vil de forblive sårbare over for malware på startniveau, f.eks. bootkits, fordi beskyttelse mod sikker bootstart ikke gennemtvinges. 

For berettigede enheder – f.eks. dem, der modtager kumulative opdateringer via tillidsbaseret installation eller tilmeldt Controlled Feature Rollout (CFR) med diagnosticeringsdata aktiveret – vil Microsoft forsøge at opdatere alle relevante certifikater. Disse opdateringer leveres dog som en hjælp, ikke som en garanti. It-administratorer er fortsat ansvarlige for at sikre, at hele deres flåde opdateres ved hjælp af Microsofts automatiserede CFR og andre dokumenterede installationsmetoder.

Certifikaterne blev inkluderet i den 13. maj 2025, kumulative opdateringer (LCU) og nyere. De anvendes dog ikke automatisk, og der kræves yderligere trin. Du kan få installationsvejledning under https://aka.ms/getsecureboot.

De tjener forskellige formål.

Firmwareopdateringer kan opdatere de standardvariabler for sikker bootstart, der er gemt i firmwaren. Dette er primært nyttigt, hvis indstillingerne for sikker bootstart senere nulstilles til standardindstillingerne, fordi standardindstillingerne for firmwaren bestemmer, hvilke certifikater der gendannes i dette scenarie.

Windows anvender ændringer på de aktive variabler for sikker bootstart, der gennemtvinges under normal start. Disse aktive variabler er, hvad firmwaren bruger til at validere startkomponenter, og hvad Windows er afhængig af for at levere fremtidig beskyttelse mod sikker bootstart.

I praksis er Windows ansvarlig for at holde den aktive konfiguration af Sikker bootstart opdateret. Firmwareopdateringer er med til at sikre, at standardværdierne også opdateres, hvilket reducerer risikoen, hvis Sikker bootstart nulstilles eller initialiseres igen i fremtiden.

Administratorer skal sikre, at de aktive variabler for sikker bootstart opdateres, og overvåge installationsstatus, uanset om firmwareopdateringer er tilgængelige.

Der er to mulige stier: 

• Hvis computeren administreres af Microsoft med delte diagnosticeringsdata, og operativsystemet understøttes, forsøger Microsoft at opdatere.

• Hvis enheden er kundeadministreret eller administreret af en it-administrator, kan it-afdelingen anvende opdateringerne på det validerede sæt af computere, der sikkert kan tage opdateringer i henhold til Microsoft-vejledning i udløb af Windows Secure Boot-certifikat og nøglecenteropdateringer.

Disse trin forventes at løse de fleste kunder uden at skulle opdatere firmwaren fra OEM'er. Der vil dog være visse tilfælde, hvor opdateringerne ikke gælder på grund af kendte eller ukendte problemer i enhedens firmware. I sådanne tilfælde skal du følge OEM-vejledningen om firmwareopdateringer. 

Bemærk! Ovenstående proces anvender de aktive variabler til sikker bootstart via operativsystemet. Standardværdierne for Secure Boot Firmware vedligeholdes i firmwaren, som udgives af OEM'en. Vejledningen er ikke at ændre eller opdatere konfigurationen af sikker bootstart, medmindre OEM'en har udgivet en opdatering for at ændre standardindstillingerne for Firmware til de nye certifikater.

 Hvis certifikaterne udløber, forringes beskyttelsen for sikker bootstart. Hvis systemet opfylder kravene til et nyere operativsystem, f.eks. Windows 11, vil det være muligt at opgradere til en nyere os-version af Windows 11.  

Hvis Sikker bootstart ikke er aktiveret på dine Windows 10 LTSC-enheder, medtages de ikke i den aktuelle implementering af de nye certifikater til sikker bootstart. Når du starter opgraderingen til Windows 11 LTSC, skal du følge specifikke overførselstrin, der er relevante på det pågældende tidspunkt, for at sikre, at de nye 2023-certifikater er inkluderet.

Kun understøttede versioner af Windows-operativsystemet får certifikaterne. 

For Windows, der kører i et virtuelt miljø, er der to metoder til at føje de nye certifikater til variablerne for secure boot-firmware: 

• Skaberen af det virtuelle miljø (AWS, Azure, Hyper-V, VMware osv.) kan levere en opdatering til miljøet og medtage de nye certifikater i den virtualiserede firmware. Dette ville fungere for nye virtualiserede enheder.

• For Windows, der kører på lang sigt i en VM, kan opdateringerne anvendes via Windows på samme måde som alle andre enheder, hvis den virtualiserede firmware understøtter opdateringer til sikker bootstart.

Disse kunde-/it-administrerede miljøer mangler ofte tilstrækkelige diagnosticeringsdata til, at Microsoft trygt og sikkert kan udrulle nye funktioner. Desuden foretrækker it-afdelinger typisk at bevare fuld kontrol over opdateringstidspunkt og -indhold for at sikre overholdelse, stabilitet og kompatibilitet med interne værktøjer og arbejdsprocesser. Mange virksomhedsenheder fungerer også i følsomme eller begrænsede miljøer, hvor ekstern adgang eller administration – underforstået af CFR – kan være uønsket eller forbudt.

Hvis Windows allerede bruger det 2023-signerede bootstyring, men firmwaren nulstilles til standardindstillinger, der ikke indeholder Windows UEFI CA 2023-certifikatet, blokerer sikker bootstart startprocessen. 

Du kan løse dette problem ved at genanvende 2023-certifikatet på firmwarens DB ved hjælp af genoprettelsesprogrammet. Dette gøres ved at oprette et genoprettelses-USB og derefter starte den berørte enhed fra usb'en for at gendanne det manglende certifikat. 

Du kan finde en trinvis vejledning i Microsofts officielle vejledning til opdatering af Windows-installationsmedier. 

​​​​​​​Ja. De kumulative opdateringer, der indeholder de nye certifikater til sikker bootstart, kan stadig anvendes, selvom de eksisterende certifikater er udløbet. Hvis enheden kan starte Windows og installere opdateringer, kan de opdaterede certifikater skrives til firmwaren ved at følge den publicerede installationsvejledning. De fleste enheder modtager automatisk disse opdateringer, men nogle systemer kræver muligvis yderligere firmwareopdateringer.