Ofte stillede spørgsmål om sikker bootstart-opdateringsproces

Det er bedst at opdatere certifikater til sikker bootstart i god tid før udløbsdatoen for juni 2026. 

Hvis din enhed administreres af Microsoft, og du deler diagnosticeringsdata med Microsoft, vil Microsoft i de fleste tilfælde forsøge at opdatere certifikater til sikker bootstart automatisk. Selvom Microsoft vil gøre deres bedste for at opdatere sikker bootstart, vil der være nogle situationer, hvor opdateringen ikke er garanteret at gælde og kræver handling fra kundens side. Kunden er i sidste ende ansvarlig for opdatering af certifikater til sikker bootstart. 

Nogle eksempelsituationer, hvor Microsoft-administrerede enheder med delte diagnosticeringsdata ikke bliver opdateret, er som følger: 

• Microsoft Secure Boot-opdateringer fungerer kun på nogle versioner af Windows, der understøtter support.

• De diagnosticeringsdata, der er aktiveret på din enhed, kan blive blokeret af en firewall i organisationen og ikke komme til Microsoft.

• Der kan være noget galt med firmwaren på enheden.

Bemærk! Hvad betyder det at være "Administreret af Microsoft"? Systemet deler diagnosticeringsdata og administreres af Microsoft Cloud eller Intune. 

Hvis din enhed ikke deler diagnosticeringsdata med Microsoft og administreres af organisationens it-afdeling eller af kunden, kan it-afdelingen opdatere systemerne efter Microsofts vejledning i udløb af Windows Secure Boot-certifikat og ca-opdateringer.

Hvis computeren administreres af Microsoft, opdateres certifikater til sikker bootstart via Windows Update.  

Hvis computeren administreres af din organisation eller virksomhedens it-administrator, har it-afdelingen metoder til at opdatere systemet ved hjælp af vejledning i udløb af certifikat til sikker start af Windows og opdateringer af nøglecenteret. 

Windows 10 support ophører den 14. oktober 2025. Du kan få mere at vide under Windows 10 support slutter d. 14. oktober 2025. 

Hvis du vil fortsætte med at modtage Opdateringer efter denne dato, kan kunder, der er på Windows 10 tilmelde sig: 

• ESU-programmet (Windows 10 Extended Security Opdateringer) skal du se Windows 10 ESU-program (Extended Security Opdateringer)

• Eller hvis du har en understøttet LTSC-version af Windows 10, vil den fortsat få sikkerheds- Opdateringer indtil UDLØBSDATOen for LTSC. Se f.eks. ESU-programmet (Extended Security Opdateringer) for at få Windows 10

Bemærk!

• Windows 10 Enterprise LTSC kan købes enten som en separat SKU eller som en del af et Windows Enterprise E3-abonnement.

• Windows IoT Enterprise LTSC kan købes direkte fra en OEM eller via en leverandørlicens som en separat SKU.

Enheden fortsætter med at starte og fungere normalt. Den vil dog ikke længere være berettiget til at modtage sikkerhedsrettelser, der er relateret til opdateringer til Windows Boot Manager eller Sikker bootstart.

Certifikater til sikker bootstart gør det muligt for firmwaren at bekræfte, at der er tillid til vigtige komponenter – f.eks. startadministratorer, indstillingsrommer (firmwaredrivere) og anden firmwarebaseret software – og at de ikke er blevet ændret. Microsoft bruger disse certifikater til at signere bootadministratorer og andre komponenter, der skal være tillid til, samt opdateringer til sikker bootstart. Når ældre certifikater udløber, kan de ikke længere bruges til at signere nye komponenter eller opdateringer.

Enheder, hvor Sikker bootstart er deaktiveret, modtager ikke de nye certifikater til sikker bootstart i firmware. Derfor vil de forblive sårbare over for malware på startniveau, f.eks. bootkits, fordi beskyttelse mod sikker bootstart ikke gennemtvinges. 

For berettigede enheder – f.eks. dem, der modtager kumulative opdateringer via tillidsbaseret installation eller tilmeldt Controlled Feature Rollout (CFR) med diagnosticeringsdata aktiveret – vil Microsoft forsøge at opdatere alle relevante certifikater. Disse opdateringer leveres dog som en hjælp, ikke som en garanti. It-administratorer er fortsat ansvarlige for at sikre, at hele deres flåde opdateres ved hjælp af Microsofts automatiserede CFR og andre dokumenterede installationsmetoder.

Certifikaterne blev inkluderet i den 13. maj 2025, kumulative opdateringer (LCU) og nyere. De anvendes dog ikke automatisk, og der kræves yderligere trin. Du kan få installationsvejledning under https://aka.ms/getsecureboot.

Der er to mulige stier: 

• Hvis computeren administreres af Microsoft med delte diagnosticeringsdata, og operativsystemet understøttes, forsøger Microsoft at opdatere.

• Hvis enheden er kundeadministreret eller administreret af en it-administrator, kan it-afdelingen anvende opdateringerne på det validerede sæt af computere, der sikkert kan tage opdateringer i henhold til Microsoft-vejledning i udløb af Windows Secure Boot-certifikat og nøglecenteropdateringer.

Disse trin forventes at løse de fleste kunder uden at skulle opdatere firmwaren fra OEM'er. Der vil dog være visse tilfælde, hvor opdateringerne ikke gælder på grund af kendte eller ukendte problemer i enhedens firmware. I sådanne tilfælde skal du følge OEM-vejledningen om firmwareopdateringer. 

Bemærk! Ovenstående proces anvender de aktive variabler til sikker bootstart via operativsystemet. Standardværdierne for Secure Boot Firmware vedligeholdes i firmwaren, som udgives af OEM'en. Vejledningen er ikke at ændre eller opdatere konfigurationen af sikker bootstart, medmindre OEM'en har udgivet en opdatering for at ændre standardindstillingerne for Firmware til de nye certifikater.

 Hvis certifikaterne udløber, forringes beskyttelsen for sikker bootstart. Hvis systemet opfylder kravene til et nyere operativsystem, f.eks. Windows 11, vil det være muligt at opgradere til en nyere os-version af Windows 11.  

Hvis Sikker bootstart ikke er aktiveret på dine Windows 10 LTSC-enheder, medtages de ikke i den aktuelle implementering af de nye certifikater til sikker bootstart. Når du starter opgraderingen til Windows 11 LTSC, skal du følge specifikke overførselstrin, der er relevante på det pågældende tidspunkt, for at sikre, at de nye 2023-certifikater er inkluderet.

Kun understøttede versioner af Windows-operativsystemet får certifikaterne. 

For Windows, der kører i et virtuelt miljø, er der to metoder til at føje de nye certifikater til variablerne for secure boot-firmware: 

• Skaberen af det virtuelle miljø (AWS, Azure, Hyper-V, VMware osv.) kan levere en opdatering til miljøet og medtage de nye certifikater i den virtualiserede firmware. Dette ville fungere for nye virtualiserede enheder.

• For Windows, der kører på lang sigt i en VM, kan opdateringerne anvendes via Windows på samme måde som alle andre enheder, hvis den virtualiserede firmware understøtter opdateringer til sikker bootstart.

Disse kunde-/it-administrerede miljøer mangler ofte tilstrækkelige diagnosticeringsdata til, at Microsoft trygt og sikkert kan udrulle nye funktioner. Desuden foretrækker it-afdelinger typisk at bevare fuld kontrol over opdateringstidspunkt og -indhold for at sikre overholdelse, stabilitet og kompatibilitet med interne værktøjer og arbejdsprocesser. Mange virksomhedsenheder fungerer også i følsomme eller begrænsede miljøer, hvor ekstern adgang eller administration – underforstået af CFR – kan være uønsket eller forbudt.

Hvis Windows allerede bruger det 2023-signerede bootstyring, men firmwaren nulstilles til standardindstillinger, der ikke indeholder Windows UEFI CA 2023-certifikatet, blokerer sikker bootstart startprocessen. 

Du kan løse dette problem ved at genanvende 2023-certifikatet på firmwarens DB ved hjælp af genoprettelsesprogrammet. Dette gøres ved at oprette et genoprettelses-USB og derefter starte den berørte enhed fra usb'en for at gendanne det manglende certifikat. 

Du kan finde en trinvis vejledning i Microsofts officielle vejledning til opdatering af Windows-installationsmedier.