Korduma kippuvad küsimused secure Booti värskendamise protsessi kohta

Kõige parem on värskendada Secure Booti serte enne 2026. aasta juuni aegumiskuupäeva. 

Kui teie seadet haldab Microsoft ja jagab Microsoftiga diagnostikaandmeid, proovib Microsoft enamasti turvalist algkäivituse serti automaatselt värskendada. Kuigi Microsoft annab endast parima secure Booti värskendamiseks, esineb olukordi, kus värskenduse rakendamine pole tagatud ja see vajab klienditoiminguid. Klient vastutab lõppkokkuvõttes Secure Booti sertide värskendamise eest. 

Mõned näited olukordades, kus jagatud diagnostikaandmetega Microsofti hallatavaid seadmeid ei värskendata, on järgmised. 

• Microsofti turvalise algkäivituse värskendused töötavad ainult mõnedes Windowsi tugiteenuste versioonides.

• Teie seadmes lubatud diagnostikaandmed võib teie ettevõtte tulemüür blokeerida ja need ei jõua Microsofti.

• Seadme püsivaraga võib midagi valesti olla.

Märkus Mida tähendab "Microsofti hallatav"? Süsteem jagab diagnostikaandmeid ja seda haldab Microsofti pilvteenus või Intune. 

Kui teie seade ei jaga Microsoftiga diagnostikaandmeid ja seda haldab teie ettevõtte IT-osakond või klient, siis saab IT-osakond värskendada süsteeme Microsofti juhiste järgi teemas Windowsi turvalise käivitamise serdi aegumine ja CA värskendused.

Kui arvutit haldab Microsoft, värskendatakse turvalise algkäivituse serte Windows Update kaudu.  

Kui arvutit haldab teie ettevõte või ettevõtte IT-administraator, siis on IT-osakonnal meetodid süsteemi värskendamiseks Windowsi turvalise algkäivituse serdi aegumise ja CA värskenduste juhiste abil. 

Windows 10 tugi lõpeb 14. oktoobril 2025. Lisateavet leiate teemast Windows 10 tugi lõpeb 14. oktoobril 2025. 

Turbe Teabevärskendused saamiseks pärast seda kuupäeva saavad kliendid, kes jäävad Windows 10, registreeruda: 

• Laiendatud turbe Teabevärskendused (ESU) Windows 10 programmi vt Windows 10 laiendatud turbe Teabevärskendused (ESU) programm

• Või kui teil on Windows 10 toetatud LTSC versioon, jätkub turbe Teabevärskendused kuni LTSC aegumiskuupäevani. Lugege näiteks Windows 10 laiendatud turbe Teabevärskendused (ESU) programmi

Märkus

• Windows 10 Enterprise LTSC on saadaval eraldi SKU-na või Windows Enterprise E3 tellimuse osana.

• Windows IoT Enterprise LTSC-i saab eraldi SKU-na osta otse OEM-ist või hankija litsentsist.

Võimalikke teid on kaks. 

• Kui arvutit haldab Microsoft jagatud diagnostikaandmetega ja operatsioonisüsteemi toetatakse, proovib Microsoft seda värskendada.

• Kui seadet haldab või haldab IT-administraator, siis saab IT-osakond rakendada värskendused valideeritud arvutikomplektile, mis saavad ohutult värskendusi võtta Vastavalt Microsofti juhistele Windowsi turvalise algkäivituse serdi aegumise ja CA värskenduste kohta.

Need juhised peaksid tegelema enamiku klientidega, ilma et peaksite OEM-ide püsivaravärskendust tegema. Teatud juhtudel värskendusi siiski ei rakendata teadaolevate või tundmatute probleemide tõttu seadme püsivaras. Sellistel juhtudel järgige püsivaravärskenduste kohta OEM-i juhiseid. 

Märkus Ülaltoodud protsess rakendab Secure Boot Active Variables operatsioonisüsteemi kaudu. Turvalise algkäivituse püsivara vaikeväärtused säilitatakse OEM-i välja antud püsivaras. Juhised on turbekäivituse konfiguratsiooni mitte muuta ega värskendada, välja arvatud juhul, kui OEM on välja andnud värskenduse püsivara vaikesätete muutmiseks uuteks sertideks.

 Kui serdid aeguvad, on Secure Booti kaitse halvenenud. Kui süsteem vastab uuema opsüsteemi (nt Windows 11) nõuetele, on võimalik üle minna uuemale Windows 11 os-i versioonile.  

Kui turvaline käivitamine pole teie Windows 10 LTSC seadmetes lubatud, ei kaasata neid uute Secure Booti sertide praegusesse väljaandmisesse. Kui alustate üleminekut Windows 11 LTSC-le, peate uute 2023 sertide kaasamiseks järgima sel ajal asjakohaseid konkreetseid migreerimistoiminguid.

Serdid saavad ainult toetatud Windowsi operatsioonisüsteemi versioonid. 

Virtuaalkeskkonnas töötava Windowsi jaoks on secure Booti püsivaramuutujatele uute sertide lisamiseks kaks meetodit. 

• Virtuaalkeskkonna looja (AWS, Azure, Hyper-V, VMware jne) võib pakkuda keskkonna värskendust ja kaasata uued serdid virtualiseeritud püsivara. See toimiks uute virtualiseeritud seadmete puhul.

• Windowsi jaoks, kus virtuaalarvutis töötab pikaajaline versioon, saab värskendusi rakendada Windowsi kaudu nagu mis tahes muid seadmeid, kui virtualiseeritud püsivara toetab turvalist algkäivituse värskendust.

Nendel kliendi-/IT-hallatavatel keskkondadel puuduvad sageli Microsofti jaoks piisavad diagnostikaandmed, et uusi funktsioone kindlustundega ja ohutult kasutusele võtta. Lisaks eelistavad IT-osakonnad tavaliselt säilitada täieliku kontrolli värskenduste ajastuse ja sisu üle, et tagada vastavus, stabiilsus ja ühilduvus sisemiste tööriistade ja töövoogudega. Paljud ettevõtteseadmed töötavad ka tundlikes või piiratud keskkondades, kus väline juurdepääs või haldus ( cfR-i poolt põhjustatud) võib olla ebasoovitav või keelatud.

Kui Windows juba kasutab 2023 allkirjastatud käivitushaldurit, kuid püsivara lähtestatakse vaikesätetele, mis ei sisalda Windows UEFI CA 2023 serti, blokeerib turvaline käivitamine algkäivitusprotsessi. 

Probleemi lahendamiseks peate 2023. aasta serdi uuesti rakendama püsivara andmebaasile taasterakenduse abil. Selleks luuakse taaste-USB ja seejärel käivitatakse puuduva serdi taastamiseks mõjutatud seade sellest USB-st. 

Üksikasjalikud juhised leiate Microsofti ametlikest juhistest Windowsi installikandja värskendamiseks.