Windowsin Secure Boot -sertifikaatin vanheneminen
Tärkeää: Useimpien Windows-laitteiden käyttämät suojatun käynnistyksen varmenteet vanhenevat kesäkuusta 2026 alkaen. Tämä voi vaikuttaa tiettyjen henkilökohtaisten ja yrityslaitteiden mahdollisuuteen käynnistyä turvallisesti, jos sitä ei päivitetä ajoissa. Häiriöiden välttämiseksi suosittelemme tarkistamaan ohjeet ja ryhtymään toimenpiteisiin varmenteiden päivittämiseksi etukäteen.
Lisätietoja ja valmisteluvaiheita Windows-laitteille on ohjeaiheessa Windowsin suojatun käynnistyksen varmenteen vanhentuminen ja varmenteiden myöntäjän päivitykset.
Lisätietoja ja valmisteluvaiheista Windows-palvelimille on seuraavissa resursseissa:
Yhteenveto
Tässä artikkelissa luetellaan tähän kumulatiiviseen suojauspäivitykseen sisältyvät suojausongelmat ja laatuparannukset.
Koskee seuraavia: Windows 10 ESU
Tärkeää: Päivitä Windows 10 versioon 22H2 KÄYTTÄMÄLLÄ EKB-KB5015684.
Tämä suojauspäivitys sisältää korjauksia ja laatuparannuksia, jotka ovat osa seuraavia päivityksiä:
Seuraavassa on yhteenveto ongelmista, jotka tämä päivitys korjaa tämän päivityksen asentamisen yhteydessä. Jos uusia ominaisuuksia on, siinä luetellaan myös ne. Hakasulkeissa oleva lihavointi osoittaa asiakirjaan liittyvän muutoksen kohteen tai alueen.
-
[Etätyöpöydän suojausvaroitukset (tunnettu ongelma)] Korjattu: Etätyöpöytäyhteyden suojausvaroitusikkuna saattaa näkyä virheellisesti usean näytön määrityksissä, joissa on erilaiset näytön skaalausasetukset. Tämä ongelma saattaa ilmetä 14. huhtikuuta 2026 julkaistun Windowsin suojauspäivityksen (KB5082200) asentamisen jälkeen.
-
[Suojattu käynnistys]
-
Tämä päivitys ottaa käyttöön dynaamisen tilan raportoinnin suojatun käynnistyksen tiloissa Windowsin suojaus-sovelluksessa.
-
Tämän päivityksen myötä Windowsin laatupäivitykset sisältävät lisää luotettavan laitteen kohdentamistietoja, mikä lisää niiden laitteiden kattavuutta, jotka ovat oikeutettuja vastaanottamaan automaattisesti uusia suojatun käynnistyksen varmenteita. Laitteet saavat uudet varmenteet vasta sen jälkeen, kun ne ovat osoittaneet riittävät onnistuneet päivityssignaalit ja säilyttäneet hallitun ja vaiheittaisen käyttöönoton.
-
Tämä päivitys lisää uuden SecureBoot-kansion vaatimukset täyttäville laitteille kohdassaC:\Windows. Kansio sisältää esimerkkikomentosarjat, jotka on tarkoitettu organisaatioille, joissa on IT-ammattilaisia ja jotka hallinnoivat päivityksiä aktiivisesti koko laitekalustossaan. Näiden komentosarjojen avulla voidaan tunnistaa suojatun käynnistyksen varmenteen päivityksen tila ja automatisoida käyttöönotto turvallisen käyttöönottomekanismin avulla Active Directory -ympäristössä. Lisätietoja on ohjeaiheessa Suojatun käynnistyksen E2E-automaation esimerkkiopas.
-
-
[Kesäaika] Egyptin arabitasavallan päivitys tukemaan hallituksen DST-muutosjärjestystä vuonna 2023.
Jos olet asentanut aiemmat päivitykset, vain tämän paketin sisältämät uudet päivitykset ladataan ja asennetaan laitteeseesi.
Lisätietoja tietoturva-aukoista on uudessa suojauspäivitysoppaan sivustossa ja toukokuun 2026 suojaus Päivitykset.
Lisätietoja Windows updaten terminologiasta on artikkelissa Windows-päivitystyypeistä ja kuukausittaisen laatupäivityksen tyypeistä. Yleiskatsaus Windows 10 versioon 22H2 on sen päivityshistoriasivulla.
Tunnettuja tämän päivityksen yhteydessä ilmeneviä ongelmia
-
BitLocker-palautusavaimen syöttämiseen saatetaan tarvita laitteita, joiden BitLocker-palautusavain on määritetty ryhmäkäytäntöOireet
Joissakin laitteissa, joiden BitLocker-ryhmäkäytäntöasetukset eivät ole suositusten mukaiset, saatetaan joutua syöttämään BitLocker-palautusavain ensimmäisen uudelleenkäynnistyksen yhteydessä tämän päivityksen asentamisen jälkeen.
Tämä ongelma koskee vain rajoitettua määrää järjestelmiä, joissa KAIKKI seuraavat ehdot täyttyvät. Näitä olosuhteita ei todennäköisesti esiinny henkilökohtaisissa laitteissa, joita IT-osastot eivät hallinnoi.
-
BitLocker on otettu käyttöön käyttöjärjestelmäasemalla.
-
Ryhmäkäytäntö Määritä TPM-alustan vahvistusprofiili alkuperäisille UEFI-laiteohjelmistokokoonpanoille on määritetty, ja PCR7 on sisällytetty vahvistusprofiiliin (tai vastaava rekisteriavain on määritetty manuaalisesti).
-
Järjestelmätiedot (msinfo32.exe) ilmoittaa Secure Boot State PCR7 -sidonnan tilaksi Ei mahdollinen.
-
Laitteen Secure Boot -allekirjoitustietokannassa (DB) on Windows UEFI CA 2023 -varmenne, minkä ansiosta laitteeseen voidaan asettaa oletukseksi 2023-allekirjoitettu Windowsin käynnistyksen hallintaohjelma.
-
Laitteessa ei ole vielä käytössä vuonna 2023 allekirjoitettua Windowsin käynnistyksen hallintaohjelmaa.
Tässä tilanteessa BitLocker-palautusavain on syötettävä vain kerran – myöhemmät uudelleenkäynnistykset eivät avaa BitLocker-palautusnäyttöä, kunhan ryhmäkäytäntöasetukset pysyvät ennallaan. Lisätietoja BitLocker-palautusavaimen etsimisestä on artikkelissa BitLocker-palautusavaimen etsiminen.
Yrityksille suositellaan, että ne tarkistavat BitLocker-ryhmäkäytäntöjensä sisältävän nimenomaisen PCR7-määritteen ja tarkistavat msinfo32.exe-ohjelmalla PCR7-sidonnan tilan ennen tämän päivityksen asentamista.
Ratkaisu
Työskentelemme parhaillaan ratkaisun parissa ja kerromme lisätietoja, kun niitä on saatavilla.
Voit kiertää tämän ongelman väliaikaisesti poistamalla ryhmäkäytäntöasetukset ennen päivityksen asentamista (suositeltava tapa)
-
Avaa ryhmäkäytäntöeditori (gpedit.msc) tai ryhmäkäytäntöjen hallintakonsoli.
-
Siirry kohtaan: Tietokoneen asetukset > Hallintamallit > Windows-komponentit > BitLocker-aseman salaus > Käyttöjärjestelmäasemat.
-
Aseta asetus Määritä TPM-alustan vahvistusprofiili natiiveille UEFI-laiteohjelmistokokoonpanoille arvoon Ei määritetty.
-
Suorita seuraava komento kyseisillä laitteilla, jotta käytäntömuutos otetaan käyttöön: gpupdate /force
-
Suorita seuraava komento BitLockerin keskeyttämiseksi (jos BitLocker on käytössä C:-asemalla): manage-bde -protectors -disable C:
-
Suorita seuraava komento BitLocker-suojauksen ottamiseksi uudelleen käyttöön (jos BitLocker on käytössä C:-asemalla): manage-bde -protectors -enable C:
-
Tämä päivittää BitLocker-sidokset siten, että ne käyttävät Windowsin valitsemaa oletus-PCR-profiilia.
-
Koskee seuraavia: Windows 10 Enterprise LTSC 2021 ja Windows 10 IoT Enterprise LTSC 2021
Tärkeää: Käytä EKB-KB5003791 päivittämiseen Windows 10 versioon 21H2 tuetuissa versioissa.
Tämä suojauspäivitys sisältää korjauksia ja laatuparannuksia, jotka ovat osa seuraavia päivityksiä:
Seuraavassa on yhteenveto ongelmista, jotka tämä päivitys korjaa tämän päivityksen asentamisen yhteydessä. Jos uusia ominaisuuksia on, siinä luetellaan myös ne. Hakasulkeissa oleva lihavointi osoittaa asiakirjaan liittyvän muutoksen kohteen tai alueen.
-
[Etätyöpöydän suojausvaroitukset (tunnettu ongelma)] Korjattu: Etätyöpöytäyhteyden suojausvaroitusikkuna saattaa näkyä virheellisesti usean näytön määrityksissä, joissa on erilaiset näytön skaalausasetukset. Tämä ongelma saattaa ilmetä 14. huhtikuuta 2026 julkaistun Windowsin suojauspäivityksen (KB5082200) asentamisen jälkeen.
-
[Suojattu käynnistys]
-
Tämä päivitys ottaa käyttöön dynaamisen tilan raportoinnin suojatun käynnistyksen tiloissa Windowsin suojaus-sovelluksessa.
-
Tämän päivityksen myötä Windowsin laatupäivitykset sisältävät lisää luotettavan laitteen kohdentamistietoja, mikä lisää niiden laitteiden kattavuutta, jotka ovat oikeutettuja vastaanottamaan automaattisesti uusia suojatun käynnistyksen varmenteita. Laitteet saavat uudet varmenteet vasta sen jälkeen, kun ne ovat osoittaneet riittävät onnistuneet päivityssignaalit ja säilyttäneet hallitun ja vaiheittaisen käyttöönoton.
-
Tämä päivitys lisää uuden SecureBoot-kansion vaatimukset täyttäville laitteille kohdassaC:\Windows. Kansio sisältää esimerkkikomentosarjat, jotka on tarkoitettu organisaatioille, joissa on IT-ammattilaisia ja jotka hallinnoivat päivityksiä aktiivisesti koko laitekalustossaan. Näiden komentosarjojen avulla voidaan tunnistaa suojatun käynnistyksen varmenteen päivityksen tila ja automatisoida käyttöönotto turvallisen käyttöönottomekanismin avulla Active Directory -ympäristössä. Lisätietoja on ohjeaiheessa Suojatun käynnistyksen E2E-automaation esimerkkiopas.
-
-
[Kesäaika] Egyptin arabitasavallan päivitys tukemaan hallituksen DST-muutosjärjestystä vuonna 2023.
Jos olet asentanut aiemmat päivitykset, vain tämän paketin sisältämät uudet päivitykset ladataan ja asennetaan laitteeseesi.
Lisätietoja tietoturva-aukoista on uudessa suojauspäivitysoppaan sivustossa ja toukokuun 2026 suojaus Päivitykset.
Lisätietoja Windows updaten terminologiasta on artikkelissa Windows-päivitystyypeistä ja kuukausittaisen laatupäivityksen tyypeistä. Yleiskatsaus Windows 10 versioon 22H2 on sen päivityshistoriasivulla.
Tunnettuja tämän päivityksen yhteydessä ilmeneviä ongelmia
-
BitLocker-palautusavaimen syöttämiseen saatetaan tarvita laitteita, joiden BitLocker-palautusavain on määritetty ryhmäkäytäntöOireet
Joissakin laitteissa, joiden BitLocker-ryhmäkäytäntöasetukset eivät ole suositusten mukaiset, saatetaan joutua syöttämään BitLocker-palautusavain ensimmäisen uudelleenkäynnistyksen yhteydessä tämän päivityksen asentamisen jälkeen.
Tämä ongelma koskee vain rajoitettua määrää järjestelmiä, joissa KAIKKI seuraavat ehdot täyttyvät. Näitä olosuhteita ei todennäköisesti esiinny henkilökohtaisissa laitteissa, joita IT-osastot eivät hallinnoi.
-
BitLocker on otettu käyttöön käyttöjärjestelmäasemalla.
-
Ryhmäkäytäntö Määritä TPM-alustan vahvistusprofiili alkuperäisille UEFI-laiteohjelmistokokoonpanoille on määritetty, ja PCR7 on sisällytetty vahvistusprofiiliin (tai vastaava rekisteriavain on määritetty manuaalisesti).
-
Järjestelmätiedot (msinfo32.exe) ilmoittaa Secure Boot State PCR7 -sidonnan tilaksi Ei mahdollinen.
-
Laitteen Secure Boot -allekirjoitustietokannassa (DB) on Windows UEFI CA 2023 -varmenne, minkä ansiosta laitteeseen voidaan asettaa oletukseksi 2023-allekirjoitettu Windowsin käynnistyksen hallintaohjelma.
-
Laitteessa ei ole vielä käytössä vuonna 2023 allekirjoitettua Windowsin käynnistyksen hallintaohjelmaa.
Tässä tilanteessa BitLocker-palautusavain on syötettävä vain kerran – myöhemmät uudelleenkäynnistykset eivät avaa BitLocker-palautusnäyttöä, kunhan ryhmäkäytäntöasetukset pysyvät ennallaan. Lisätietoja BitLocker-palautusavaimen etsimisestä on artikkelissa BitLocker-palautusavaimen etsiminen.
Yrityksille suositellaan, että ne tarkistavat BitLocker-ryhmäkäytäntöjensä sisältävän nimenomaisen PCR7-määritteen ja tarkistavat msinfo32.exe-ohjelmalla PCR7-sidonnan tilan ennen tämän päivityksen asentamista.
Ratkaisu
Työskentelemme parhaillaan ratkaisun parissa ja kerromme lisätietoja, kun niitä on saatavilla.
Voit kiertää tämän ongelman väliaikaisesti poistamalla ryhmäkäytäntöasetukset ennen päivityksen asentamista (suositeltava tapa)
-
Avaa ryhmäkäytäntöeditori (gpedit.msc) tai ryhmäkäytäntöjen hallintakonsoli.
-
Siirry kohtaan: Tietokoneen asetukset > Hallintamallit > Windows-komponentit > BitLocker-aseman salaus > Käyttöjärjestelmäasemat.
-
Aseta asetus Määritä TPM-alustan vahvistusprofiili natiiveille UEFI-laiteohjelmistokokoonpanoille arvoon Ei määritetty.
-
Suorita seuraava komento kyseisillä laitteilla, jotta käytäntömuutos otetaan käyttöön: gpupdate /force
-
Suorita seuraava komento BitLockerin keskeyttämiseksi (jos BitLocker on käytössä C:-asemalla): manage-bde -protectors -disable C:
-
Suorita seuraava komento BitLocker-suojauksen ottamiseksi uudelleen käyttöön (jos BitLocker on käytössä C:-asemalla): manage-bde -protectors -enable C:
-
Tämä päivittää BitLocker-sidokset siten, että ne käyttävät Windowsin valitsemaa oletus-PCR-profiilia.
-
Windows 10 ylläpitopinon päivitys (KB5084130) – versio 19041.7183
Microsoft yhdistää nyt käyttöjärjestelmäsi uusimman ylläpitopinon päivityksen (SSU) uusimpaan kumulatiiviseen päivitykseen (LCU). SSU:t parantavat päivitysprosessin luotettavuutta ja sisältävät korjauksia ylläpitopinoon, komponenttiin, joka asentaa Windows-päivitykset.
Huomautus: Tämä ylläpitopinon päivitys (SSU) sisältää parannetun logiikan sen tarkistamiseksi, isännöidäkö laite Azure, hyödyntäen päivitettyä varmenneketjua kelpoisuuden tarkistamista varten. Jos haluat varmistaa, että laite voi käyttää tarvittavia varmenteiden päivitystoimialueita varmennepäivitysten lataamista ja asentamista varten, katso lisätietoja artikkelista Varmenteiden lataukset ja kumoamisluettelot sekä Azure varmenteen myöntäjän tiedot. Lisätietoja SSU:ista on ohjeaiheessa Ylläpitopinon päivitykset.
Tämän päivityksen hankkiminen
Ennen tämän päivityksen asentamista
Tärkeää Sinulla on oltava uusin ylläpitopinon päivitys (SSU) asennettuna. Jos et asenna uusinta SSU:ta ennen Windows-päivitysten asentamista, Windows-päivitystä ei ehkä tarjota ennen uusimman SSU:n asentamista.
Käyttöönotto
Jos otat tämän päivityksen käyttöön, valitse jokin seuraavista asennusskenaarion perusteella:
Offline-käyttöjärjestelmän näköistiedostojen ylläpito
-
Jos kuvassa ei ole 25. heinäkuuta 2023 (KB5028244) tai uudempaa LCU:ta, sinun on asennettava erillinen erikoisversio 13. lokakuuta 2023 SSU (KB5031539) ennen tämän päivityksen asentamista.
Windows Server Update Services (WSUS) käyttöönotto tai erillisen paketin asentaminen Microsoft Update -luettelosta
Tämän päivityksen hankkiminen ja asentaminen
Voit hankkia ja asentaa tämän päivityksen jollakin seuraavista Windowsin ja Microsoftin julkaisukanavista.
|
Käytettävissä |
Seuraava vaihe |
|
|
Windows Update lataa ja asentaa tämän päivityksen automaattisesti. |
|
Käytettävissä |
Seuraava vaihe |
|
|
Tämä päivitys ladataan ja asennetaan automaattisesti Windows Update for Businessista määritettyjen käytäntöjen mukaisesti. |
|
Käytettävissä |
Seuraava vaihe |
|
|
Voit hankkia tämän päivityksen erillispaketin Microsoft Update -luettelon sivustosta. Lisätietoja päivitysluettelon päivitysten lataamisesta ja asentamisesta on artikkelissa Ohjainten ja hotfix-korjausten päivitysten lataaminen Windows Update-luettelosta. |
|
Käytettävissä |
Seuraava vaihe |
|
|
Tämä päivitys synkronoidaan automaattisesti Windows Server Update Services (WSUS) kanssa, jos määrität Tuotteet ja luokitukset seuraavasti:
Lisätietoja WSUS-palvelimen määrittämisestä synkronoimaan tuotteiden ja luokitusten perusteella on artikkelissa Päivityksen synkronoiminen tuotteen ja luokituksen mukaan. Jos haluat tuoda päivitykset manuaalisesti WSUS:iin, tutustu artikkeliin Päivitysten tuominen WSUS:iin PowerShellin avulla. |
Tiedostojen tiedot
Luettelo tämän päivityksen sisältämistä tiedostoista on CSV (pilkuin eroteltu) (*.csv) -tiedostossa. Tiedoston voi avata tekstieditorissa, kuten Muistiossa, tai Microsoft Excelissä.
Huomautus: Tämän ohjelmistopäivityksen englanninkielinen (Yhdysvallat) versio saattaa sisältää muita kieliä koskevia tiedostoja.
Muita aiheeseen liittyviä tietoja
Jos haluat poistaa tämän päivityksen
VAROITUS Ennen kuin päätät poistaa tämän päivityksen, tutustu ohjeaiheisiin Riskien ymmärtäminen: Miksi suojauspäivitysten asennusta ei kannata poistaa.
Jos haluat poistaa LCU:n yhdistetyn SSU- ja LCU-paketin asentamisen jälkeen, käytä DISM/Remove-Package-komentorivivaihtoehtoa , jonka argumenttina on LCU-paketin nimi. Voit etsiä paketin nimen tämän komennon avulla: DISM /online /get-packages.
Windows Update erillisen asennusohjelman (wusa.exe) suorittaminen yhdistetyn paketin /uninstall-kytkimellä ei toimi, koska yhdistetty paketti sisältää SSU:n. SSU:ta ei voi poistaa järjestelmästä asennuksen jälkeen.
Ilmoitus Microsoft Storen sovelluspäivityksistä
Windows-päivitykset eivät asenna Microsoft Storen sovelluspäivityksiä. Jos olet yrityskäyttäjä, katso Microsoft Storen sovellukset – Configuration Manager. Jos olet kuluttajakäyttäjä, katso artikkeli Sovellusten ja pelien päivitysten hankkiminen Microsoft Storesta.
Tuen päättymistiedot
Windows 10:n versioiden 21H2/22H2 ja Windows 10 Enterprise LTSC 2021:n tuen päättyminen
Microsoft ei enää tarjoa ilmaisia ohjelmistopäivityksiä Windows Updatesta, teknistä apua tai tietoturvakorjauksia seuraavina päättymispäivinä:
♦ Windows 10, versio 21H2: Tuki päättyi 13. kesäkuuta 2023
♦ Windows 10, versio 22H2: Tuki päättyi 14. lokakuuta 2025
♦ Windows 10 Enterprise LTSC 2021: 12. tammikuuta 2027
♦ Windows 10 IoT Enterprise LTSC 2021: 13. tammikuuta 2032
Huomautus: Jos haluat jatkaa tärkeiden ja kriittisten suojauspäivitysten vastaanottamista Windows 10:lle, katso Windows 10:n laajennetut suojauspäivitykset (ESU). Muussa tapauksessa suosittelemme päivittämään Windowsin uudempaan versioon.
Muuta lokia
|
Päivämäärän muuttaminen |
Muuta kuvausta |
|
13. toukokuuta 2026 |
|
