Suojatun käynnistyksen päivitysprosessin usein kysytyt kysymykset

Käytetään kohteeseen
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Huomautus

  • Alkuperäinen julkaisupäivä: 15. syyskuuta 2025
  • KB-tunnus: 5068008
Muutosloki
Muuta päivämäärää Muutoksen kuvaus
Helmikuu 23, 2026
  • Lisätty uusi usein kysytyt kysymykset kohtaan Yleiset suojatun käynnistyksen usein kysytyt kysymykset.
Helmikuu 9, 2026
  • Lisätty uusi usein kysytyt kysymykset kohtaan "Asiakkaan/IT-hallinnoimien järjestelmien suojatun käynnistyksen usein kysytyt kysymykset"
Helmikuu 3, 2026
  • Siirretty Q4 Q1-kohtaan Yleiset suojatun käynnistyksen usein kysytyt kysymykset -kohdassa ja päivitetty sisältöä.
12. tammikuuta 2026
  • Selvennetty toimintoja, kun varmenteet vanhentuvat Q4:lle.

Yleiset suojatun käynnistyksen usein kysytyt kysymykset

Kysymys 1: Mitä tapahtuu, jos laitteeni ei saa uusia suojatun käynnistyksen varmenteita ennen kuin vanhat vanhenevat?

Kun suojatun käynnistyksen varmenteet vanhenevat, laitteet, jotka eivät ole saaneet uudempia vuoden 2023 varmenteita, toimivat edelleen normaalisti, ja Windowsin vakiopäivitysten asentaminen jatkuu. Nämä laitteet eivät kuitenkaan enää voi vastaanottaa uusia suojaussuojauksia aikaisen käynnistysprosessin aikana, mukaan lukien Windowsin käynnistyksen hallinnan päivitykset, suojatun käynnistyksen tietokannat, kumoamisluettelot tai lievennykset äskettäin löydettyihin käynnistystason haavoittuvuuksiin.

Ajan mittaan tämä rajoittaa laitteen suojausta uusilta uhilta ja voi vaikuttaa skenaarioihin, jotka perustuvat suojatun käynnistyksen luottamukseen, kuten BitLocker-kovennukseen tai kolmannen osapuolen käynnistyslatajiin. Useimmat Windows-laitteet saavat päivitetyt varmenteet automaattisesti, ja monet OEM-valmistajat ovat toimittaneet laiteohjelmistopäivityksiä tarvittaessa. Laitteen pitäminen ajan tasalla näiden päivitysten avulla varmistaa, että se saa jatkossakin kaikki suojaukset, jotka suojatun käynnistyksen on tarkoitus tarjota.

Kysymys 2: Milloin suojatun käynnistyksen varmenteet tulisi päivittää?

Suojatun käynnistyksen varmenteet kannattaa päivittää hyvissä ajoin ennen kesäkuun 2026 vanhentumispäivää.

Jos Microsoft hallitsee laitettasi ja jaat diagnostiikkatietoja Microsoftin kanssa, Microsoft yrittää useimmissa tapauksissa päivittää suojatun käynnistyksen varmenteet automaattisesti. Vaikka Microsoft tekee parhaansa suojatun käynnistyksen päivittämiseksi, joissakin tilanteissa päivitystä ei voida taata ja edellyttää asiakkaan toimia. Asiakas on viime kädessä vastuussa suojatun käynnistyksen varmenteiden päivittämisestä.

Esimerkkejä tilanteista, joissa Microsoftin hallitsemat laitteet, joissa diagnostiikkatiedot ovat käytössä, eivät ehkä saa päivityksiä:

  • Microsoftin suojatun käynnistyksen päivitykset koskevat vain joitakin Windowsin tuettuja versioita.
  • Organisaatiosi palomuuri voi estää laitteessasi käytössä olevien diagnostiikkatietojen käytön, eivätkä ne pääse Microsoftille.
  • Laitteen laiteohjelmistossa voi olla jotain vikaa.

Huomautus Mitä tarkoittaa se, että Microsoftin hallinnoima? Järjestelmä jakaa diagnostiikkatietoja ja sitä hallinnoi Microsoft Cloud tai Intune.

Jos laitteesi ei jaa diagnostiikkatietoja Microsoftin kanssa ja sitä hallitsee organisaatiosi IT-osasto tai asiakas, IT-osasto voi päivittää järjestelmät noudattamalla Microsoftin ohjeita Windowsin suojatun käynnistyksen varmenteen vanhenemisesta ja varmenteiden myöntäjän päivityksistä.

Kysymys 3: Miten suojatun käynnistyksen varmenteet päivitetään?

Jos Microsoft hallitsee tietokonetta, suojatun käynnistyksen varmenteet päivitetään Windows Update:n kautta.

Jos tietokonetta hallitsee organisaatiosi tai yrityksesi IT-järjestelmänvalvoja, IT-osastolla on tapoja päivittää järjestelmä Windowsin suojatun käynnistyksen varmenteen vanhenemisen ja varmenteiden myöntäjän päivitysten ohjeiden mukaisesti.

Q4: Mitä Windows 10 -järjestelmille tapahtuu 14.10.2025 julkaistun laajennetun suojauspäivityksen (ESU) jälkeen?

Windows 10:n tuki päättyy 14. lokakuuta 2025. Lisätietoja on artikkelissa Windows 10:n tuki päättyy 14. lokakuuta 2025.

Jos haluat, että Windows 10 Päivitykset saavat edelleen suojausta kyseisen päivämäärän jälkeen, he voivat rekisteröityä seuraaviin:

Huomautus:

  • Windows 10 Enterprise LTSC on ostettavissa joko erillisenä SKU:na tai osana Windows Enterprise E3 -tilausta.
  • Windows IoT Enterprise LTSC:n voi ostaa suoraan OEM:ltä tai toimittajan käyttöoikeuden kautta erillisenä SKU:na.
Kysymys 5: Miten suojatun käynnistyksen varmenteita käytetään?

Suojatun käynnistyksen varmenteiden avulla laiteohjelmisto voi tarkistaa, että kriittiset komponentit, kuten käynnistyksen hallintaohjelmat, laiteohjelmiston ohjaimet ja muut laiteohjelmistopohjaiset ohjelmistot, ovat luotettavia ja että niitä ei ole käsitelty luvattomasti. Microsoft käyttää näitä varmenteita käynnistyksen valvojien ja muiden luotettavien komponenttien sekä suojatun käynnistyksen päivitysten allekirjoittamiseen. Kun vanhat varmenteet vanhenevat, niillä ei voi enää allekirjoittaa uusia osia tai päivityksiä.

Kysymys 6: Miten tämä vaikuttaa laitteisiin, joissa suojattu käynnistys on poistettu käytöstä?

Laitteet, joiden suojattu käynnistys on poistettu käytöstä, eivät saa uusia suojatun käynnistyksen varmenteita laiteohjelmistoon. Tämän seurauksena ne pysyvät alttiina käynnistystason haittaohjelmille, kuten käynnistyspaketeille, koska suojatun käynnistyksen suojauksia ei käytetä.

Kysymys 7: Päivittääkö Microsoft kaikki suojatun käynnistyksen varmenteet, mukaan lukien KEK- ja DB-varmenteet?

Microsoft yrittää päivittää kaikki soveltuvat varmenteet vaatimukset täyttäville laitteille, kuten laitteille, jotka saavat kumulatiivisia päivityksiä luottamusperusteisen käyttöönoton kautta tai jotka on rekisteröity Controlled Feature Rollout (CFR) -järjestelmään diagnostiikkatietojen ollessa käytössä. Nämä päivitykset kuitenkin tarjotaan avuksi, eivät takuuksi. IT-järjestelmänvalvojat ovat edelleen vastuussa koko kalustonsa päivittämisestä käyttämällä Microsoftin automatisoitua CFR:ää ja muita dokumentoituja käyttöönottomenetelmiä.

Kysymys 8: Milloin päivitetyt vuoden 2023 suojatun käynnistyksen varmenteet toimitettiin?

Varmenteet sisällytettiin 13. toukokuuta 2025 julkaistuihin kumulatiivisiin päivityksiin (LCU) ja uudempiin. Niitä ei kuitenkaan käytetä automaattisesti, vaan lisävaiheita tarvitaan. Käyttöönotto-ohjeet ovat kohdassa https://aka.ms/getsecureboot.

Kysymys 9: Mitä eroa on laiteohjelmistopäivityksillä ja Windows-päivityksillä suojatun käynnistyksen varmenteita käytettäessä?

Ne palvelevat eri tarkoituksia.

Laiteohjelmistopäivitykset voivat päivittää laiteohjelmistoon tallennetut suojatun käynnistyksen oletusmuuttujat. Tästä on hyötyä ensisijaisesti silloin, jos suojatun käynnistyksen asetukset palautetaan myöhemmin oletusarvoihinsa, koska laiteohjelmiston oletusasetukset määrittävät, mitkä varmenteet palautetaan kyseisessä skenaariossa.

Windows ottaa muutokset käyttöön aktiivisiin suojatun käynnistyksen muuttujiin, jotka ovat käytössä normaalin käynnistyksen aikana. Laiteohjelmisto käyttää näitä aktiivisia muuttujia käynnistyskomponenttien vahvistamiseen, ja Windows luottaa niihin tarjotakseen suojatun käynnistyksen suojauksen tulevaisuudessa.

Käytännössä Windows on vastuussa aktiivisen suojatun käynnistyksen kokoonpanon pitämisestä ajan tasalla. Laiteohjelmistopäivitykset auttavat varmistamaan, että myös oletusarvot päivitetään, mikä vähentää riskiä, jos suojattu käynnistys palautetaan tai alustetaan uudelleen tulevaisuudessa.

Järjestelmänvalvojien tulee varmistaa, että aktiiviset suojatun käynnistyksen muuttujat päivitetään, ja valvoa käyttöönoton tilaa riippumatta siitä, onko laiteohjelmistopäivityksiä saatavilla.

Asiakkaan/IT-osaston hallinnoimien järjestelmien suojatun käynnistyksen usein kysytyt kysymykset

Kysymys 1: Miten voidaan varmistaa suojatun käynnistyksen toiminnallisuus vanhemmissa asiakkaiden/IT-osaston hallinnoimissa tietokoneissa, jotka eivät saa laiteohjelmistopäivityksiä alkuperäiseltä laitevalmistajalta?

Käytettävissä on kaksi mahdollista polkua:

Näiden vaiheiden odotetaan toimivan useimmilla asiakkailla, vaikka he eivät tarvitse laiteohjelmistopäivitystä OEM-valmistajilta. Joissakin tapauksissa päivitykset eivät kuitenkaan tule voimaan laitteen laiteohjelmiston tunnettujen tai tuntemattomien ongelmien vuoksi. Noudata tällaisissa tapauksissa laiteohjelmiston päivityksiä koskevia OEM-ohjeita.

Huomautus Edellä mainittu prosessi käyttää suojatun käynnistyksen aktiivisia muuttujia koko käyttöjärjestelmän kautta. Suojatun käynnistyksen laiteohjelmiston oletusarvot säilytetään alkuperäisen laitevalmistajan julkaisemassa laiteohjelmistossa. Ohjeena on, että suojatun käynnistyksen määrityksiä ei muuteta tai päivitetä, ellei OEM ole julkaissut päivitystä, joka muuttaa laiteohjelmiston oletusasetukset uusiin varmenteisiin.

Kysymys 2: Jos tietokoneessa on vanhentuneet suojatun käynnistyksen varmenteet, onko mahdollista asentaa uusi Windows-versio?

Jos varmenteet vanhenevat, suojatun käynnistyksen suojaus heikkenee. Jos järjestelmä täyttää uudemman käyttöjärjestelmän, kuten Windows 11:n, vaatimukset, on mahdollista päivittää uudempaan Windows 11 -käyttöjärjestelmäversioon.

Kysymys 3: Mitä tapahtuu, kun Windows 10 LTSC -tietokone, jossa suojattua käynnistystä ei ole otettu käyttöön, päivitetään Windows 11 LTSC:hen varmenteen vanhentumispäivien jälkeen?

Jos suojattu käynnistys ei ole käytössä Windows 10 LTSC -laitteissa, ne eivät sisälly uusien suojatun käynnistyksen varmenteiden nykyiseen käyttöönottoon. Kun aloitat päivityksen Windows 11 LTSC:hen, sinun on noudatettava tiettyjä kyseisenä ajankohtana olevia siirtovaiheita varmistaaksesi, että uudet vuoden 2023 varmenteet sisältyvät siihen.

Kysymys 4: Saavatko Windows-versiot, joita ei enää tueta, päivitetyt varmenteet?

Varmenteet lähetetään vain tuetuille Windows-käyttöjärjestelmäversioille.

Kysymys 5: Miten virtualisoidut ympäristöt toimivat suojatun käynnistyksen varmennepäivitysten kanssa?

Windowsissa, joka toimii virtuaalisessa ympäristössä, on kaksi tapaa lisätä uusia varmenteita suojatun käynnistyksen laiteohjelmistomuuttujiin:

  • Virtuaalisen ympäristön (AWS, Azure, Hyper-V, VMware jne.) luoja voi tarjota päivityksen ympäristöön ja sisällyttää uudet varmenteet virtualisoituun laiteohjelmistoon. Tämä toimisi uusissa virtualisoiduissa laitteissa.
  • Windowsissa, joka on käynnissä virtuaalikoneessa pitkään, päivitykset voidaan ottaa käyttöön Windowsin kautta kuten muutkin laitteet, jos virtualisoitu laiteohjelmisto tukee Secure Boot -päivityksiä.
Kysymys 6: Miksi Microsoft ei voi ottaa käyttöön yrityksen/IT:n hallitsemaan kalustooni Microsoftin hallinnoimissa järjestelmissä käytettävän Controlled Feature Rollout (CFR) -toiminnon avulla?

Näissä asiakkaiden/IT-osaston hallinnoimien ympäristöjen välillä ei useinkaan ole riittävästi diagnostiikkatietoja, jotta Microsoft voisi ottaa käyttöön uusia ominaisuuksia luotettavasti ja turvallisesti. Lisäksi IT-osastot haluavat yleensä hallita päivitysten ajoitusta ja sisältöä täydellisesti, jotta voidaan varmistaa yhteensopivuus, vakaus ja yhteensopivuus sisäisten työkalujen ja työnkulkujen kanssa. Monet yrityslaitteet toimivat myös arkaluonteisissa tai rajoitetuissa ympäristöissä, joissa ulkoinen käyttö tai hallinta – CFR:n mukaisesti – voi olla ei-toivottua tai kiellettyä.

Kysymys 7: Laitteeni lakkasi käynnistymästä sen jälkeen, kun palautin laiteohjelmiston oletusasetukset – mitä tapahtui ja miten korjaan sen?

Jos Windows käyttää jo vuoden 2023 allekirjoitettua käynnistyksen hallintaohjelmaa, mutta laiteohjelmisto palautetaan oletusasetuksiksi, jotka eivät sisällä Windows UEFI CA 2023 -varmennetta, suojattu käynnistys estää käynnistysprosessin.

Voit korjata tämän ottamalla käyttöön vuoden 2023 varmenteen uudelleen laiteohjelmiston tietokannassa palautussovelluksen avulla. Tämä tehdään luomalla palautus-USB ja käynnistämällä sitten kyseinen laite kyseiseltä USB-asemalta puuttuvan varmenteen palauttamiseksi.

Katso vaiheittaiset ohjeet Microsoftin virallisista ohjeista Windowsin asennustietovälineen päivittämiseen.

Kysymys 8: Jos laitteeni suojatun käynnistyksen varmenteet ovat jo vanhentuneet, voinko silti vastaanottaa päivitettyjä varmenteita?

Kyllä. Uudet suojatun käynnistyksen varmenteet sisältävät kumulatiiviset päivitykset voidaan edelleen ottaa käyttöön, vaikka aiemmin luodut varmenteet olisivat vanhentuneet. Jos laite pystyy käynnistämään Windowsin ja asentamaan päivityksiä, päivitetyt varmenteet voidaan kirjoittaa laiteohjelmistoon noudattamalla julkaistuja käyttöönotto-ohjeita. Useimmat laitteet saavat nämä päivitykset automaattisesti, mutta jotkin järjestelmät saattavat vaatia lisää laiteohjelmistopäivityksiä.