Huomautus
- Alkuperäinen julkaisupäivä: 15. syyskuuta 2025
- KB-tunnus: 5068008
Muutosloki
| Muuta päivämäärää | Muutoksen kuvaus |
|---|---|
| Helmikuu 23, 2026 |
|
| Helmikuu 9, 2026 |
|
| Helmikuu 3, 2026 |
|
| 12. tammikuuta 2026 |
|
Yleiset suojatun käynnistyksen usein kysytyt kysymykset
Kysymys 1: Mitä tapahtuu, jos laitteeni ei saa uusia suojatun käynnistyksen varmenteita ennen kuin vanhat vanhenevat?
Kun suojatun käynnistyksen varmenteet vanhenevat, laitteet, jotka eivät ole saaneet uudempia vuoden 2023 varmenteita, toimivat edelleen normaalisti, ja Windowsin vakiopäivitysten asentaminen jatkuu. Nämä laitteet eivät kuitenkaan enää voi vastaanottaa uusia suojaussuojauksia aikaisen käynnistysprosessin aikana, mukaan lukien Windowsin käynnistyksen hallinnan päivitykset, suojatun käynnistyksen tietokannat, kumoamisluettelot tai lievennykset äskettäin löydettyihin käynnistystason haavoittuvuuksiin.
Ajan mittaan tämä rajoittaa laitteen suojausta uusilta uhilta ja voi vaikuttaa skenaarioihin, jotka perustuvat suojatun käynnistyksen luottamukseen, kuten BitLocker-kovennukseen tai kolmannen osapuolen käynnistyslatajiin. Useimmat Windows-laitteet saavat päivitetyt varmenteet automaattisesti, ja monet OEM-valmistajat ovat toimittaneet laiteohjelmistopäivityksiä tarvittaessa. Laitteen pitäminen ajan tasalla näiden päivitysten avulla varmistaa, että se saa jatkossakin kaikki suojaukset, jotka suojatun käynnistyksen on tarkoitus tarjota.
Kysymys 2: Milloin suojatun käynnistyksen varmenteet tulisi päivittää?
Suojatun käynnistyksen varmenteet kannattaa päivittää hyvissä ajoin ennen kesäkuun 2026 vanhentumispäivää.
Jos Microsoft hallitsee laitettasi ja jaat diagnostiikkatietoja Microsoftin kanssa, Microsoft yrittää useimmissa tapauksissa päivittää suojatun käynnistyksen varmenteet automaattisesti. Vaikka Microsoft tekee parhaansa suojatun käynnistyksen päivittämiseksi, joissakin tilanteissa päivitystä ei voida taata ja edellyttää asiakkaan toimia. Asiakas on viime kädessä vastuussa suojatun käynnistyksen varmenteiden päivittämisestä.
Esimerkkejä tilanteista, joissa Microsoftin hallitsemat laitteet, joissa diagnostiikkatiedot ovat käytössä, eivät ehkä saa päivityksiä:
- Microsoftin suojatun käynnistyksen päivitykset koskevat vain joitakin Windowsin tuettuja versioita.
- Organisaatiosi palomuuri voi estää laitteessasi käytössä olevien diagnostiikkatietojen käytön, eivätkä ne pääse Microsoftille.
- Laitteen laiteohjelmistossa voi olla jotain vikaa.
Huomautus Mitä tarkoittaa se, että Microsoftin hallinnoima? Järjestelmä jakaa diagnostiikkatietoja ja sitä hallinnoi Microsoft Cloud tai Intune.
Jos laitteesi ei jaa diagnostiikkatietoja Microsoftin kanssa ja sitä hallitsee organisaatiosi IT-osasto tai asiakas, IT-osasto voi päivittää järjestelmät noudattamalla Microsoftin ohjeita Windowsin suojatun käynnistyksen varmenteen vanhenemisesta ja varmenteiden myöntäjän päivityksistä.
Kysymys 3: Miten suojatun käynnistyksen varmenteet päivitetään?
Jos Microsoft hallitsee tietokonetta, suojatun käynnistyksen varmenteet päivitetään Windows Update:n kautta.
Jos tietokonetta hallitsee organisaatiosi tai yrityksesi IT-järjestelmänvalvoja, IT-osastolla on tapoja päivittää järjestelmä Windowsin suojatun käynnistyksen varmenteen vanhenemisen ja varmenteiden myöntäjän päivitysten ohjeiden mukaisesti.
Q4: Mitä Windows 10 -järjestelmille tapahtuu 14.10.2025 julkaistun laajennetun suojauspäivityksen (ESU) jälkeen?
Windows 10:n tuki päättyy 14. lokakuuta 2025. Lisätietoja on artikkelissa Windows 10:n tuki päättyy 14. lokakuuta 2025.
Jos haluat, että Windows 10 Päivitykset saavat edelleen suojausta kyseisen päivämäärän jälkeen, he voivat rekisteröityä seuraaviin:
- Jos kyseessä on Windows 10 Extended Security Päivitykset (ESU) -ohjelma, katso Windows 10 Extended Security Updates (ESU) -ohjelma
- Tai jos sinulla on tuettu LTSC-versio Windows 10:stä, se saa suojaus Päivitykset LTSC:n vanhenemispäivään asti. Katso esimerkiksi Windows 10 laajennettu suojaus Päivitykset (ESU) -ohjelma.
Huomautus:
- Windows 10 Enterprise LTSC on ostettavissa joko erillisenä SKU:na tai osana Windows Enterprise E3 -tilausta.
- Windows IoT Enterprise LTSC:n voi ostaa suoraan OEM:ltä tai toimittajan käyttöoikeuden kautta erillisenä SKU:na.
Kysymys 5: Miten suojatun käynnistyksen varmenteita käytetään?
Suojatun käynnistyksen varmenteiden avulla laiteohjelmisto voi tarkistaa, että kriittiset komponentit, kuten käynnistyksen hallintaohjelmat, laiteohjelmiston ohjaimet ja muut laiteohjelmistopohjaiset ohjelmistot, ovat luotettavia ja että niitä ei ole käsitelty luvattomasti. Microsoft käyttää näitä varmenteita käynnistyksen valvojien ja muiden luotettavien komponenttien sekä suojatun käynnistyksen päivitysten allekirjoittamiseen. Kun vanhat varmenteet vanhenevat, niillä ei voi enää allekirjoittaa uusia osia tai päivityksiä.
Kysymys 6: Miten tämä vaikuttaa laitteisiin, joissa suojattu käynnistys on poistettu käytöstä?
Laitteet, joiden suojattu käynnistys on poistettu käytöstä, eivät saa uusia suojatun käynnistyksen varmenteita laiteohjelmistoon. Tämän seurauksena ne pysyvät alttiina käynnistystason haittaohjelmille, kuten käynnistyspaketeille, koska suojatun käynnistyksen suojauksia ei käytetä.
Kysymys 7: Päivittääkö Microsoft kaikki suojatun käynnistyksen varmenteet, mukaan lukien KEK- ja DB-varmenteet?
Microsoft yrittää päivittää kaikki soveltuvat varmenteet vaatimukset täyttäville laitteille, kuten laitteille, jotka saavat kumulatiivisia päivityksiä luottamusperusteisen käyttöönoton kautta tai jotka on rekisteröity Controlled Feature Rollout (CFR) -järjestelmään diagnostiikkatietojen ollessa käytössä. Nämä päivitykset kuitenkin tarjotaan avuksi, eivät takuuksi. IT-järjestelmänvalvojat ovat edelleen vastuussa koko kalustonsa päivittämisestä käyttämällä Microsoftin automatisoitua CFR:ää ja muita dokumentoituja käyttöönottomenetelmiä.
Kysymys 8: Milloin päivitetyt vuoden 2023 suojatun käynnistyksen varmenteet toimitettiin?
Varmenteet sisällytettiin 13. toukokuuta 2025 julkaistuihin kumulatiivisiin päivityksiin (LCU) ja uudempiin. Niitä ei kuitenkaan käytetä automaattisesti, vaan lisävaiheita tarvitaan. Käyttöönotto-ohjeet ovat kohdassa https://aka.ms/getsecureboot.
Kysymys 9: Mitä eroa on laiteohjelmistopäivityksillä ja Windows-päivityksillä suojatun käynnistyksen varmenteita käytettäessä?
Ne palvelevat eri tarkoituksia.
Laiteohjelmistopäivitykset voivat päivittää laiteohjelmistoon tallennetut suojatun käynnistyksen oletusmuuttujat. Tästä on hyötyä ensisijaisesti silloin, jos suojatun käynnistyksen asetukset palautetaan myöhemmin oletusarvoihinsa, koska laiteohjelmiston oletusasetukset määrittävät, mitkä varmenteet palautetaan kyseisessä skenaariossa.
Windows ottaa muutokset käyttöön aktiivisiin suojatun käynnistyksen muuttujiin, jotka ovat käytössä normaalin käynnistyksen aikana. Laiteohjelmisto käyttää näitä aktiivisia muuttujia käynnistyskomponenttien vahvistamiseen, ja Windows luottaa niihin tarjotakseen suojatun käynnistyksen suojauksen tulevaisuudessa.
Käytännössä Windows on vastuussa aktiivisen suojatun käynnistyksen kokoonpanon pitämisestä ajan tasalla. Laiteohjelmistopäivitykset auttavat varmistamaan, että myös oletusarvot päivitetään, mikä vähentää riskiä, jos suojattu käynnistys palautetaan tai alustetaan uudelleen tulevaisuudessa.
Järjestelmänvalvojien tulee varmistaa, että aktiiviset suojatun käynnistyksen muuttujat päivitetään, ja valvoa käyttöönoton tilaa riippumatta siitä, onko laiteohjelmistopäivityksiä saatavilla.
Asiakkaan/IT-osaston hallinnoimien järjestelmien suojatun käynnistyksen usein kysytyt kysymykset
Kysymys 1: Miten voidaan varmistaa suojatun käynnistyksen toiminnallisuus vanhemmissa asiakkaiden/IT-osaston hallinnoimissa tietokoneissa, jotka eivät saa laiteohjelmistopäivityksiä alkuperäiseltä laitevalmistajalta?
Käytettävissä on kaksi mahdollista polkua:
- Jos Microsoft hallitsee tietokonetta jakamalla diagnostiikkatietoja ja käyttöjärjestelmä on tuettu, Microsoft yrittää päivittää.
- Jos laite on asiakkaan hallinnoima tai IT-järjestelmänvalvojan hallinnoima, IT-osasto voi ottaa päivitykset käyttöön tarkistetuissa tietokoneissa, jotka voivat ottaa päivitykset käyttöön turvallisesti Microsoftin ohjeiden mukaisesti Windowsin suojatun käynnistyksen varmenteen vanhenemisessa ja varmenteiden myöntäjän päivityksissä.
Näiden vaiheiden odotetaan toimivan useimmilla asiakkailla, vaikka he eivät tarvitse laiteohjelmistopäivitystä OEM-valmistajilta. Joissakin tapauksissa päivitykset eivät kuitenkaan tule voimaan laitteen laiteohjelmiston tunnettujen tai tuntemattomien ongelmien vuoksi. Noudata tällaisissa tapauksissa laiteohjelmiston päivityksiä koskevia OEM-ohjeita.
Huomautus Edellä mainittu prosessi käyttää suojatun käynnistyksen aktiivisia muuttujia koko käyttöjärjestelmän kautta. Suojatun käynnistyksen laiteohjelmiston oletusarvot säilytetään alkuperäisen laitevalmistajan julkaisemassa laiteohjelmistossa. Ohjeena on, että suojatun käynnistyksen määrityksiä ei muuteta tai päivitetä, ellei OEM ole julkaissut päivitystä, joka muuttaa laiteohjelmiston oletusasetukset uusiin varmenteisiin.
Kysymys 2: Jos tietokoneessa on vanhentuneet suojatun käynnistyksen varmenteet, onko mahdollista asentaa uusi Windows-versio?
Jos varmenteet vanhenevat, suojatun käynnistyksen suojaus heikkenee. Jos järjestelmä täyttää uudemman käyttöjärjestelmän, kuten Windows 11:n, vaatimukset, on mahdollista päivittää uudempaan Windows 11 -käyttöjärjestelmäversioon.
Kysymys 3: Mitä tapahtuu, kun Windows 10 LTSC -tietokone, jossa suojattua käynnistystä ei ole otettu käyttöön, päivitetään Windows 11 LTSC:hen varmenteen vanhentumispäivien jälkeen?
Jos suojattu käynnistys ei ole käytössä Windows 10 LTSC -laitteissa, ne eivät sisälly uusien suojatun käynnistyksen varmenteiden nykyiseen käyttöönottoon. Kun aloitat päivityksen Windows 11 LTSC:hen, sinun on noudatettava tiettyjä kyseisenä ajankohtana olevia siirtovaiheita varmistaaksesi, että uudet vuoden 2023 varmenteet sisältyvät siihen.
Kysymys 4: Saavatko Windows-versiot, joita ei enää tueta, päivitetyt varmenteet?
Varmenteet lähetetään vain tuetuille Windows-käyttöjärjestelmäversioille.
Kysymys 5: Miten virtualisoidut ympäristöt toimivat suojatun käynnistyksen varmennepäivitysten kanssa?
Windowsissa, joka toimii virtuaalisessa ympäristössä, on kaksi tapaa lisätä uusia varmenteita suojatun käynnistyksen laiteohjelmistomuuttujiin:
- Virtuaalisen ympäristön (AWS, Azure, Hyper-V, VMware jne.) luoja voi tarjota päivityksen ympäristöön ja sisällyttää uudet varmenteet virtualisoituun laiteohjelmistoon. Tämä toimisi uusissa virtualisoiduissa laitteissa.
- Windowsissa, joka on käynnissä virtuaalikoneessa pitkään, päivitykset voidaan ottaa käyttöön Windowsin kautta kuten muutkin laitteet, jos virtualisoitu laiteohjelmisto tukee Secure Boot -päivityksiä.
Kysymys 6: Miksi Microsoft ei voi ottaa käyttöön yrityksen/IT:n hallitsemaan kalustooni Microsoftin hallinnoimissa järjestelmissä käytettävän Controlled Feature Rollout (CFR) -toiminnon avulla?
Näissä asiakkaiden/IT-osaston hallinnoimien ympäristöjen välillä ei useinkaan ole riittävästi diagnostiikkatietoja, jotta Microsoft voisi ottaa käyttöön uusia ominaisuuksia luotettavasti ja turvallisesti. Lisäksi IT-osastot haluavat yleensä hallita päivitysten ajoitusta ja sisältöä täydellisesti, jotta voidaan varmistaa yhteensopivuus, vakaus ja yhteensopivuus sisäisten työkalujen ja työnkulkujen kanssa. Monet yrityslaitteet toimivat myös arkaluonteisissa tai rajoitetuissa ympäristöissä, joissa ulkoinen käyttö tai hallinta – CFR:n mukaisesti – voi olla ei-toivottua tai kiellettyä.
Kysymys 7: Laitteeni lakkasi käynnistymästä sen jälkeen, kun palautin laiteohjelmiston oletusasetukset – mitä tapahtui ja miten korjaan sen?
Jos Windows käyttää jo vuoden 2023 allekirjoitettua käynnistyksen hallintaohjelmaa, mutta laiteohjelmisto palautetaan oletusasetuksiksi, jotka eivät sisällä Windows UEFI CA 2023 -varmennetta, suojattu käynnistys estää käynnistysprosessin.
Voit korjata tämän ottamalla käyttöön vuoden 2023 varmenteen uudelleen laiteohjelmiston tietokannassa palautussovelluksen avulla. Tämä tehdään luomalla palautus-USB ja käynnistämällä sitten kyseinen laite kyseiseltä USB-asemalta puuttuvan varmenteen palauttamiseksi.
Katso vaiheittaiset ohjeet Microsoftin virallisista ohjeista Windowsin asennustietovälineen päivittämiseen.
Kysymys 8: Jos laitteeni suojatun käynnistyksen varmenteet ovat jo vanhentuneet, voinko silti vastaanottaa päivitettyjä varmenteita?
Kyllä. Uudet suojatun käynnistyksen varmenteet sisältävät kumulatiiviset päivitykset voidaan edelleen ottaa käyttöön, vaikka aiemmin luodut varmenteet olisivat vanhentuneet. Jos laite pystyy käynnistämään Windowsin ja asentamaan päivityksiä, päivitetyt varmenteet voidaan kirjoittaa laiteohjelmistoon noudattamalla julkaistuja käyttöönotto-ohjeita. Useimmat laitteet saavat nämä päivitykset automaattisesti, mutta jotkin järjestelmät saattavat vaatia lisää laiteohjelmistopäivityksiä.