Käytetään kohteeseen
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Alkuperäinen julkaisupäivä: 15. syyskuuta 2025

KB-tunnus: 5068008

Muuta päivämäärää

Muuta kuvausta

23. helmikuuta 2026

  • Lisätty uudet usein kysytyt kysymykset yleisen suojatun käynnistyksen usein kysytyistä kysymyksistä

9. helmikuuta 2026

  • Lisätty uudet usein kysytyt kysymykset kohdassa "Asiakkaan/IT-hallittujen järjestelmien suojatun käynnistyksen usein kysytyt kysymykset"

3. helmikuuta 2026

  • Siirsi Q4-kirjaimen Q1-kirjaimeen yleisen suojatun käynnistyksen usein kysytyissä kysymyksissä ja päivitti sisällön.

12. tammikuuta 2026

  • Selvennetty toiminta, kun varmenteet vanhenevat Q4:lle.

Yleisen suojatun käynnistyksen usein kysytyt kysymykset

Kun suojatun käynnistyksen varmenteet ovat vanhentuneet, laitteet, jotka eivät ole saaneet uudempia 2023-varmenteita, käynnistyvät edelleen ja toimivat normaalisti, ja Windowsin vakiopäivitykset asentuvat edelleen. Nämä laitteet eivät kuitenkaan voi enää vastaanottaa uusia suojaussuojauksia varhaista käynnistysprosessia varten, mukaan lukien päivitykset Windowsin käynnistyksen hallintaan, suojatun käynnistyksen tietokantoihin, peruutusluetteloihin tai äskettäin löydettyjen käynnistystason haavoittuvuuksien lieventämiseen. 

Ajan mittaan tämä rajoittaa laitteen suojausta uusia uhkia vastaan ja voi vaikuttaa skenaarioihin, jotka perustuvat suojatun käynnistyksen luottamukseen, kuten BitLocker-karvennukseen tai kolmannen osapuolen käynnistyslataajiin. Useimmat Windows-laitteet saavat päivitetyt varmenteet automaattisesti, ja monet alkuperäiset laitevalmistajat ovat toimittaneet laiteohjelmistopäivityksiä tarvittaessa. Laitteesi pitäminen ajan tasalla näiden päivitysten avulla auttaa varmistamaan, että se saa edelleen kaikki suojauksen suojaukset, jotka suojattu käynnistys on suunniteltu tarjoamaan.

Suojatun käynnistyksen varmenteet kannattaa päivittää hyvissä piirtein ennen kesäkuun 2026 vanhentumispäivää. 

Jos Microsoft hallitsee laitettasi ja jakaa diagnostiikkatietoja Microsoftin kanssa, Microsoft yrittää useimmissa tapauksissa päivittää suojatun käynnistyksen varmenteet automaattisesti. Vaikka Microsoft tekee parhaansa suojatun käynnistyksen päivittämiseksi, joissakin tilanteissa päivitystä ei taata sovellettavaksi ja se vaatii asiakkaan toimia. Asiakas on viime kädessä vastuussa suojatun käynnistyksen varmenteiden päivittämisestä. 

Esimerkkejä tilanteista, joissa Microsoftin hallitsemat laitteet, joissa diagnostiikkatiedot ovat käytössä, eivät ehkä saa päivityksiä:

  • Microsoftin suojatun käynnistyksen päivitykset koskevat vain joitakin Windowsin tukiversioita.

  • Organisaatiosi palomuuri voi estää laitteessasi käyttöönotetut diagnostiikkatiedot, eivätkä ne saavuta Microsoftia.

  • Laitteen laiteohjelmistossa voi olla jotain vikaa.

Huomautus Mitä tarkoittaa olla Microsoftin hallinnoima? Järjestelmä jakaa diagnostiikkatietoja, ja sitä hallinnoi Microsoft Cloud tai Intune. 

Jos laitteesi ei jaa diagnostiikkatietoja Microsoftin kanssa ja sitä hallinnoi organisaatiosi IT-osasto tai asiakas, IT-osasto voi päivittää järjestelmät Noudattamalla Microsoftin ohjeita Windowsin suojatun käynnistyksen varmenteen vanhenemisesta ja varmenteiden myöntäjän päivityksistä.

Jos tietokonetta hallitsee Microsoft, suojatun käynnistyksen varmenteet päivitetään Windows Update.  

Jos tietokonetta hallitsee organisaatiosi tai yrityksesi IT-järjestelmänvalvoja, IT-osastolla on menetelmät järjestelmän päivittämiseksi Windowsin suojatun käynnistyksen varmenteen vanhenemisen ja varmenteiden myöntäjän päivitysten ohjeiden avulla. 

Windows 10 tuki päättyy 14. lokakuuta 2025. Lisätietoja on artikkelissa Windows 10 tuki päättyy 14. lokakuuta 2025

Jos haluat jatkaa suojaus Päivitykset vastaanottamista tämän päivämäärän jälkeen, asiakkaat, jotka pysyvät Windows 10 voivat rekisteröityä: 

Huomautus

  • Windows 10 Enterprise LTSC on ostettavissa joko erillisenä SKU:na tai osana Windows Enterprise E3 -tilausta.

  • Windows IoT Enterprise LTSC:n voi ostaa suoraan alkuperäiseltä laitevalmistajalta tai toimittajan käyttöoikeuden kautta erillisenä SKU:na.

Suojatun käynnistyksen varmenteiden avulla laiteohjelmisto voi varmistaa, että tärkeät komponentit, kuten käynnistyksen valvojat, vaihtoehtojen ROMit (laiteohjelmisto-ohjaimet) ja muut laiteohjelmistopohjaiset ohjelmistot, ovat luotettavia eikä niitä ole käsitelty luvattomasti. Microsoft käyttää näitä varmenteita käynnistyspäälliköiden ja muiden luotettavien osien sekä suojatun käynnistyksen päivitysten allekirjoittamiseen. Kun vanhemmat varmenteet vanhenevat, niitä ei voi enää käyttää uusien osien tai päivitysten allekirjoittamiseen.

Laitteet, joissa suojattu käynnistys on poistettu käytöstä, eivät saa uusia suojatun käynnistyksen varmenteita laiteohjelmistossa. Tämän seurauksena ne ovat edelleen alttiita käynnistystason haittaohjelmille, kuten käynnistysohjelmille, koska suojatun käynnistyksen suojausta ei valvota. 

Microsoft yrittää päivittää kaikki soveltuvat varmenteet vaatimukset täyttäville laitteille, kuten niille, jotka saavat kumulatiivisia päivityksiä luottamustietoihin perustuvan käyttöönoton kautta tai rekisteröityvät CFR (Controlled Feature Rollout) -käyttöönottoon diagnostiikkatietojen ollessa käytössä. Nämä päivitykset tarjotaan kuitenkin apuna, ei takuuna. IT-järjestelmänvalvojat ovat edelleen vastuussa koko kalustonsa päivittämisestä Microsoftin automatisoidulla CFR-toiminnolla ja muilla dokumentoiduilla käyttöönottomenetelmillä.

Varmenteet sisältyivät 13.5.2025, kumulatiivisiin päivityksiin (LCU) ja uudempiin. Niitä ei kuitenkaan käytetä automaattisesti. Ohjeita käyttöönottoon on artikkelissa https://aka.ms/getsecureboot.

Ne palvelevat eri tarkoituksia.

Laiteohjelmistopäivitykset voivat päivittää laiteohjelmistoon tallennetut suojatun käynnistyksen oletusmuuttujat. Tämä on ensisijaisesti hyödyllistä, jos suojatun käynnistyksen asetukset palautetaan myöhemmin oletusasetuksiin, koska laiteohjelmiston oletusasetukset määrittävät, mitkä varmenteet palautetaan tässä skenaariossa.

Windows käyttää muutoksia aktiivisiin suojatun käynnistyksen muuttujiin, jotka ovat käytössä normaalin käynnistyksen aikana. Näitä aktiivisia muuttujia laiteohjelmisto käyttää käynnistyksen osien vahvistamiseen ja mitä Windows käyttää tulevien suojatun käynnistyksen suojausten tarjoamiseen.

Käytännössä Windows vastaa aktiivisen suojatun käynnistyksen määrityksen pitämisestä ajan tasalla. Laiteohjelmistopäivitykset auttavat varmistamaan, että myös oletusarvot päivitetään, mikä vähentää riskiä, jos suojattu käynnistys palautetaan tai alustetaan uudelleen tulevaisuudessa.

Järjestelmänvalvojien on varmistettava, että aktiiviset suojatun käynnistyksen muuttujat päivitetään, ja valvottava käyttöönoton tilaa riippumatta siitä, onko laiteohjelmistopäivityksiä saatavilla.

Asiakkaan/IT-järjestelmän suojatun käynnistyksen usein kysytyt kysymykset

Mahdollisia polkuja on kaksi: 

Näiden vaiheiden odotetaan käsittelevän useimpia asiakkaita tarvitsematta laiteohjelmistopäivitystä alkuperäisiltä laitevalmistajilta. Joissakin tapauksissa päivitykset eivät kuitenkaan ole voimassa laitteen laiteohjelmiston tunnettujen tai tuntemattomien ongelmien vuoksi. Noudata tällaisissa tapauksissa laiteohjelmistopäivityksiä koskevia OEM-ohjeita. 

Huomautus Yllä oleva prosessi käyttää suojatun käynnistyksen aktiivisia muuttujia käyttöjärjestelmän kautta. Suojatun käynnistyksen laiteohjelmiston oletusarvot säilytetään laiteohjelmistossa, jonka alkuperäinen laitevalmistaja julkaisee. Ohjeita on olla muuttamatta tai päivittämättä suojatun käynnistyksen määritystä, ellei alkuperäinen laitevalmistaja ole julkaissut päivitystä, joka muuttaa laiteohjelmiston oletusasetukset uusiksi varmenteina.

 Jos varmenteet vanhenevat, suojatun käynnistyksen suojaus on heikentynyt. Jos järjestelmä täyttää uudemman käyttöjärjestelmän, kuten Windows 11, vaatimukset, on mahdollista päivittää Windows 11 uudempaan käyttöjärjestelmäversioon.  

Jos suojattu käynnistys ei ole käytössä Windows 10 LTSC -laitteissa, ne eivät sisälly uusien suojatun käynnistyksen varmenteiden nykyiseen käyttöönottoon. Kun aloitat päivityksen Windows 11 LTSC:hen, sinun on noudatettava tiettyjä siirtovaiheita, jotka ovat olennaisia tuolloin, jotta voit varmistaa, että uudet 2023-varmenteet sisällytetään.

Vain tuetut Windows-käyttöjärjestelmäversiot saavat varmenteet. 

Virtuaalisessa ympäristössä suoritettavassa Windowsissa on kaksi tapaa lisätä uudet varmenteet suojatun käynnistyksen laiteohjelmistomuuttujiin: 

  • Virtuaaliympäristön luoja (AWS, Azure, Hyper-V, VMware jne.) voi tarjota ympäristöpäivityksen ja sisällyttää uudet varmenteet virtualisoituun laiteohjelmistoon. Tämä toimisi uusissa virtualisoituissa laitteissa.

  • Jos Windows toimii pitkään virtuaalikoneessa, päivityksiä voidaan käyttää Windowsin kautta muiden laitteiden tavoin, jos virtualisoitu laiteohjelmisto tukee suojatun käynnistyksen päivityksiä.

Näissä asiakas- ja IT-hallituissa ympäristöissä ei useinkaan ole riittävästi diagnostiikkatietoja, jotta Microsoft voi ottaa uudet ominaisuudet käyttöön luotettavasti ja turvallisesti. Lisäksi IT-osastot haluavat yleensä hallita päivitysten ajoitusta ja sisältöä täysin varmistaakseen yhteensopivuuden, vakauden ja yhteensopivuuden sisäisten työkalujen ja työnkulkujen kanssa. Monet yrityslaitteet toimivat myös herkissä tai rajoitetuissa ympäristöissä, joissa ulkoinen käyttö tai hallinta – cfr:n tarkoittama – voi olla haitallista tai kiellettyä.

Jos Windows käyttää jo 2023-allekirjoitettua käynnistyksen hallintaa, mutta laiteohjelmisto palautetaan oletusasetuksiin, joihin ei sisälly Windows UEFI CA 2023 -varmennetta, suojattu käynnistys estää käynnistyksen. 

Tämän korjaamiseksi sinun on otettava 2023-varmenne uudelleen käyttöön laiteohjelmiston DB:ssä palautussovelluksen avulla. Tämä tehdään luomalla palautus-USB ja käynnistämällä sitten kyseinen laite kyseisestä USB:stä puuttuvan varmenteen palauttamiseksi. 

Vaiheittaiset ohjeet ovat Microsoftin virallisissa ohjeissa, jotka koskevat Windowsin asennustietovälineen päivittämistä

​​​​​​​Kyllä. Kumulatiivisia päivityksiä, jotka sisältävät uudet suojatun käynnistyksen varmenteet, voidaan silti käyttää, vaikka aiemmin luodut varmenteet olisivat vanhentuneet. Jos laite voi käynnistää Windowsin ja asentaa päivityksiä, päivitetyt varmenteet voidaan kirjoittaa laiteohjelmistoon julkaistujen käyttöönotto-ohjeiden mukaisesti. Useimmat laitteet vastaanottavat nämä päivitykset automaattisesti, mutta jotkin järjestelmät saattavat edellyttää muita laiteohjelmistopäivityksiä.

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus