Käytetään kohteeseen
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Alkuperäinen julkaisupäivä: 26. kesäkuuta 2025

KB-tunnus: 5062710

Mikä on suojattu käynnistys?

Suojattu käynnistys on Unified Extensible Firmware Interface (UEFI) -pohjaisen laiteohjelmiston suojausominaisuus, joka auttaa varmistamaan, että vain luotetut ohjelmistot suoritetaan laitteen käynnistysjakson aikana. Se toimii tarkistamalla esikäynnistysohjelmiston digitaalisen allekirjoituksen laitteen laiteohjelmistoon tallennettujen luotettujen digitaalisten varmenteiden (eli varmenteen myöntäjän tai varmenteen myöntäjän) kanssa. Alan standardina UEFI Secure Boot määrittää, miten alustan laiteohjelmisto hallitsee varmenteita, todentaa laiteohjelmiston ja miten käyttöjärjestelmä (KÄYTTÖJÄRJESTELMÄ) liittyy tähän prosessiin. Lisätietoja UEFI: stä ja suojatusta käynnistystä on artikkelissa Suojattu käynnistys.

Suojattu käynnistys otettiin ensimmäisen kerran käyttöön Windows 8 suojautuakseen käynnistystä edeltävältä haittaohjelmalta (tunnetaan myös nimellä bootkit) uhalta tuolloin. Suojatun käynnistyksen osana alustan alustus todentaa laiteohjelmistomoduulit ennen suoritusta. Näihin moduuleihin kuuluvat UEFI-laiteohjelmisto-ohjaimet (kuten vaihtoehto-ROMit), käynnistyslataajat ja sovellukset. Suojatun käynnistyksen prosessin viimeisenä vaiheena laiteohjelmisto tarkistaa, luottaako suojattu käynnistys käynnistyksen lataajaan. Tämän jälkeen laiteohjelmisto siirtää hallinnan käynnistyksen lataajalle, joka puolestaan tarkistaa, latautuu muistiin ja käynnistää Windows-käyttöjärjestelmän.

Suojattu käynnistys määrittää luotetun koodin valmistuksen aikana määritetyn laiteohjelmistokäytännön kautta. Tähän käytäntöön tehtyjä muutoksia, kuten varmenteiden lisäämistä tai peruuttamista, hallitaan näppäinhierarkialla. Tämä hierarkia alkaa alustan avaimella (PK), joka on yleensä laitteistovalmistajan omistuksessa, ja sen jälkeen avainrekisteröintiavaimella (KEK) (tunnetaan myös nimellä Key Exchange Key), joka voi sisältää Microsoft KEK:n ja muita alkuperäisten laitevalmistajien KEK:t. Sallittu allekirjoitustietokanta (DB) ja DBX (Disallowed Signature Database) määrittävät, mikä koodi voidaan suorittaa UEFI-ympäristössä ennen käyttöjärjestelmän käynnistymistä. DB sisältää Microsoftin ja alkuperäisen laitevalmistajan hallinnoimat varmenteet, kun taas Microsoft päivittää DBX:n uusimmilla peruutoilla. Kaikki entiteetit, joilla on KEK, voivat päivittää DB: n ja DBX: n.

Windowsin suojatun käynnistyksen varmenteet vanhentuvat vuonna 2026

Windowsin suojatun käynnistyksen tuen käyttöönoton jälkeen kaikissa Windows-laitteissa on ollut samat Microsoft-varmenteet KEK: ssa ja DB: ssä. Nämä alkuperäiset varmenteet ovat päättymässä, ja tämä vaikuttaa laitteeseesi, jos siinä on jokin luetelluista varmenneversioista. Jos haluat jatkaa Windowsin suorittamista ja vastaanottaa säännöllisiä päivityksiä suojatun käynnistyksen määrityksiä varten, sinun on päivitettävä nämä varmenteet.

Terminologia

  • KEK: Avainrekisteröintiavain

  • CA: Varmenteen myöntäjä

  • DB: Suojatun käynnistyksen allekirjoitustietokanta

  • DBX: Suojatun käynnistyksen kumottu allekirjoitustietokanta

Vanhentuva varmenne

Vanhentumispäivä

Uusi varmenne

Sijainnin tallentaminen

Tarkoitus

Microsoft Corporation KEK CA 2011

Kesäkuu 2026

Microsoft Corporation KEK CA 2023

Tallennettu KEK:hen

Allekirjoittaa päivitykset DB: hen ja DBX: hen.

Microsoft Windows Production PCA 2011

Lokakuu 2026

Windows UEFI CA 2023

Tallennettu DB:hen

Käytetään Windowsin käynnistyslataimen allekirjoittamiseen.

Microsoft UEFI CA 2011*

Kesäkuu 2026

Microsoft UEFI CA 2023

Tallennettu DB:hen

Allekirjoittaa kolmannen osapuolen käynnistyslataajat ja EFI-sovellukset.

Microsoft UEFI CA 2011*

Kesäkuu 2026

Microsoft Option ROM CA 2023

Tallennettu DB:hen

Allekirjoittaa kolmannen osapuolen vaihtoehdon ROM-laitevalmistajat

*Microsoft Corporation UEFI CA 2011 -varmenteen uusimisen aikana kaksi varmennetta erottaa käynnistyksen lataajan allekirjoituksen vaihtoehdosta ROM-allekirjoitus. Näin järjestelmän luottamusta voidaan hallita paremmin. Esimerkiksi järjestelmät, joiden on luotettava vaihtoehtoihin ROMs, voivat lisätä Microsoft Option ROM UEFI CA 2023 :n lisäämättä luottamusta kolmannen osapuolen käynnistyslataajille.

Microsoft on myöntänyt päivitetyt varmenteet varmistaakseen suojatun käynnistyksen suojauksen jatkuvuuden Windows-laitteissa. Microsoft hallitsee näiden uusien varmenteiden päivitysprosessia merkittävässä osassa Windows-laitteita. Lisäksi tarjoamme yksityiskohtaisia ohjeita organisaatioille, jotka hallinnoivat omia laitepäivityksiään.

Tärkeää Kun vuoden 2011 käyttöoikeussopimus päättyy, Windows-laitteisiin, joissa ei ole uusia 2023-varmenteita, ei voi enää saada suojauskorjauksia windowsin käynnistystä edeltäviin komponentteihin, jotka vaarantavat Windowsin käynnistyksen suojauksen.

Toimenpidepyyntö

Sinun on ehkä ryhdyttävä toimenpiteisiin varmistaaksesi, että Windows-laitteesi pysyy suojattuna, kun varmenteet vanhenevat vuonna 2026. Sekä UEFI Secure Boot DB että KEK on päivitettävä vastaavilla uusilla 2023-varmenneversioilla. Lisätietoja uusista varmenteista on ohjeaiheessa Windowsin suojatun käynnistysavaimen luonti- ja hallintaohjeet

Tärkeää Ilman päivityksiä suojatun käynnistyksen mahdollistavat Windows-laitteet eivät välttämättä saa suojauspäivityksiä tai luota uusiin käynnistyslataajiin, mikä vaarantaa sekä huollettavuuden että suojauksen.

Toimintosi vaihtelevat windows-laitteen tyypin mukaan. Valitse vasemmanpuoleisesta valikosta laitetyyppi ja toiminto, joka sinun on suoritettava.  

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus