Forum aux questions sur le processus de mise à jour du démarrage sécurisé

Il est préférable de mettre à jour les certificats de démarrage sécurisé bien avant la date d’expiration de juin 2026. 

Si votre appareil est géré par Microsoft et partage des données de diagnostic avec Microsoft, Microsoft tente de mettre à jour automatiquement les certificats de démarrage sécurisé dans la plupart des cas. Bien que Microsoft fasse de son mieux pour mettre à jour le démarrage sécurisé, il existe des situations où la mise à jour n’est pas garantie de s’appliquer et nécessite une action du client. Le client est en dernier ressort responsable de la mise à jour des certificats de démarrage sécurisé. 

Voici quelques exemples de situations où les appareils gérés par Microsoft avec des données de diagnostic partagées ne sont pas mis à jour : 

• Les mises à jour du démarrage sécurisé Microsoft fonctionnent uniquement sur certaines versions de Windows prises en charge.

• Les données de diagnostic activées sur votre appareil peuvent être bloquées par un pare-feu dans votre organization et ne pas atteindre Microsoft.

• Il peut y avoir un problème avec le microprogramme sur l’appareil.

Remarque Qu’est-ce que cela signifie d’être « géré par Microsoft » ? Le système partage les données de diagnostic et est géré par Microsoft Cloud ou Intune. 

Si votre appareil ne partage pas les données de diagnostic avec Microsoft et est géré par le service informatique de votre organization ou par le client, le service informatique peut mettre à jour les systèmes en suivant les instructions de Microsoft dans Expiration du certificat de démarrage sécurisé Windows et mises à jour de l’autorité de certification.

Si l’ordinateur est géré par Microsoft, les certificats de démarrage sécurisé sont mis à jour via Windows Update.  

Si l’ordinateur est géré par votre administrateur informatique organization ou professionnel, le service informatique a des méthodes pour mettre à jour le système à l’aide des instructions fournies dans Expiration du certificat de démarrage sécurisé Windows et mises à jour de l’autorité de certification. 

L’ordinateur démarre toujours Normalement Windows, même si les certificats de démarrage sécurisé ne sont pas mis à jour.  
L’ordinateur cessera de recevoir certaines mises à jour de sécurité Windows de Microsoft, notamment les mises à jour de sécurité du gestionnaire de démarrage et du composant de démarrage sécurisé. Cela expose l’appareil à un risque de BootKits qui pourraient prendre le contrôle total de l’ordinateur.

Windows 10 support prend fin le 14 octobre 2025. Pour plus d’informations, consultez Windows 10 support se termine le 14 octobre 2025. 

Pour continuer à recevoir des Mises à jour de sécurité après cette date, les clients qui restent sur Windows 10 peuvent s’inscrire à : 

• Pour le programme Windows 10 de sécurité étendue Mises à jour (ESU), consultez Windows 10 programme de Mises à jour de sécurité étendue (ESU)

• Ou si vous disposez d’une version LTSC prise en charge de Windows 10, elle continuera à obtenir des Mises à jour de sécurité jusqu’à la date d’expiration LTSC. Par exemple, consultez Programme ESU (Extended Security Mises à jour) pour Windows 10

Remarque

• Windows 10 Entreprise LTSC est disponible à l’achat en tant que référence SKU autonome ou dans le cadre d’un abonnement Windows Entreprise E3.

• Windows IoT Enterprise LTSC peut être acheté directement auprès d’un OEM ou via une licence fournisseur en tant que référence SKU autonome.

Il existe deux chemins possibles : 

• Si l’ordinateur est géré par Microsoft avec des données de diagnostic partagées et que le système d’exploitation est pris en charge, Microsoft tente de mettre à jour.

• Si l’appareil est géré par le client ou géré par un administrateur informatique, le service informatique peut appliquer les mises à jour sur l’ensemble validé d’ordinateurs qui peuvent prendre des mises à jour en toute sécurité conformément aux recommandations de Microsoft dans l’expiration du certificat de démarrage sécurisé Windows et les mises à jour de l’autorité de certification.

Ces étapes sont censées s’adresser à la plupart des clients sans avoir besoin d’une mise à jour du microprogramme des oem. Toutefois, dans certains cas, les mises à jour ne s’appliquent pas en raison de problèmes connus ou inconnus dans le microprogramme de l’appareil. Dans ce cas, suivez les instructions OEM sur les mises à jour du microprogramme. 

Remarque Le processus ci-dessus applique les variables actives de démarrage sécurisé via le système d’exploitation. Les valeurs par défaut du microprogramme de démarrage sécurisé sont conservées dans le microprogramme qui est publié par l’OEM. Il est conseillé de ne pas modifier ou mettre à jour la configuration du démarrage sécurisé, sauf si l’OEM a publié une mise à jour pour modifier les valeurs par défaut du microprogramme en nouveaux certificats.

 Si les certificats expirent, la protection du démarrage sécurisé est dégradée. Si le système répond à la configuration requise pour un système d’exploitation plus récent tel que Windows 11, il est possible d’effectuer une mise à niveau vers une version plus récente du système d’exploitation de Windows 11.  

Si le démarrage sécurisé n’est pas activé sur vos appareils Windows 10 LTSC, ils ne sont pas inclus dans le déploiement actuel des nouveaux certificats de démarrage sécurisé. Lorsque vous commencez la mise à niveau vers Windows 11 LTSC, vous devez suivre les étapes de migration spécifiques pertinentes à ce moment-là pour vous assurer que les nouveaux certificats 2023 sont inclus.

Seules les versions de système d’exploitation Windows prises en charge obtiennent les certificats. 

Une fois les certificats arrivés à expiration, l’appareil continue à démarrer sans modification. Toutefois, l’appareil cesse d’obtenir des mises à jour de sécurité pour le gestionnaire de démarrage et les composants de démarrage sécurisé. Cela expose l’ensemble de l’appareil au risque de programmes malveillants « bootkit » qui peuvent affecter tous les aspects de la sécurité sur l’appareil.

Pour Windows s’exécutant dans un environnement virtuel, il existe deux méthodes pour ajouter les nouveaux certificats aux variables du microprogramme de démarrage sécurisé : 

• Le créateur de l’environnement virtuel (AWS, Azure, Hyper-V, VMware, etc.) peut fournir une mise à jour de l’environnement et inclure les nouveaux certificats dans le microprogramme virtualisé. Cela fonctionne pour les nouveaux appareils virtualisés.

• Pour Windows s’exécutant à long terme sur une machine virtuelle, les mises à jour peuvent être appliquées via Windows comme n’importe quel autre appareil, si le microprogramme virtualisé prend en charge les mises à jour de démarrage sécurisé.

Ces environnements gérés par le client/l’informatique manquent souvent de données de diagnostic suffisantes pour que Microsoft déploie de nouvelles fonctionnalités en toute confiance et en toute sécurité. En outre, les services informatiques préfèrent généralement conserver un contrôle total sur le calendrier et le contenu des mises à jour pour garantir la conformité, la stabilité et la compatibilité avec les outils et flux de travail internes. De nombreux appareils d’entreprise fonctionnent également dans des environnements sensibles ou restreints où l’accès ou la gestion externes (impliqués par CFR) peuvent être indésirables ou interdits.

Si Windows utilise déjà le gestionnaire de démarrage signé 2023, mais que le microprogramme est réinitialisé aux valeurs par défaut qui n’incluent pas le certificat Windows UEFI CA 2023, le démarrage sécurisé bloque le processus de démarrage. 

Pour résoudre ce problème, vous devez réappliquer le certificat 2023 à la base de données du microprogramme à l’aide de l’application de récupération. Pour ce faire, créez un usb de récupération, puis démarrez l’appareil affecté à partir de cette clé USB pour restaurer le certificat manquant. 

Pour obtenir des instructions pas à pas, consultez les instructions officielles de Microsoft sur la mise à jour du support d’installation Windows.