שאלות נפוצות אודות תהליך העדכון של האתחול המאובטח

מומלץ לעדכן אישורי אתחול מאובטח לפני תאריך התפוגה של יוני 2026. 

אם המכשיר שלך מנוהל על-ידי Microsoft ומשתף נתוני אבחון עם Microsoft, Microsoft מנסה לעדכן את אישורי האתחול המאובטח באופן אוטומטי ברוב המקרים. למרות ש- Microsoft תעשה את המיטב כדי לעדכן אתחול מאובטח, יהיו מצבים שבהם לא מובטח שהעדכון יחול וידרוש פעולת לקוח. הלקוח אחראי בסופו של דבר לעדכון אישורי האתחול המאובטח. 

להלן כמה מצבים לדוגמה שבהם מכשירים מנוהלים של Microsoft עם נתוני אבחון משותפים אינם מתעדכנים: 

• עדכוני אתחול מאובטח של Microsoft פועלים רק בגירסאות מסוימות של Windows התומכות.

• נתוני האבחון הזמינים במכשיר שלך עשויים להיחסם על-ידי חומת אש בארגון שלך ולא להגיע ל- Microsoft.

• ייתכן שמשהו לא בסדר בקושחה במכשיר.

הערה מה המשמעות של "מנוהל על-ידי Microsoft"? המערכת משתפת נתוני אבחון ומנוהלת על-ידי Microsoft Cloud או Intune. 

אם המכשיר שלך אינו משתף נתוני אבחון עם Microsoft ומנוהל על-ידי מחלקת ה- IT של הארגון שלך או על-ידי הלקוח, מחלקת ה- IT יכולה לעדכן את המערכות בהתאם להדרכה של Microsoft בנושא תפוגת אישור אתחול מאובטח של Windows ועדכונים של רשות אישורים.

אם המחשב מנוהל על-ידי Microsoft, אישורי אתחול מאובטח מתעדכנים באמצעות Windows Update.  

אם המחשב מנוהל על-ידי הארגון או מנהל ה- IT העסקי שלך, מחלקת ה- IT כוללת שיטות לעדכון המערכת באמצעות הדרכה בנושא תפוגת אישור אתחול מאובטח של Windows ועדכונים של רשות אישורים. 

המחשב עדיין יפעל את Windows כרגיל, גם אם אישורי האתחול המאובטח אינם מעודכנים.  
המחשב יפסיק בסופו של דבר לקבל עדכוני אבטחה מסוימים של Windows מ- Microsoft, כולל Boot Manager ועדכונים של רכיב אתחול מאובטח. פעולה זו תסכן את המכשיר של BootKits שעלולה לקבל שליטה מלאה על המחשב.

Windows 10 התמיכה מסתיימת ב- 14 באוקטובר 2025. לקבלת מידע נוסף, ראה Windows 10 התמיכה מסתיימת ב- 14 באוקטובר 2025. 

כדי להמשיך לקבל עדכוני עדכונים לאחר תאריך זה, לקוחות שנשארו Windows 10 יכולים להירשם ל: 

• תוכנית Windows 10 האבטחה המורחבת עדכונים (ESU), ראה תוכנית Windows 10 האבטחה המורחבת עדכונים (ESU)

• לחלופין, אם יש לך גירסת LTSC נתמכת של Windows 10, היא תמשיך לקבל עדכוני אבטחה עדכונים תאריך התפוגה של LTSC. לדוגמה, ראה עדכון אבטחה מורחב עדכונים (ESU) לתוכנית Windows 10

הערה

• Windows 10 Enterprise LTSC זמין לרכישה כ- SKU עצמאי או כחלק מינוי Windows Enterprise E3.

• ניתן לרכוש את Windows IoT Enterprise LTSC ישירות מ- OEM או באמצעות רשיון ספק כ- SKU עצמאי.

קיימים שני נתיבים אפשריים: 

• אם המחשב מנוהל על-ידי Microsoft עם נתוני אבחון משותפים ומערכת ההפעלה נתמכת, Microsoft מנסה לעדכן.

• אם המכשיר מנוהל על-ידי לקוח או מנוהל על-ידי מנהל IT, מחלקת ה- IT יכולה להחיל את העדכונים על קבוצת המחשבים המאומתת, העשויים לקבל עדכונים בבטחה לפי ההנחיות של Microsoft בנושא תפוגת אישור אתחול מאובטח של Windows ועדכונים של רשות אישורים.

שלבים אלה צפויה לטפל ברוב הלקוחות ללא צורך בעדכון קושחה של יצרני ציוד מקורי (OEM). עם זאת, יהיו מקרים מסוימים שבהם העדכונים לא יחולו עקב בעיות ידועות או לא ידועות בקושחת המכשיר. במקרים כאלה, בצע את ההנחיות של יצרן הציוד המקורי לגבי עדכוני קושחה. 

הערה התהליך לעיל מחיל את המשתנים הפעילים של האתחול המאובטח באמצעות מערכת ההפעלה. ערכי ברירת המחדל של קושחת האתחול המאובטח נשמרים בקושחה שפורסמה על-ידי יצרן הציוד המקורי. ההדרכה היא לא לשנות או לעדכן את תצורת האתחול המאובטח אלא אם יצרן הציוד המקורי הפיצה עדכון כדי לשנות את ברירות המחדל של הקושחה לאישורים החדשים.

 אם פג תוקפם של האישורים, ההגנה על אתחול מאובטח תיפגם. אם המערכת עומדת בדרישות עבור מערכת הפעלה חדשה יותר, כגון Windows 11, תוכל לשדרג לגירסת מערכת הפעלה חדשה יותר של Windows 11.  

אם אתחול מאובטח אינו זמין במכשירי Windows 10 LTSC, הם אינם נכללים בהפצה הנוכחית עבור אישורי האתחול המאובטח החדשים. כשתתחיל את השדרוג ל- Windows 11 LTSC, יהיה עליך לבצע את שלבי ההעברה הספציפיים הרלוונטיים בשלב זה כדי להבטיח שהאישורים החדשים של 2023 ייכללו.

רק גירסאות נתמכות של מערכת ההפעלה Windows יקבלו את האישורים. 

לאחר שתוקף האישורים יפוג, המכשיר ימשיך לבצע אתחול ללא שינוי, אך המכשיר יפסיק לקבל עדכוני אבטחה עבור מנהל האתחול ורכיבי האתחול המאובטח. פעולה זו תסכן את המכשיר כולו בתוכנות זדוניות "bootkit" שעשויות להשפיע על כל היבטי האבטחה במכשיר.

עבור Windows הפועל בסביבה וירטואלית, קיימות שתי שיטות להוספת האישורים החדשים למשתנהי הקושחה של האתחול המאובטח: 

• יוצר הסביבה הווירטואלית (AWS, Azure, Hyper-V, VMware וכדומה) יכול לספק עדכון עבור הסביבה ולכלול את האישורים החדשים בקושחה הווירטואלית. פעולה זו תותאם למכשירים וירטואליים חדשים.

• עבור Windows הפועל לטווח ארוך במחשב וירטואלי, ניתן להחיל את העדכונים באמצעות Windows כמו כל מכשיר אחר, אם הקושחה הווירטואלית תומכת בעדכונים של אתחול מאובטח.

לסביבות המנוהלות על-ידי לקוחות/IT אלה חסרים לעתים קרובות נתוני אבחון מספיקים ל- Microsoft כדי לפרוס תכונות חדשות בבטחה ובבטחה. בנוסף, מחלקות IT בדרך כלל מעדיפות לשמור על שליטה מלאה על תזמון העדכון ועל התוכן כדי להבטיח תאימות, יציבות ותאימות עם כלים פנימיים וזרימות עבודה. מכשירים ארגוניים רבים פועלים גם בסביבות רגישות או מוגבלות שבהן גישה או ניהול חיצוניים - משתמעים על-ידי CFR - עשויים להיות בלתי רצויים או אסורים.

אם Windows כבר משתמש במנהל האתחול החתום על-ידי 2023, אך הקושחה מאופסת להגדרות ברירת מחדל שאינן כוללות את אישור Windows UEFI CA 2023, אתחול מאובטח תחסום את תהליך האתחול. 

כדי לתקן זאת, עליך להחיל מחדש את אישור 2023 על מסד הנתונים של הקושחה באמצעות יישום השחזור. פעולה זו מתבצעת על-ידי יצירת USB לשחזור ולאחר מכן אתחול ההתקן המושפע מ- USB זה כדי לשחזר את האישור החסר. 

לקבלת הוראות מפורטות, ראה ההנחיות הרשמיות של Microsoft לעדכון מדיית התקנה של Windows.