שאלות נפוצות אודות תהליך העדכון של האתחול המאובטח

לאחר שתוקף אישורי האתחול המאובטח יפוג, מכשירים שלא קיבלו את האישורים החדשים יותר של 2023 ימשיכו להתחיל לפעול כרגיל, וההתקנה של עדכונים סטנדרטיים של Windows תמשיך. עם זאת, מכשירים אלה לא יוכלו עוד לקבל הגנות אבטחה חדשות עבור תהליך האתחול המוקדם, כולל עדכונים ל- Windows Boot Manager, מסדי נתונים של אתחול מאובטח, רשימות ביטולים או צמצום סיכונים עבור פגיעויות ברמת האתחול שהתגלו לאחרונה. 

עם הזמן, פעולה זו מגבילה את ההגנה של המכשיר מפני איומים מתפתחים ועל עשויים להשפיע על תרחישים שמסתמנים על אמון באתחול מאובטח, כגון הקשת BitLocker או עומסי אתחול של ספקים חיצוניים. רוב מכשירי Windows יקבלו את האישורים המעודכנים באופן אוטומטי, ו יצרני ציוד מקורי רבים סיפקו עדכוני קושחה בעת הצורך. שמירה על עדכניות המכשיר שלך בעדכונים אלה מבטיחה שהוא יוכל להמשיך לקבל את ערכת הגנות האבטחה המלאה שתוכננה לספק אתחול מאובטח.

מומלץ לעדכן אישורי אתחול מאובטח לפני תאריך התפוגה של יוני 2026. 

אם המכשיר שלך מנוהל על-ידי Microsoft ומשתף נתוני אבחון עם Microsoft, Microsoft מנסה לעדכן את אישורי האתחול המאובטח באופן אוטומטי ברוב המקרים. למרות ש- Microsoft תעשה את המיטב כדי לעדכן אתחול מאובטח, יהיו מצבים שבהם לא מובטח שהעדכון יחול וידרוש פעולת לקוח. הלקוח אחראי בסופו של דבר לעדכון אישורי האתחול המאובטח. 

דוגמאות למצבים שבהם מכשירים מנוהלים על-ידי Microsoft שבהם נתוני אבחון זמינים עשויים שלא לקבל עדכונים כוללים:

• עדכוני אתחול מאובטח של Microsoft חלים רק על גירסאות מסוימות של Windows התומכות.

• נתוני האבחון הזמינים במכשיר שלך עשויים להיחסם על-ידי חומת אש בארגון שלך ולא להגיע ל- Microsoft.

• ייתכן שיש בעיה בקושחה במכשיר.

הערה מה המשמעות של "מנוהל על-ידי Microsoft"? המערכת משתפת נתוני אבחון ומנוהלת על-ידי Microsoft Cloud או Intune. 

אם המכשיר שלך אינו משתף נתוני אבחון עם Microsoft ומנוהל על-ידי מחלקת ה- IT של הארגון שלך או על-ידי הלקוח, מחלקת ה- IT יכולה לעדכן את המערכות בהתאם להדרכה של Microsoft בנושא תפוגת אישור אתחול מאובטח של Windows ועדכונים של רשות אישורים.

אם המחשב מנוהל על-ידי Microsoft, אישורי אתחול מאובטח מתעדכנים באמצעות Windows Update.  

אם המחשב מנוהל על-ידי הארגון או מנהל ה- IT העסקי שלך, מחלקת ה- IT כוללת שיטות לעדכון המערכת באמצעות הדרכה בנושא תפוגת אישור אתחול מאובטח של Windows ועדכונים של רשות אישורים. 

Windows 10 התמיכה מסתיימת ב- 14 באוקטובר 2025. לקבלת מידע נוסף, ראה Windows 10 התמיכה מסתיימת ב- 14 באוקטובר 2025. 

כדי להמשיך לקבל עדכוני עדכונים לאחר תאריך זה, לקוחות שנשארו Windows 10 יכולים להירשם ל: 

• תוכנית Windows 10 האבטחה המורחבת עדכונים (ESU), ראה תוכנית Windows 10 האבטחה המורחבת עדכונים (ESU)

• לחלופין, אם יש לך גירסת LTSC נתמכת של Windows 10, היא תמשיך לקבל עדכוני אבטחה עדכונים תאריך התפוגה של LTSC. לדוגמה, ראה עדכון אבטחה מורחב עדכונים (ESU) לתוכנית Windows 10

הערה

• Windows 10 Enterprise LTSC זמין לרכישה כ- SKU עצמאי או כחלק מינוי Windows Enterprise E3.

• ניתן לרכוש את Windows IoT Enterprise LTSC ישירות מ- OEM או באמצעות רשיון ספק כ- SKU עצמאי.

אישורי אתחול מאובטח מאפשרים הקושחה לוודא שרכיבים קריטיים - כגון מנהלי אתחול, ROMs של אפשרויות (מנהלי התקנים של קושחה) ותוכנות אחרות המבוססות על קושחה – מהימנים ולא טופלו שלא כדין. Microsoft משתמשת באישורים אלה כדי לחתום על מנהלי אתחול ורכיבים אחרים שיש לבטוח בהם וכן כדי לחתום על עדכוני אתחול מאובטח. כאשר פג תוקפם של אישורים ישנים יותר, לא ניתן עוד להשתמש בהם כדי לחתום על רכיבים או עדכונים חדשים.

מכשירים עם אתחול מאובטח לא זמין לא יקבלו את אישורי האתחול המאובטח החדשים בקושחה. כתוצאה מכך, הן יישארו פגיעות לתוכנות זדוניות ברמת האתחול, כגון תוכנות Bootkit, מכיוון שהגנות אתחול מאובטח אינן נאכפות. 

עבור מכשירים זכאים - כגון אלה שמקבלים עדכונים מצטברים באמצעות פריסה מבוססת-מהימנות או רשומים בהפצת תכונות מבוקרת (CFR) בנתוני אבחון זמינים - Microsoft מנסה לעדכן את כל האישורים הרלוונטיים. עם זאת, עדכונים אלה מסופקים כסיוע, לא כערובה. מנהלי IT עדיין אחראים לוודא שהצי כולו מתעדכן, באמצעות CFR האוטומטי של Microsoft ושיטות פריסה מתעדות אחרות של Microsoft.

האישורים נכללו ב- 13 במאי 2025, בעדכונים המצטברים (LCU) ואילך. עם זאת, הם אינם מוחלים באופן אוטומטי שלבים נוספים נדרשים. לקבלת הנחיות פריסה, ראה https://aka.ms/getsecureboot.

הם משרתים מטרות שונות.

עדכוני קושחה יכולים לעדכן את משתני האתחול המאובטח המוגדרים כברירת מחדל המאוחסנים בקושחה. אפשרות זו שימושית בעיקר אם הגדרות אתחול מאובטח מאופסות מאוחר יותר להגדרות ברירת המחדל מאחר שברירת המחדל של הקושחה קובעת אילו אישורים ישוחזרו בתרחיש זה.

Windows מחיל שינויים על משתני האתחול המאובטח הפעילים שנאכפים במהלך אתחול רגיל. משתנים פעילים אלה משמשים את הקושחה לאימות רכיבי אתחול ועל מה ש- Windows מסתמך עליו כדי לספק הגנות אתחול מאובטח עתידיות.

בפועל, Windows אחראי לשמירה על התצורה הפעילה של האתחול המאובטח. עדכוני קושחה עוזרים להבטיח כי ערכי ברירת המחדל יעודכנו גם הם, דבר שמצמצם את הסיכון אם אתחול מאובטח מאופס או מאותחל מחדש בעתיד.

מנהלי מערכת צריכים לוודא שמשתנה האתחול המאובטח הפעיל מתעדכנים ומנטרים את מצב הפריסה, בין אם ישנם עדכוני קושחה זמינים.

קיימים שני נתיבים אפשריים: 

• אם המחשב מנוהל על-ידי Microsoft עם נתוני אבחון משותפים ומערכת ההפעלה נתמכת, Microsoft מנסה לעדכן.

• אם המכשיר מנוהל על-ידי לקוח או מנוהל על-ידי מנהל IT, מחלקת ה- IT יכולה להחיל את העדכונים על קבוצת המחשבים המאומתת, העשויים לקבל עדכונים בבטחה לפי ההנחיות של Microsoft בנושא תפוגת אישור אתחול מאובטח של Windows ועדכונים של רשות אישורים.

שלבים אלה צפויה לטפל ברוב הלקוחות ללא צורך בעדכון קושחה של יצרני ציוד מקורי (OEM). עם זאת, יהיו מקרים מסוימים שבהם העדכונים לא יחולו עקב בעיות ידועות או לא ידועות בקושחת המכשיר. במקרים כאלה, בצע את ההנחיות של יצרן הציוד המקורי לגבי עדכוני קושחה. 

הערה התהליך לעיל מחיל את המשתנים הפעילים של האתחול המאובטח באמצעות מערכת ההפעלה. ערכי ברירת המחדל של קושחת האתחול המאובטח נשמרים בקושחה שפורסמה על-ידי יצרן הציוד המקורי. ההדרכה היא לא לשנות או לעדכן את תצורת האתחול המאובטח אלא אם יצרן הציוד המקורי הפיצה עדכון כדי לשנות את ברירות המחדל של הקושחה לאישורים החדשים.

 אם פג תוקפם של האישורים, ההגנה על אתחול מאובטח תיפגם. אם המערכת עומדת בדרישות עבור מערכת הפעלה חדשה יותר, כגון Windows 11, תוכל לשדרג לגירסת מערכת הפעלה חדשה יותר של Windows 11.  

אם אתחול מאובטח אינו זמין במכשירי Windows 10 LTSC, הם אינם נכללים בהפצה הנוכחית עבור אישורי האתחול המאובטח החדשים. כשתתחיל את השדרוג ל- Windows 11 LTSC, יהיה עליך לבצע את שלבי ההעברה הספציפיים הרלוונטיים בשלב זה כדי להבטיח שהאישורים החדשים של 2023 ייכללו.

רק גירסאות נתמכות של מערכת ההפעלה Windows יקבלו את האישורים. 

עבור Windows הפועל בסביבה וירטואלית, קיימות שתי שיטות להוספת האישורים החדשים למשתנהי הקושחה של האתחול המאובטח: 

• יוצר הסביבה הווירטואלית (AWS, Azure, Hyper-V, VMware וכדומה) יכול לספק עדכון עבור הסביבה ולכלול את האישורים החדשים בקושחה הווירטואלית. פעולה זו תותאם למכשירים וירטואליים חדשים.

• עבור Windows הפועל לטווח ארוך במחשב וירטואלי, ניתן להחיל את העדכונים באמצעות Windows כמו כל מכשיר אחר, אם הקושחה הווירטואלית תומכת בעדכונים של אתחול מאובטח.

לסביבות המנוהלות על-ידי לקוחות/IT אלה חסרים לעתים קרובות נתוני אבחון מספיקים ל- Microsoft כדי לפרוס תכונות חדשות בבטחה ובבטחה. בנוסף, מחלקות IT בדרך כלל מעדיפות לשמור על שליטה מלאה על תזמון העדכון ועל התוכן כדי להבטיח תאימות, יציבות ותאימות עם כלים פנימיים וזרימות עבודה. מכשירים ארגוניים רבים פועלים גם בסביבות רגישות או מוגבלות שבהן גישה או ניהול חיצוניים - משתמעים על-ידי CFR - עשויים להיות בלתי רצויים או אסורים.

אם Windows כבר משתמש במנהל האתחול החתום על-ידי 2023, אך הקושחה מאופסת להגדרות ברירת מחדל שאינן כוללות את אישור Windows UEFI CA 2023, אתחול מאובטח תחסום את תהליך האתחול. 

כדי לתקן זאת, עליך להחיל מחדש את אישור 2023 על מסד הנתונים של הקושחה באמצעות יישום השחזור. פעולה זו מתבצעת על-ידי יצירת USB לשחזור ולאחר מכן אתחול ההתקן המושפע מ- USB זה כדי לשחזר את האישור החסר. 

לקבלת הוראות מפורטות, ראה ההנחיות הרשמיות של Microsoft לעדכון מדיית התקנה של Windows. 

​​​​​​​כן. עדיין ניתן להחיל את העדכונים המצטברים המכילים את אישורי האתחול המאובטח החדשים גם אם פג תוקפם של האישורים הקיימים. אם המכשיר יכול לאתחל את Windows ולהתקין עדכונים, ניתן לכתוב את האישורים המעודכנים בקושחה על-ידי ביצוע הנחיות הפריסה שפורסמו. רוב המכשירים יקבלו עדכונים אלה באופן אוטומטי, אך מערכות מסוימות עשויות לדרוש עדכוני קושחה נוספים.