חל על
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

תאריך פרסום מקורי: (26 ביוני 2025)

מזהה KB: 5062710

שנה תאריך

שינוי תיאור

10 בנובמבר 2025

תוקן שתי שגיאות הקלדה תחת "New Certificate":

  • מ- Microsoft Corporation KEK CA 2023 ל- "Microsoft Corporation KEK 2K CA 2023"

  • מ- Microsoft Option ROM CA 2023 ל- "Microsoft Option ROM UEFI CA 2023"

מהו אתחול מאובטח?

אתחול מאובטח הוא תכונת אבטחה בקושחה מבוססת ממשק קושחה מורחב מאוחד (UEFI) שמסייעת להבטיח שרק תוכנה מהימנה פועלת במהלך רצף אתחול (התחלה) של מכשיר. היא פועלת על-ידי אימות החתימה הדיגיטלית של תוכנת קדם-אתחול מול קבוצה של אישורים דיגיטליים מהימנים (המכונה גם רשות אישורים או רשות אישורים) המאוחסנת בקושחה של המכשיר. כתקן בתעשייה, אתחול מאובטח של UEFI מגדיר כיצד קושחת הפלטפורמה מנהלת את האישורים, מאמתת קושחה ואת האופן שבו ממשקי מערכת ההפעלה (OS) משתמשים בתהליך זה. לקבלת פרטים נוספים על UEFI ואתחול מאובטח, ראה אתחול מאובטח.

אתחול מאובטח הוצג לראשונה ב- Windows 8 כדי להגן מפני תוכנות זדוניות מתפתחות של אתחול מראש (שנקראות גם bootkit) בשלב זה. כחלק מאתחול הפלטפורמה, אתחול מאובטח מאמת מודולי קושחה לפני הביצוע. מודולים אלה כוללים מנהלי התקנים של קושחה של UEFI (כגון Option ROMs), טוען אתחול ויישומים. כצעד הסופי של תהליך האתחול המאובטח, הקושחה מאמתת אם אתחול מאובטח נותן אמון בטען האתחול. לאחר מכן, הקושחה מעבירה את השליטה לטעינה של האתחול, אשר מאמת, נטען בזיכרון ומתחילה את מערכת ההפעלה Windows.

אתחול מאובטח מגדיר קוד מהימן באמצעות מדיניות קושחה שהוגדרה במהלך הייצור. שינויים במדיניות זו, כגון הוספה או ביטול של אישורים, נשלטים על-ידי הירארכיה של מפתחות. הירארכיה זו מתחילה במפתח הפלטפורמה (PK), בדרך כלל בבעלות יצרן החומרה ואחריו מפתח הרשמת המפתח (KEK) (המכונה גם מפתח חילופי מפתח), שעשוי לכלול KEK של Microsoft ו- OEM KEK אחרים. מסד הנתונים של החתימות המותרות (DB) ומסד הנתונים של חתימות אסורות (DBX) קובעים איזה קוד יכול לפעול בסביבת UEFI לפני הפעלת מערכת ההפעלה. מסד הנתונים כולל אישורים המנוהלות על-ידי Microsoft וה- OEM, בעוד ש- DBX מתעדכן על-ידי Microsoft עם הביטוליים האחרונים. כל ישות עם KEK יכולה לעדכן את מסד הנתונים ואת DBX.

תוקפם של אישורי אתחול מאובטח של Windows פג ב- 2026

מאז ש- Windows הציג תמיכה באתחול מאובטח, כל המכשירים המבוססים על Windows נשאו את אותה ערכה של אישורי Microsoft ב- KEK וב- DB. אישורים מקוריים אלה קרובים לתאריך התפוגה שלהם, והמכשיר שלך מושפע אם יש לו אחת מגרסאות האישור הרשומות. כדי להמשיך להפעיל את Windows ולקבל עדכונים רגילים עבור תצורת האתחול המאובטח שלך, יהיה עליך לעדכן אישורים אלה.

מינוח

  • אני לא יכול לעשות את זה. מפתח הרשמה

  • רשות אישורים: רשות אישורים

  • מסד נתונים: מסד נתונים של חתימת אתחול מאובטח

  • DBX: מסד נתונים של חתימה בוטל של אתחול מאובטח

אישור שתוקפו עומד לפוג

‏‏תאריך תפוגה

אישור חדש

מיקום אחסון

תכלית

Microsoft Corporation KEK CA 2011

26 ביוני 2026

Microsoft Corporation KEK 2K CA 2023

מאוחסן ב- KEK

חותם על עדכונים ל- DB ול- DBX.

Microsoft Windows Production PCA 2011

הפצה ב- 10 באוקטובר 2026

Windows UEFI CA 2023

מאוחסן ב- DB

משמש לחתימה על טוען האתחול של Windows.

Microsoft UEFI CA 2011*

26 ביוני 2026

Microsoft UEFI CA 2023

מאוחסן ב- DB

חותם על נטעני אתחול של ספקים חיצוניים ואפליקציות EFI.

Microsoft UEFI CA 2011*

26 ביוני 2026

Microsoft Option ROM UEFI CA 2023

מאוחסן ב- DB

חותם על הודעות ROMs של ספקים חיצוניים

*במהלך החידוש של אישור UEFI CA 2011 של Microsoft Corporation, שני אישורים מפרידים בין חתימת טוען האתחול לחתימה על אפשרות ROM. הדבר מאפשר שליטה טובה יותר באמנים של המערכת. לדוגמה, מערכות שיש לתת אמון באפשרות ROMs יכולות להוסיף את Microsoft Option ROM UEFI CA 2023 מבלי להוסיף אמון עבור נטעני אתחול של ספקים חיצוניים.

Microsoft פרסמה אישורים מעודכנים כדי להבטיח המשכיות של הגנת אתחול מאובטח במכשירי Windows. Microsoft תנהל את תהליך העדכון עבור אישורים חדשים אלה בחלק משמעותי של מכשירי Windows. בנוסף, נציע הדרכה מפורטת עבור ארגונים שמנהלים את עדכוני המכשיר שלהם.

חשוב כאשר פג תוקף התמיכה של 2011, מכשירי Windows שאין להם אישורי 2023 חדשים אינם יכולים עוד לקבל תיקוני אבטחה עבור רכיבי קדם-אתחול שמפשרים על אבטחת האתחול של Windows.

קריאה לפעולה

ייתכן שתצטרך לבצע פעולה כדי להבטיח שמכשיר Windows יישאר מאובטח כאשר תוקפם של האישורים יפוג ב- 2026. יש לעדכן גם את UEFI Secure Boot DB וגם את KEK בגירסאות האישור החדשות המתאימות של 2023. לקבלת מידע נוסף אודות האישורים החדשים, ראה הדרכה ליצירה וניהול של מפתח אתחול מאובטח של Windows

חשוב ללא עדכונים, מכשירי Windows התומכים באתחול המאובטח מסתכנת שלא לקבל עדכוני אבטחה או מתן אמון בטעינה של אתחול חדש אשר יתפשרו הן על שירות והן באבטחה.

הפעולות שלך ישתנו בהתאם לסוג מכשיר Windows שברשותך. בחר מהתפריט בצד ימין עבור סוג המכשיר ופעולה ספציפית שעליך לבצע.  

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות