A biztonságos rendszerindítás frissítési folyamatával kapcsolatos gyakori kérdések

Hatókör
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Megjegyzés

  • Eredeti közzétételi dátum: 2025. szeptember 15-i kiadás
  • Tudásbáziscikk azonosítója: 5068008
Módosítási napló
Dátum módosítása Módosítás leírása
Február 23, 2026
  • Új GYIK hozzáadása az "Általános biztonságos rendszerindítás GYIK" részhez
Február 9, 2026
  • Új GYIK hozzáadása az "Ügyfél/IT által felügyelt rendszerek biztonságos rendszerindítása – gyakori kérdések" alatt
Február 3, 2026
  • A "Q4" áthelyezése "Q1" értékre az "Általános biztonságos rendszerindítási GYIK" területen, és frissítettük a tartalmat.
2026. január 12.
  • Tisztáztuk a viselkedést, amikor a tanúsítványok lejárnak a 4. negyedévben.

Biztonságos rendszerindítással kapcsolatos általános GYIK

1. kérdés: Mi történik, ha az eszközöm nem kapja meg az új biztonságos rendszerindítási tanúsítványokat a régiek lejárata előtt?

A biztonságos rendszerindítási tanúsítványok lejárata után az újabb, 2023-as tanúsítványokat nem kapó eszközök továbbra is a szokásos módon indulnak el és működnek, és a szokásos Windows-frissítések továbbra is települnek. Ezek az eszközök azonban a továbbiakban nem kapnak új biztonsági védelmet a korai rendszerindítási folyamathoz, beleértve a Windows rendszerindítás-kezelő frissítéseit, a biztonságos rendszerindítási adatbázisokat, a visszavonási listákat vagy az újonnan felfedezett rendszerindítási szintű biztonsági rések megoldásait.

Idővel ez korlátozza az eszköz védelmét a felmerülő fenyegetésekkel szemben, és hatással lehet a biztonságos rendszerindítási megbízhatóságra támaszkodó forgatókönyvekre, például a BitLocker-korlátozásra vagy harmadik féltől származó rendszerbetöltőkre. A legtöbb windowsos eszköz automatikusan megkapja a frissített tanúsítványokat, és számos OEM biztosít frissítéseket a belső vezérlőprogramjához, amikor szükséges. Ha naprakészen tartja eszközét ezekkel a frissítésekkel, azzal biztosítja, hogy továbbra is megkapja a biztonságos rendszerindítás által biztosított összes biztonsági védelmet.

2. kérdés: Mikor kell frissíteni a biztonságos rendszerindítási tanúsítványokat?

A biztonságos rendszerindítási tanúsítványokat jóval a 2026. júniusi lejárati dátum előtt érdemes frissíteni.

Ha az eszközt a Microsoft kezeli, és megosztja a diagnosztikai adatokat a Microsofttal, akkor a Microsoft a legtöbb esetben megkísérli automatikusan frissíteni a biztonságos rendszerindítási tanúsítványokat. Bár a Microsoft mindent megtesz a biztonságos rendszerindítás frissítése érdekében, előfordulhatnak olyan helyzetek, amikor a frissítés alkalmazása nem garantált, és az ügyfél beavatkozását igényli. A biztonságos rendszerindítási tanúsítványok frissítéséért végső soron az ügyfél a felelős.

Előfordulhat például, hogy a Microsoft által felügyelt eszközök, amelyeken engedélyezve vannak a diagnosztikai adatok, nem kapnak frissítéseket:

  • A Microsoft biztonságos rendszerindítási frissítései csak a Windows néhány, támogatott verziójára vonatkoznak.
  • Előfordulhat, hogy az eszközön engedélyezett diagnosztikai adatokat blokkolja a szervezet tűzfala, és azok nem érik el a Microsoftot.
  • Lehet, hogy valami probléma van az eszköz belső vezérlőprogramjával.

Megjegyzés Mit jelent "a Microsoft által kezelt" állapotú? A rendszer megosztja a diagnosztikai adatokat, és a Microsoft Cloud vagy az Intune kezeli.

Ha az eszköz nem oszt meg diagnosztikai adatokat a Microsofttal, és a szervezet informatikai részlege vagy az ügyfél kezeli, akkor az informatikai részleg frissítheti a rendszereket a Windows biztonságos rendszerindítási tanúsítványának lejárata és a hitelesítésszolgáltató frissítése című cikkben ismertetett Microsoft útmutatásait követve.

3. kérdés: Hogyan frissülnek a biztonságos rendszerindítási tanúsítványok?

Ha a számítógépet a Microsoft kezeli, a biztonságos rendszerindítási tanúsítványok a Windows Update-en keresztül frissülnek.

Ha a számítógépet a szervezete vagy az üzleti informatikai rendszergazda kezeli, akkor az informatikai részleg különböző módszereket kínál a rendszer frissítésére a Windows biztonságos rendszerindítási tanúsítványának lejárata és a hitelesítésszolgáltató frissítése című témakör útmutatása alapján.

4. kérdés: Mi történik a Windows 10 rendszerekkel a 2025. október 14-i kiterjesztett biztonsági frissítés (ESU) után?

A Windows 10 támogatása 2025. október 14-én megszűnik. További információ: A Windows 10 támogatása 2025. október 14-én megszűnik.

Ha ezen dátum után is meg szeretnék kapni a biztonsági Frissítéseket, a Windows 10-et használó ügyfelek regisztrálhatnak a következőkre:

Megjegyzés:

  • A Windows 10 Enterprise LTSC megvásárolható önálló termékváltozatként vagy a Windows Enterprise E3 előfizetés részeként.
  • A Windows IoT Enterprise LTSC megvásárolható közvetlenül egy OEM-től vagy szállítói licencen keresztül különálló termékváltozatként.
5. kérdés: Hogyan használhatók a biztonságos rendszerindítási tanúsítványok?

A biztonságos rendszerindítási tanúsítványok lehetővé teszik a belső vezérlőprogram számára annak ellenőrzését, hogy a kritikus összetevők – például rendszertöltés-vezérlők, beállítási ROM-ok (firmware-illesztőprogramok) és egyéb firmware-alapú szoftverek – megbízhatók-e, és azokat nem módosították-e. A Microsoft ezekkel a tanúsítványokkal aláírja a rendszerindítás-vezérlőket és más megbízható összetevőket, valamint a biztonságos rendszerindítási frissítéseket. Ha a régebbi tanúsítványok lejárnak, már nem használhatók új összetevők vagy frissítések aláírására.

6. kérdés: Milyen hatással van a letiltott biztonságos rendszerindítással rendelkező eszközökre?

A letiltott biztonságos rendszerindítással rendelkező eszközök nem kapják meg az új biztonságos rendszerindítási tanúsítványokat a belső vezérlőprogramban. Ennek eredményeképpen továbbra is sebezhetőek maradnak a rendszerindítási szintű kártevőkkel, például a bootkitekkel szemben, mivel a biztonságos rendszerindítás elleni védelem nincs kényszerítve.

7. kérdés: A Microsoft frissíti az összes biztonságos rendszerindítási tanúsítványt, beleértve a KEK és az adatbázis tanúsítványait?

A jogosult eszközök esetében – például azok, amelyek kumulatív frissítéseket kapnak konfidenciaalapú üzembe helyezésen keresztül, vagy amelyek engedélyezett diagnosztikai adatokkal rendelkeznek a szabályozott funkciók kibocsátására (CFR) – a Microsoft megkísérli frissíteni az összes vonatkozó tanúsítványt. Ezek a frissítések azonban segédként szolgálnak, nem pedig garanciáként. A rendszergazdák továbbra is felelősek maradnak azért, hogy a teljes flottájuk naprakész legyen a Microsoft automatizált CFR és más dokumentált telepítési módszerei segítségével.

8. kérdés: Mikor szállították ki a frissített 2023-as biztonságos rendszerindítási tanúsítványokat?

A tanúsítványok szerepeltek a 2025. május 13-i összegző frissítésekben (LCU) és az újabb kiadásokban. Alkalmazásuk azonban nem automatikus, hanem további lépésekre van szükség. A telepítéssel kapcsolatos útmutatásért lásd: https://aka.ms/getsecureboot.

9. kérdés: Mi a különbség a belső vezérlőprogram-frissítések és a Windows-frissítések között a biztonságos rendszerindítási tanúsítványok alkalmazásakor?

Különböző célokat szolgálnak.

A belsővezérlőprogram-frissítések frissíthetik a belső vezérlőprogramban tárolt alapértelmezett biztonságos rendszerindítási változókat. Ez elsősorban akkor hasznos, ha a biztonságos rendszerindítás beállításait később visszaállítja az alapértelmezett értékre, mivel a belső vezérlőprogram alapértelmezett beállításai határozzák meg, hogy ebben az esetben mely tanúsítványokat állítsa vissza a rendszer.

A Windows módosításokat hajt végre a normál rendszerindítás során érvényes aktív biztonságos rendszerindítási változókon. A belső vezérlőprogram ezeket az aktív változókat használja a rendszerindítási összetevők ellenőrzéséhez, és a Windows ezeket használja a jövőbeli biztonságos rendszerindítás védelmének biztosításához.

A gyakorlatban a Windows felelős az aktív biztonságos rendszerindítási konfiguráció naprakészen tartásáért. A belső vezérlőprogram frissítései biztosítják, hogy az alapértelmezett értékek is frissüljenek, ami csökkenti annak kockázatát, ha a biztonságos rendszerindítást a jövőben alaphelyzetbe állítják vagy újrainicializálják.

A rendszergazdáknak gondoskodniuk kell az aktív biztonságos rendszerindítási változók frissítéséről, és figyelniük kell a központi telepítés állapotát, függetlenül attól, hogy érhetők-e el belső vezérlőprogram-frissítések.

Ügyfél/informatikai felügyelt rendszerek biztonságos rendszerindítása – gyakori kérdések

1. kérdés: Mit lehet tenni annak érdekében, hogy a biztonságos rendszerindítás működőképes maradjon azokon a régebbi, ügyfelek vagy informatikai részleg által felügyelt számítógépeken, amelyek esetleg nem kapják meg a belső vezérlőprogram-frissítéseket az OEM-től?

Két lehetséges út lehetséges:

Ezek a lépések várhatóan a legtöbb ügyfél számára nyújtanak segítséget anélkül, hogy az OEM-ektől beszerezhető belső vezérlőprogram-frissítésre lenne szükség. Előfordulhatnak azonban olyan esetek, amikor a frissítések nem települnek az eszköz belső vezérlőprogramjának ismert vagy ismeretlen problémái miatt. Ilyen esetekben kövesse az OEM belső vezérlőprogramok frissítésére vonatkozó útmutatását.

Megjegyzés A fenti folyamat a biztonságos rendszerindítás aktív változóit alkalmazza az operációs rendszeren keresztül. A biztonságos rendszerindítási firmware alapértelmezett értékeit az OEM által kiadott belső vezérlőprogram tartja fenn. Az útmutatás az, hogy ne módosítsa vagy frissítse a biztonságos rendszerindítás konfigurációját, kivéve, ha az OEM kiadott egy frissítést a belső vezérlőprogram alapértelmezett beállításainak új tanúsítványokra való módosítására.

2. kérdés: Ha a számítógép lejárt biztonságos rendszerindítási tanúsítványokkal rendelkezik, lehetséges lesz a Windows új verziójának telepítése?

Ha a tanúsítványok lejárnak, a biztonságos rendszerindítás elleni védelem teljesítménye csökken. Ha a rendszer megfelel egy újabb operációs rendszerre, például a Windows 11-re vonatkozó követelményeknek, frissíthet a Windows 11 újabb operációsrendszer-verziójára.

3. kérdés: Mi történik, ha a tanúsítvány lejárati dátumai után egy Windows 10 LTSC rendszerű számítógépet frissítenek Windows 10 LTSC rendszerre a biztonságos rendszerindítás engedélyezése nélkül?

Ha a biztonságos rendszerindítás nincs engedélyezve a Windows 10 LTSC-eszközökön, akkor azok nem szerepelnek az új biztonságos rendszerindítási tanúsítványok jelenlegi bevezetésében. A Windows 11 LTSC-re való frissítés megkezdésekor az adott időpontra vonatkozó áttelepítési lépéseket kell követnie annak érdekében, hogy az új 2023-as tanúsítványok szerepeljenek a csomagban.

4. kérdés: A Windows már nem támogatott verziói letöltik a frissített tanúsítványokat?

Csak a Windows operációs rendszer támogatott verziói kapják meg a tanúsítványokat.

5. kérdés: Hogyan működnek a virtualizált környezetek a biztonságos rendszerindítási tanúsítvány frissítéseivel?

Virtuális környezetben futó Windows esetén kétféleképpen lehet hozzáadni az új tanúsítványokat a biztonságos rendszerindítás belsővezérlőprogram-változóihoz:

  • A virtuális környezet (AWS, Azure, Hyper-V, VMware stb.) létrehozója biztosíthatja a környezet frissítését, és beépítheti az új tanúsítványokat a virtualizált belső vezérlőprogramba. Ez új virtualizált eszközökön működik.
  • A virtuális gépen hosszú távon futó Windows esetén a frissítések más eszközökhöz hasonlóan a Windowson keresztül is alkalmazhatók, ha a virtualizált belső vezérlőprogram támogatja a biztonságos rendszerindítás frissítéseit.
6. kérdés: Miért nem tud a Microsoft üzembe helyezni a vállalati/informatikai felügyelt flottámban a Microsoft által felügyelt rendszerekben használt Controlled Feature Rollout (CFR) használatával?

Ezekben az ügyfelek/informatikai részleg által felügyelt környezetekben gyakran nincs elegendő diagnosztikai adat ahhoz, hogy a Microsoft magabiztosan és biztonságosan vezesse be az új funkciókat. Emellett az informatikai részlegek jellemzően teljes mértékben kézben tartják a frissítések időzítését és tartalmát, hogy biztosíthassák a megfelelőséget, a stabilitást, valamint a belső eszközökkel és munkafolyamatokkal való kompatibilitást. Számos vállalati eszköz bizalmas vagy korlátozott környezetekben is működik, ahol a külső hozzáférés vagy kezelés – a CFR feltételezése szerint – nemkívánatos vagy tilos lehet.

7. kérdés: Az eszköz rendszerindítása leállt, miután visszaállítottam a belső vezérlőprogram alapértelmezett beállításait – mi történt, és hogyan javíthatom ki?

Ha a Windows már a 2023-ban aláírt rendszerindítás-kezelőt használja, de a belső vezérlőprogram alapértelmezett értékre áll vissza, amely nem tartalmazza a Windows UEFI CA 2023 tanúsítványt, a biztonságos rendszerindítás blokkolja a rendszerindítási folyamatot.

A probléma megoldásához újra alkalmaznia kell a 2023-as tanúsítványt a belső vezérlőprogram adatbázisára a helyreállítási alkalmazás használatával. Ez úgy történik, hogy létrehoz egy helyreállítási USB-t, majd elindítja az érintett eszközt arról a hiányzó tanúsítvány visszaállításához.

Részletes útmutatásért lásd a Microsoft hivatalos útmutatóját a Windows telepítési adathordozójának frissítéséhez.

8. kérdés: Ha az eszközön lévő biztonságos rendszerindítási tanúsítványok már lejártak, továbbra is kaphatok frissített tanúsítványokat?

Igen. Az új biztonságos rendszerindítási tanúsítványokat tartalmazó összegző frissítések akkor is alkalmazhatók, ha a meglévő tanúsítványok lejártak. Ha az eszköz el tudja indítani a Windowst, és telepíteni tudja a frissítéseket, akkor a frissített tanúsítványok a belső vezérlőprogramba írhatók a közzétett központi telepítési útmutatót követve. A legtöbb eszköz automatikusan megkapja ezeket a frissítéseket, de egyes rendszereknél további belső vezérlőprogram-frissítésekre lehet szükség.