Megjegyzés
- Eredeti közzétételi dátum: 2025. szeptember 15-i kiadás
- Tudásbáziscikk azonosítója: 5068008
Módosítási napló
| Dátum módosítása | Módosítás leírása |
|---|---|
| Február 23, 2026 |
|
| Február 9, 2026 |
|
| Február 3, 2026 |
|
| 2026. január 12. |
|
Biztonságos rendszerindítással kapcsolatos általános GYIK
1. kérdés: Mi történik, ha az eszközöm nem kapja meg az új biztonságos rendszerindítási tanúsítványokat a régiek lejárata előtt?
A biztonságos rendszerindítási tanúsítványok lejárata után az újabb, 2023-as tanúsítványokat nem kapó eszközök továbbra is a szokásos módon indulnak el és működnek, és a szokásos Windows-frissítések továbbra is települnek. Ezek az eszközök azonban a továbbiakban nem kapnak új biztonsági védelmet a korai rendszerindítási folyamathoz, beleértve a Windows rendszerindítás-kezelő frissítéseit, a biztonságos rendszerindítási adatbázisokat, a visszavonási listákat vagy az újonnan felfedezett rendszerindítási szintű biztonsági rések megoldásait.
Idővel ez korlátozza az eszköz védelmét a felmerülő fenyegetésekkel szemben, és hatással lehet a biztonságos rendszerindítási megbízhatóságra támaszkodó forgatókönyvekre, például a BitLocker-korlátozásra vagy harmadik féltől származó rendszerbetöltőkre. A legtöbb windowsos eszköz automatikusan megkapja a frissített tanúsítványokat, és számos OEM biztosít frissítéseket a belső vezérlőprogramjához, amikor szükséges. Ha naprakészen tartja eszközét ezekkel a frissítésekkel, azzal biztosítja, hogy továbbra is megkapja a biztonságos rendszerindítás által biztosított összes biztonsági védelmet.
2. kérdés: Mikor kell frissíteni a biztonságos rendszerindítási tanúsítványokat?
A biztonságos rendszerindítási tanúsítványokat jóval a 2026. júniusi lejárati dátum előtt érdemes frissíteni.
Ha az eszközt a Microsoft kezeli, és megosztja a diagnosztikai adatokat a Microsofttal, akkor a Microsoft a legtöbb esetben megkísérli automatikusan frissíteni a biztonságos rendszerindítási tanúsítványokat. Bár a Microsoft mindent megtesz a biztonságos rendszerindítás frissítése érdekében, előfordulhatnak olyan helyzetek, amikor a frissítés alkalmazása nem garantált, és az ügyfél beavatkozását igényli. A biztonságos rendszerindítási tanúsítványok frissítéséért végső soron az ügyfél a felelős.
Előfordulhat például, hogy a Microsoft által felügyelt eszközök, amelyeken engedélyezve vannak a diagnosztikai adatok, nem kapnak frissítéseket:
- A Microsoft biztonságos rendszerindítási frissítései csak a Windows néhány, támogatott verziójára vonatkoznak.
- Előfordulhat, hogy az eszközön engedélyezett diagnosztikai adatokat blokkolja a szervezet tűzfala, és azok nem érik el a Microsoftot.
- Lehet, hogy valami probléma van az eszköz belső vezérlőprogramjával.
Megjegyzés Mit jelent "a Microsoft által kezelt" állapotú? A rendszer megosztja a diagnosztikai adatokat, és a Microsoft Cloud vagy az Intune kezeli.
Ha az eszköz nem oszt meg diagnosztikai adatokat a Microsofttal, és a szervezet informatikai részlege vagy az ügyfél kezeli, akkor az informatikai részleg frissítheti a rendszereket a Windows biztonságos rendszerindítási tanúsítványának lejárata és a hitelesítésszolgáltató frissítése című cikkben ismertetett Microsoft útmutatásait követve.
3. kérdés: Hogyan frissülnek a biztonságos rendszerindítási tanúsítványok?
Ha a számítógépet a Microsoft kezeli, a biztonságos rendszerindítási tanúsítványok a Windows Update-en keresztül frissülnek.
Ha a számítógépet a szervezete vagy az üzleti informatikai rendszergazda kezeli, akkor az informatikai részleg különböző módszereket kínál a rendszer frissítésére a Windows biztonságos rendszerindítási tanúsítványának lejárata és a hitelesítésszolgáltató frissítése című témakör útmutatása alapján.
4. kérdés: Mi történik a Windows 10 rendszerekkel a 2025. október 14-i kiterjesztett biztonsági frissítés (ESU) után?
A Windows 10 támogatása 2025. október 14-én megszűnik. További információ: A Windows 10 támogatása 2025. október 14-én megszűnik.
Ha ezen dátum után is meg szeretnék kapni a biztonsági Frissítéseket, a Windows 10-et használó ügyfelek regisztrálhatnak a következőkre:
- A Windows 10 Meghosszabbított biztonsági Frissítések (ESU) programjával kapcsolatban lásd: Windows 10 Meghosszabbított biztonsági Frissítések (ESU) program
- Ha Ön a Windows 10 támogatott LTSC-verziójával rendelkezik, akkor az továbbra is megkapja a biztonsági Frissítéseket az LTSC lejárati dátumáig. Lásd például a Meghosszabbított biztonsági Frissítések (ESU) programot a Windows 10-hez
Megjegyzés:
- A Windows 10 Enterprise LTSC megvásárolható önálló termékváltozatként vagy a Windows Enterprise E3 előfizetés részeként.
- A Windows IoT Enterprise LTSC megvásárolható közvetlenül egy OEM-től vagy szállítói licencen keresztül különálló termékváltozatként.
5. kérdés: Hogyan használhatók a biztonságos rendszerindítási tanúsítványok?
A biztonságos rendszerindítási tanúsítványok lehetővé teszik a belső vezérlőprogram számára annak ellenőrzését, hogy a kritikus összetevők – például rendszertöltés-vezérlők, beállítási ROM-ok (firmware-illesztőprogramok) és egyéb firmware-alapú szoftverek – megbízhatók-e, és azokat nem módosították-e. A Microsoft ezekkel a tanúsítványokkal aláírja a rendszerindítás-vezérlőket és más megbízható összetevőket, valamint a biztonságos rendszerindítási frissítéseket. Ha a régebbi tanúsítványok lejárnak, már nem használhatók új összetevők vagy frissítések aláírására.
6. kérdés: Milyen hatással van a letiltott biztonságos rendszerindítással rendelkező eszközökre?
A letiltott biztonságos rendszerindítással rendelkező eszközök nem kapják meg az új biztonságos rendszerindítási tanúsítványokat a belső vezérlőprogramban. Ennek eredményeképpen továbbra is sebezhetőek maradnak a rendszerindítási szintű kártevőkkel, például a bootkitekkel szemben, mivel a biztonságos rendszerindítás elleni védelem nincs kényszerítve.
7. kérdés: A Microsoft frissíti az összes biztonságos rendszerindítási tanúsítványt, beleértve a KEK és az adatbázis tanúsítványait?
A jogosult eszközök esetében – például azok, amelyek kumulatív frissítéseket kapnak konfidenciaalapú üzembe helyezésen keresztül, vagy amelyek engedélyezett diagnosztikai adatokkal rendelkeznek a szabályozott funkciók kibocsátására (CFR) – a Microsoft megkísérli frissíteni az összes vonatkozó tanúsítványt. Ezek a frissítések azonban segédként szolgálnak, nem pedig garanciáként. A rendszergazdák továbbra is felelősek maradnak azért, hogy a teljes flottájuk naprakész legyen a Microsoft automatizált CFR és más dokumentált telepítési módszerei segítségével.
8. kérdés: Mikor szállították ki a frissített 2023-as biztonságos rendszerindítási tanúsítványokat?
A tanúsítványok szerepeltek a 2025. május 13-i összegző frissítésekben (LCU) és az újabb kiadásokban. Alkalmazásuk azonban nem automatikus, hanem további lépésekre van szükség. A telepítéssel kapcsolatos útmutatásért lásd: https://aka.ms/getsecureboot.
9. kérdés: Mi a különbség a belső vezérlőprogram-frissítések és a Windows-frissítések között a biztonságos rendszerindítási tanúsítványok alkalmazásakor?
Különböző célokat szolgálnak.
A belsővezérlőprogram-frissítések frissíthetik a belső vezérlőprogramban tárolt alapértelmezett biztonságos rendszerindítási változókat. Ez elsősorban akkor hasznos, ha a biztonságos rendszerindítás beállításait később visszaállítja az alapértelmezett értékre, mivel a belső vezérlőprogram alapértelmezett beállításai határozzák meg, hogy ebben az esetben mely tanúsítványokat állítsa vissza a rendszer.
A Windows módosításokat hajt végre a normál rendszerindítás során érvényes aktív biztonságos rendszerindítási változókon. A belső vezérlőprogram ezeket az aktív változókat használja a rendszerindítási összetevők ellenőrzéséhez, és a Windows ezeket használja a jövőbeli biztonságos rendszerindítás védelmének biztosításához.
A gyakorlatban a Windows felelős az aktív biztonságos rendszerindítási konfiguráció naprakészen tartásáért. A belső vezérlőprogram frissítései biztosítják, hogy az alapértelmezett értékek is frissüljenek, ami csökkenti annak kockázatát, ha a biztonságos rendszerindítást a jövőben alaphelyzetbe állítják vagy újrainicializálják.
A rendszergazdáknak gondoskodniuk kell az aktív biztonságos rendszerindítási változók frissítéséről, és figyelniük kell a központi telepítés állapotát, függetlenül attól, hogy érhetők-e el belső vezérlőprogram-frissítések.
Ügyfél/informatikai felügyelt rendszerek biztonságos rendszerindítása – gyakori kérdések
1. kérdés: Mit lehet tenni annak érdekében, hogy a biztonságos rendszerindítás működőképes maradjon azokon a régebbi, ügyfelek vagy informatikai részleg által felügyelt számítógépeken, amelyek esetleg nem kapják meg a belső vezérlőprogram-frissítéseket az OEM-től?
Két lehetséges út lehetséges:
- Ha a számítógépet a Microsoft kezeli, és megosztott diagnosztikai adatokat használ, és az operációs rendszer támogatott, a Microsoft megkísérli a frissítést.
- Ha az eszközt ügyfél vagy rendszergazda felügyeli, akkor az informatikai részleg alkalmazhatja a frissítéseket a Windows biztonságos rendszerindítási tanúsítványának lejáratára és a hitelesítésszolgáltató frissítéseire vonatkozó Microsoft-útmutatások szerint, amelyek biztonságosan képesek frissítéseket végezni.
Ezek a lépések várhatóan a legtöbb ügyfél számára nyújtanak segítséget anélkül, hogy az OEM-ektől beszerezhető belső vezérlőprogram-frissítésre lenne szükség. Előfordulhatnak azonban olyan esetek, amikor a frissítések nem települnek az eszköz belső vezérlőprogramjának ismert vagy ismeretlen problémái miatt. Ilyen esetekben kövesse az OEM belső vezérlőprogramok frissítésére vonatkozó útmutatását.
Megjegyzés A fenti folyamat a biztonságos rendszerindítás aktív változóit alkalmazza az operációs rendszeren keresztül. A biztonságos rendszerindítási firmware alapértelmezett értékeit az OEM által kiadott belső vezérlőprogram tartja fenn. Az útmutatás az, hogy ne módosítsa vagy frissítse a biztonságos rendszerindítás konfigurációját, kivéve, ha az OEM kiadott egy frissítést a belső vezérlőprogram alapértelmezett beállításainak új tanúsítványokra való módosítására.
2. kérdés: Ha a számítógép lejárt biztonságos rendszerindítási tanúsítványokkal rendelkezik, lehetséges lesz a Windows új verziójának telepítése?
Ha a tanúsítványok lejárnak, a biztonságos rendszerindítás elleni védelem teljesítménye csökken. Ha a rendszer megfelel egy újabb operációs rendszerre, például a Windows 11-re vonatkozó követelményeknek, frissíthet a Windows 11 újabb operációsrendszer-verziójára.
3. kérdés: Mi történik, ha a tanúsítvány lejárati dátumai után egy Windows 10 LTSC rendszerű számítógépet frissítenek Windows 10 LTSC rendszerre a biztonságos rendszerindítás engedélyezése nélkül?
Ha a biztonságos rendszerindítás nincs engedélyezve a Windows 10 LTSC-eszközökön, akkor azok nem szerepelnek az új biztonságos rendszerindítási tanúsítványok jelenlegi bevezetésében. A Windows 11 LTSC-re való frissítés megkezdésekor az adott időpontra vonatkozó áttelepítési lépéseket kell követnie annak érdekében, hogy az új 2023-as tanúsítványok szerepeljenek a csomagban.
4. kérdés: A Windows már nem támogatott verziói letöltik a frissített tanúsítványokat?
Csak a Windows operációs rendszer támogatott verziói kapják meg a tanúsítványokat.
5. kérdés: Hogyan működnek a virtualizált környezetek a biztonságos rendszerindítási tanúsítvány frissítéseivel?
Virtuális környezetben futó Windows esetén kétféleképpen lehet hozzáadni az új tanúsítványokat a biztonságos rendszerindítás belsővezérlőprogram-változóihoz:
- A virtuális környezet (AWS, Azure, Hyper-V, VMware stb.) létrehozója biztosíthatja a környezet frissítését, és beépítheti az új tanúsítványokat a virtualizált belső vezérlőprogramba. Ez új virtualizált eszközökön működik.
- A virtuális gépen hosszú távon futó Windows esetén a frissítések más eszközökhöz hasonlóan a Windowson keresztül is alkalmazhatók, ha a virtualizált belső vezérlőprogram támogatja a biztonságos rendszerindítás frissítéseit.
6. kérdés: Miért nem tud a Microsoft üzembe helyezni a vállalati/informatikai felügyelt flottámban a Microsoft által felügyelt rendszerekben használt Controlled Feature Rollout (CFR) használatával?
Ezekben az ügyfelek/informatikai részleg által felügyelt környezetekben gyakran nincs elegendő diagnosztikai adat ahhoz, hogy a Microsoft magabiztosan és biztonságosan vezesse be az új funkciókat. Emellett az informatikai részlegek jellemzően teljes mértékben kézben tartják a frissítések időzítését és tartalmát, hogy biztosíthassák a megfelelőséget, a stabilitást, valamint a belső eszközökkel és munkafolyamatokkal való kompatibilitást. Számos vállalati eszköz bizalmas vagy korlátozott környezetekben is működik, ahol a külső hozzáférés vagy kezelés – a CFR feltételezése szerint – nemkívánatos vagy tilos lehet.
7. kérdés: Az eszköz rendszerindítása leállt, miután visszaállítottam a belső vezérlőprogram alapértelmezett beállításait – mi történt, és hogyan javíthatom ki?
Ha a Windows már a 2023-ban aláírt rendszerindítás-kezelőt használja, de a belső vezérlőprogram alapértelmezett értékre áll vissza, amely nem tartalmazza a Windows UEFI CA 2023 tanúsítványt, a biztonságos rendszerindítás blokkolja a rendszerindítási folyamatot.
A probléma megoldásához újra alkalmaznia kell a 2023-as tanúsítványt a belső vezérlőprogram adatbázisára a helyreállítási alkalmazás használatával. Ez úgy történik, hogy létrehoz egy helyreállítási USB-t, majd elindítja az érintett eszközt arról a hiányzó tanúsítvány visszaállításához.
Részletes útmutatásért lásd a Microsoft hivatalos útmutatóját a Windows telepítési adathordozójának frissítéséhez.
8. kérdés: Ha az eszközön lévő biztonságos rendszerindítási tanúsítványok már lejártak, továbbra is kaphatok frissített tanúsítványokat?
Igen. Az új biztonságos rendszerindítási tanúsítványokat tartalmazó összegző frissítések akkor is alkalmazhatók, ha a meglévő tanúsítványok lejártak. Ha az eszköz el tudja indítani a Windowst, és telepíteni tudja a frissítéseket, akkor a frissített tanúsítványok a belső vezérlőprogramba írhatók a közzétett központi telepítési útmutatót követve. A legtöbb eszköz automatikusan megkapja ezeket a frissítéseket, de egyes rendszereknél további belső vezérlőprogram-frissítésekre lehet szükség.