A biztonságos rendszerindítás frissítési folyamatával kapcsolatos gyakori kérdések

A legjobb, ha jóval a 2026. júniusi lejárati dátum előtt frissíti a biztonságos rendszerindítási tanúsítványokat. 

Ha az eszközt a Microsoft felügyeli, és diagnosztikai adatokat oszt meg a Microsofttal, akkor a Microsoft a legtöbb esetben automatikusan megpróbálja frissíteni a biztonságos rendszerindítási tanúsítványokat. Bár a Microsoft minden megtesz a biztonságos rendszerindítás frissítéséhez, előfordulhatnak olyan helyzetek, amikor a frissítés nem garantáltan érvényes, és az ügyfél beavatkozására lesz szükség. Végső soron az ügyfél felelős a biztonságos rendszerindítási tanúsítványok frissítéséért. 

Néhány példa azokra a helyzetekre, amikor a megosztott diagnosztikai adatokat tartalmazó Microsoft által felügyelt eszközök nem frissülnek: 

• A Microsoft biztonságos rendszerindítási frissítései csak a Windows néhány támogatott verzióján működnek.

• Az eszközön engedélyezett diagnosztikai adatokat blokkolhatja a szervezet tűzfala, és nem érheti el a Microsoftot.

• Lehet, hogy valami probléma van az eszközön lévő belső vezérlőprogrammal.

Megjegyzés Mit jelent az, hogy "a Microsoft felügyeli"? A rendszer diagnosztikai adatokat oszt meg, és a Microsoft Cloud vagy az Intune felügyeli. 

Ha az eszköz nem oszt meg diagnosztikai adatokat a Microsofttal, és a szervezet informatikai részlege vagy az ügyfél kezeli, akkor az informatikai részleg frissítheti a rendszereket a Windows biztonságos rendszerindítási tanúsítványának lejáratával és a hitelesítésszolgáltató frissítéseivel kapcsolatos Microsoft-útmutató alapján.

Ha a számítógépet a Microsoft felügyeli, a biztonságos rendszerindítási tanúsítványok Windows Update keresztül frissülnek.  

Ha a számítógépet a szervezet vagy az üzleti informatikai rendszergazda felügyeli, akkor az informatikai részleg a Windows biztonságos rendszerindítási tanúsítványának lejáratával és a hitelesítésszolgáltató frissítéseivel kapcsolatos útmutató segítségével frissítheti a rendszert. 

A számítógép továbbra is normál módon indítja el a Windowst, még akkor is, ha a biztonságos rendszerindítási tanúsítványok nincsenek frissítve.  
A számítógép végül nem kap bizonyos Windows biztonsági frissítéseket a Microsofttól, beleértve a Rendszerindítás-kezelőt és a Biztonságos rendszerindítási összetevő biztonsági frissítéseit. Ezzel az eszköz olyan BootKits veszélyének lesz kitéve, amelyek teljes mértékben átvehetik a számítógép irányítását.

Windows 10 támogatása 2025. október 14-én megszűnik. További információ: Windows 10 támogatás 2025. október 14-én megszűnik. 

Ha a biztonsági Frissítések ezen dátum után is meg szeretné kapni, a Windows 10 maradó ügyfelek regisztrálhatnak a következőre: 

• A kiterjesztett biztonsági Frissítések (ESU) program Windows 10 lásd: Windows 10 Kiterjesztett biztonsági Frissítések (ESU) program

• Vagy ha a Windows 10 támogatott LTSC-verziójával rendelkezik, a biztonsági Frissítések az LTSC lejárati dátumáig továbbra is megkapja. Lásd például a kiterjesztett biztonsági Frissítések (ESU) program Windows 10

Megjegyzés

• Windows 10 Enterprise LTSC megvásárolható önálló termékváltozatként vagy Egy Windows Enterprise E3-előfizetés részeként.

• A Windows IoT Enterprise LTSC közvetlenül oem-től vagy szállítói licenccel vásárolható meg önálló termékváltozatként.

Két lehetséges elérési út létezik: 

• Ha a számítógépet a Microsoft kezeli megosztott diagnosztikai adatokkal, és az operációs rendszer támogatott, a Microsoft megkísérli a frissítést.

• Ha az eszközt egy rendszergazda felügyeli vagy felügyeli az ügyfél, akkor az informatikai részleg alkalmazhatja azokat a frissítéseket az ellenőrzött számítógépeken, amelyek a Windows biztonságos rendszerindítási tanúsítványának lejáratával és a hitelesítésszolgáltató frissítéseivel kapcsolatos Microsoft-útmutatónak megfelelően biztonságosan elvégezhetik a frissítéseket.

Ezek a lépések várhatóan a legtöbb ügyfelet érintik anélkül, hogy belsővezérlőprogram-frissítést kellene telepíteniük az OEM-ekről. Vannak azonban olyan esetek, amikor a frissítések nem alkalmazhatók az eszköz belső vezérlőprogramjának ismert vagy ismeretlen problémái miatt. Ilyen esetekben kövesse az OEM belső vezérlőprogram-frissítésekkel kapcsolatos útmutatóját. 

Megjegyzés A fenti folyamat a Biztonságos rendszerindítás aktív változóit alkalmazza az operációs rendszeren keresztül. A biztonságos rendszerindítási belső vezérlőprogram alapértelmezett értékeit az OEM által kiadott belső vezérlőprogram tartja karban. Az útmutató azt ismerteti, hogy a biztonságos rendszerindítási konfiguráció nem módosítható vagy frissíthető, kivéve, ha az OEM kiadott egy frissítést, amely a belső vezérlőprogram alapértelmezett beállításait az új tanúsítványokra módosítja.

 Ha a tanúsítványok lejárnak, a biztonságos rendszerindítás elleni védelem csökkentett teljesítményű lesz. Ha a rendszer megfelel egy újabb operációs rendszer, például a Windows 11 követelményeinek, frissíthet a Windows 11 újabb operációsrendszer-verziójára.  

Ha a biztonságos rendszerindítás nincs engedélyezve az Windows 10 LTSC-eszközökön, azok nem szerepelnek az új biztonságos rendszerindítási tanúsítványok aktuális bevezetésében. Amikor megkezdi a Windows 11 LTSC-re való frissítést, az adott időpontban szükséges áttelepítési lépéseket kell követnie, hogy az új 2023-tanúsítványokat is tartalmazza.

Csak a támogatott Windows operációsrendszer-verziók kapják meg a tanúsítványokat. 

A tanúsítványok lejárata után az eszköz továbbra is változatlanul indul, de az eszköz nem kap biztonsági frissítéseket a rendszerindítás-kezelőhöz és a biztonságos rendszerindítási összetevőkhöz. Ez a teljes eszközre ki lesz téve a "bootkit" kártevők veszélyének, amelyek az eszköz biztonságának minden aspektusára hatással lehetnek.

A virtuális környezetben futó Windows esetében két módszer létezik az új tanúsítványok hozzáadására a biztonságos rendszerindítási belső vezérlőprogram változóihoz: 

• A virtuális környezet létrehozója (AWS, Azure, Hyper-V, VMware stb.) frissítheti a környezetet, és belefoglalhatja az új tanúsítványokat a virtualizált belső vezérlőprogramba. Ez az új virtualizált eszközök esetében működik.

• A virtuális gépen hosszú távon futó Windows esetén a frissítések a Windowson keresztül, más eszközökhöz hasonlóan alkalmazhatók, ha a virtualizált belső vezérlőprogram támogatja a biztonságos rendszerindítási frissítéseket.

Ezek az ügyfél/it által felügyelt környezetek gyakran nem rendelkeznek elegendő diagnosztikai adatokkal ahhoz, hogy a Microsoft magabiztosan és biztonságosan vezesse be az új funkciókat. Emellett az informatikai részlegek általában a frissítés időzítésének és tartalmának teljes körű ellenőrzését részesítik előnyben, hogy biztosítsák a megfelelőséget, a stabilitást és a belső eszközökkel és munkafolyamatokkal való kompatibilitást. Számos vállalati eszköz érzékeny vagy korlátozott környezetben is működik, ahol a külső hozzáférés vagy felügyelet – a CFR által sugallt – nemkívánatos vagy tiltott lehet.

Ha a Windows már használja a 2023-ban aláírt rendszerindítás-kezelőt, de a belső vezérlőprogram alaphelyzetbe áll, és nem tartalmazza a Windows UEFI CA 2023 tanúsítványt, a Biztonságos rendszerindítás letiltja a rendszerindítási folyamatot. 

A probléma megoldásához újra kell alkalmaznia a 2023-at a belső vezérlőprogram adatbázisában a helyreállítási alkalmazással. Ehhez hozzon létre egy helyreállítási USB-t, majd indítsa el az érintett eszközt az USB-ről a hiányzó tanúsítvány visszaállításához. 

Részletes útmutatásért tekintse meg a Microsoft hivatalos útmutatóját a Windows telepítési adathordozójának frissítéséhez.