Attiecas uz
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Sākotnējās publicēšanas datums: 2025. gada 26. jūnijs

KB ID: 5062710

Datuma maiņa

Mainīt aprakstu

2026. gada 3. februāris

  • Tika pievienota jauna sadaļa "Drošās sāknēšanas sertifikāta termiņa ietekme".

  • Noņēma piezīmes, kas atzīmētas "svarīgi" virs un zem sadaļas "Zvanīt uz darbību".

2025. gada 10. novembris

Izlabotas divas pārrakstīšanās kļūdas zem "Jauns sertifikāts":

  • no Microsoft Corporation KEK CA 2023" uz "Microsoft Corporation KEK 2K CA 2023"

  • un no "Microsoft Option ROM CA 2023" līdz "Microsoft Option ROM UEFI CA 2023"

Kas ir drošā palaišana?

Secure Boot ir drošības līdzeklis aparātprogrammatūras vienotā paplašināmajā aparātprogrammatūras interfeisā (UEFI), kuras pamatā ir aparātprogrammatūra, kas palīdz nodrošināt, ka ierīces palaišanas (startēšanas) secībā darbojas tikai uzticama programmatūra. Tā darbojas, pārbaudot pirmssāknēšanas programmatūras ciparparakstu pret uzticamu ciparsertifikātu kopu (zināmi arī kā sertificēšanas iestāde vai CA), kas tiek glabāti ierīces aparātprogrammatūras formātā. Kā nozares standarts UEFI Secure Boot definē, kā platformas aparātprogrammatūra pārvalda sertifikātus, autentificē aparātprogrammatūru un kā operētājsistēmas (OS) interfeisi ar šo procesu. Lai iegūtu papildinformāciju par UEFI un drošo sāknēšanu, skatiet rakstu Droša palaišana.

Drošā palaišana pirmo reizi tika ieviesta Windows 8 lai aizsargātu pret jaunās pirmssāknēšanas ļaunprogrammatūru (tiek dēvēta arī par sāknēšanas rīku) apdraudējumu šajā laikā. Platformas inicializācijas ietvaros Secure Boot autentificē aparātprogrammatūras moduļus pirms izpildes. Šie moduļi ietver UEFI aparātprogrammatūras draiverus (piemēram, opciju ROM), sāknēšanas ielādētājus un lietojumprogrammas. Drošas sāknēšanas procesa pēdējā darbībā aparātprogrammatūra pārbauda, vai drošā palaišana uzticas sāknēšanas ielādētājam. Pēc tam aparātprogrammatūra nodod vadīklu startēšanas ielādei, kas savukārt pārbauda, ielādējas atmiņā un startē Windows OS.

Secure Boot definē uzticamu kodu, izmantojot aparātprogrammatūras politiku, kas iestatīta ražošanas laikā. Šīs politikas izmaiņas, piemēram, sertifikātu pievienošanu vai atsaukšanu, kontrolē atslēgu hierarhija. Šī hierarhija sākas ar platformas atslēgu (Platform Key — PK), kas parasti pieder aparatūras ražotājam, kam seko atslēgu reģistrācijas atslēga (Key Enrollment Key — KEK) (tiek dēvēta arī par atslēgu exchange atslēgu), kas var ietvert Microsoft KEK un citas OEM KEK. Atļautā paraksta datu bāze (DB) un neatļautā paraksta datu bāze (Disallowed Signature Database — DBX) nosaka, kuru kodu var palaist UEFI vidē pirms OS startēšanas. DB ietver sertifikātus, ko pārvalda Microsoft un OEM, savukārt dbX atjaunina korporācija Microsoft ar jaunākajiem atsaukšanas 2010. gada 1. Jebkura persona ar KEK var atjaunināt DB un DBX.

Drošas sāknēšanas sertifikāta derīguma termiņa ietekme

Microsoft atjaunina 2011. gadā sākotnēji izlaistos drošās sāknēšanas sertifikātus, lai nodrošinātu, ka Windows ierīces turpina verificēt uzticamu sāknēšanas programmatūru. Šo vecāko sertifikātu termiņš beidzas 2026. gada jūnijā. Ierīces, kas nav saņēmušas jaunākos 2023 sertifikātus, turpinās sākt darbu un darboties kā parasti, un standarta Windows atjauninājumi turpinās instalēt. Tomēr šīs ierīces vairs nevarēs saņemt jaunus drošības aizsardzību attiecībā uz agrīnu sāknēšanas procesu, tostarp Windows Boot Manager atjauninājumus, drošās sāknēšanas datu bāzes, atsaukšanas sarakstus vai riskus, kas varētu mazināt tikko atklāto sāknēšanas līmeņa ievainojamību. 

Laika gaitā tas ierobežo ierīces aizsardzību pret jauniem apdraudējumiem un var ietekmēt scenārijus, kas izmanto drošo sāknēšanas uzticamību, piemēram, BitLocker rūdīšana vai trešās puses bootloaders. Lielākā daļa Windows ierīču automātiski saņems atjauninātos sertifikātus, un daudzi OEMs nodrošina aparātprogrammatūras atjauninājumus, ja nepieciešams. Ierīces atjaunināšana, izmantojot šos atjauninājumus, palīdz nodrošināt, ka tā joprojām saņem pilnu drošības aizsardzības kopu, kas paredzēta drošai palaišanai.

Windows drošās sāknēšanas sertifikāti beidzas 2026. gadā

Tā kā operētājsistēmā Windows tika ieviests drošas sāknēšanas atbalsts, visas Windows ierīces KEK un DB ir pārnestas uz vienu un to pašu Microsoft sertifikātu kopu. Šiem sākotnējiem sertifikātiem tuvosies to derīguma beigu datums, un tiek ietekmēts jūsu ierīces derīguma termiņš, ja tai ir kāda no norādītajām sertifikāta versijām. Lai turpinātu izmantot operētājsistēmu Windows un saņemtu regulārus drošas sāknēšanas konfigurācijas atjauninājumus, šie sertifikāti ir jāatjaunina.

Terminoloģija

  • KEK: Atslēgas reģistrācijas atslēga

  • CA: Sertificēšanas iestāde

  • DB: Droša sāknēšanas paraksta datu bāze

  • DBX: Secure Boot Revoked Signature Database

Sertifikāts, kas beidzas

Derīguma beigu datums

Jauns sertifikāts

Glabāšanas vieta

Nolūks

Microsoft Corporation KEK CA 2011

2026. gada jūnijs

Microsoft Corporation KEK 2K CA 2023

Glabāts kek

Paraksta DB un DBX atjauninājumus.

Microsoft Windows Production PCA 2011

2026. gada okt.

Windows UEFI CA 2023

Saglabāts DB

Tiek izmantots Windows sāknēšanas ielādētāja parakstīšanai.

Microsoft UEFI CA 2011*

2026. gada jūnijs

Microsoft UEFI CA 2023

Saglabāts DB

Paraksta trešo pušu boot loaderus un EFI lietojumprogrammas.

Microsoft UEFI CA 2011*

2026. gada jūnijs

Microsoft Option ROM UEFI CA 2023

Saglabāts DB

Paraksta trešo pušu opciju ROM

*Microsoft Corporation UEFI CA 2011 sertifikāta atjaunošanas laikā divi sertifikāti atdala sāknēšanas ielādētāja pierakstīšanos no ROM opcijas parakstīšanas. Tādējādi varat pilnties kontrolēt sistēmas uzticamību. Piemēram, sistēmas, kurām ir jāuzticas opciju ROM, var pievienot Microsoft Option ROM UEFI CA 2023 bez uzticēšanās trešo pušu boot loaderiem.

Korporācija Microsoft ir izdevusi atjauninātus sertifikātus, lai nodrošinātu drošas sāknēšanas aizsardzības nepārtrauktību Windows ierīcēs. Microsoft pārvaldīs šo jauno sertifikātu atjaunināšanas procesu ievērojamai Windows ierīču daļai. Turklāt mēs piedāvājam detalizētus norādījumus organizācijām, kas pārvalda pašu ierīču atjauninājumus.

Aicinājums rīkoties

Iespējams, būs jāveic darbības, lai pārliecinātos, vai jūsu Windows ierīce paliek droša, kad sertifikātu derīgums beigsies 2026. gadā. Gan UEFI Secure Boot DB, gan KEK ir jāatjaunina ar atbilstošajām jaunajām 2023. gada sertifikātu versijām. Papildinformāciju par jaunajiem sertifikātiem skatiet rakstā Windows drošās sāknēšanas atslēgu izveide un pārvaldība. 

Darbības var atšķirties atkarībā no jūsu Windows ierīces veida. Izvēlieties ierīces veida izvēlnē pa kreisi un konkrētu veicamo darbību.  

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs