Vanlige spørsmål om oppdateringsprosessen for sikker oppstart

Etter at sertifikatene for sikker oppstart utløper, vil enheter som ikke har mottatt de nyere 2023-sertifikatene, fortsette å starte og fungere normalt, og standard Windows-oppdateringer vil fortsette å installere. Disse enhetene vil imidlertid ikke lenger kunne motta nye sikkerhetsbeskyttelser for den tidlige oppstartsprosessen, inkludert oppdateringer til Windows Boot Manager, Secure Boot-databaser, tilbakekallingslister eller begrensninger for nylig oppdagede sikkerhetsproblemer på oppstartsnivå. 

Over tid begrenser dette enhetens beskyttelse mot nye trusler og kan påvirke scenarioer som er avhengige av sikker oppstartsklarering, for eksempel BitLocker-herding eller tredjeparts bootloaders. De fleste Windows-enheter mottar de oppdaterte sertifikatene automatisk, og mange OPERATIVSYSTEMET-er har gitt fastvareoppdateringer ved behov. Å holde enheten oppdatert med disse oppdateringene bidrar til å sikre at den kan fortsette å motta hele settet med sikkerhetsbeskyttelser som sikker oppstart er utformet for å gi.

Det er best å oppdatere sertifikater for sikker oppstart i god tid før utløpsdatoen for juni 2026. 

Hvis enheten administreres av Microsoft og deler diagnosedata med Microsoft, vil Microsoft i de fleste tilfeller forsøke å oppdatere sertifikatene for sikker oppstart automatisk. Selv om Microsoft vil gjøre sitt beste for å oppdatere sikker oppstart, vil det være noen situasjoner der oppdateringen ikke er garantert å gjelde og trenger kundehandling. Kunden er til syvende og sist ansvarlig for å oppdatere sertifikatene for sikker oppstart. 

Eksempler på situasjoner der Microsoft-administrerte enheter med diagnosedata er aktivert, kan ikke motta oppdateringer:

• Microsoft Secure Boot-oppdateringer gjelder bare for enkelte versjoner av Windows som støttes.

• Diagnosedataene som er aktivert på enheten, kan blokkeres av en brannmur i organisasjonen og ikke nå Microsoft.

• Det kan være noe galt med fastvaren på enheten.

Obs!   Hva betyr det å være «Administrert av Microsoft»? Systemet deler diagnosedata og administreres av Microsoft Cloud eller Intune. 

Hvis enheten ikke deler diagnosedata med Microsoft og administreres av organisasjonens IT-avdeling eller av kunden, kan IT-avdelingen oppdatere systemene etter Microsofts veiledning i utløpsdatoen for Windows Secure Boot-sertifikatet og CA-oppdateringer.

Hvis datamaskinen administreres av Microsoft, oppdateres sertifikater for sikker oppstart via Windows Update.  

Hvis datamaskinen administreres av organisasjonen eller it-administratoren for bedriften, har IT-avdelingen metoder for å oppdatere systemet ved hjelp av veiledning i utløpsdatoen for Windows Secure Boot-sertifikatet og CA-oppdateringer. 

Windows 10 kundestøtte avsluttes 14. oktober 2025. Hvis du vil ha mer informasjon, kan du se Windows 10 kundestøtten avsluttes 14. oktober 2025. 

Hvis du vil fortsette å motta sikkerhets Oppdateringer etter denne datoen, kan kunder som er igjen på Windows 10 registrere seg for: 

• Programmet Windows 10 Extended Security Oppdateringer (ESU), kan du se Windows 10 extended security Oppdateringer (ESU)-program

• Eller hvis du har en støttet LTSC-versjon av Windows 10, vil den fortsette å få Sikkerhets-Oppdateringer til LTSC-utløpsdatoen. Se for eksempel programmet extended Security Oppdateringer (ESU) for Windows 10

Obs!

• Windows 10 Enterprise LTSC er tilgjengelig for kjøp enten som en frittstående SKU eller som en del av et Windows Enterprise E3-abonnement.

• Windows IoT Enterprise LTSC kan kjøpes direkte fra en OEM eller gjennom en leverandørlisens som en frittstående SKU.

Sertifikater for sikker oppstart gjør det mulig for fastvaren å bekrefte at kritiske komponenter, for eksempel oppstartsbehandlere, ROM-er (fastvaredrivere) og annen fastvarebasert programvare, er klarert og ikke har blitt manipulert. Microsoft bruker disse sertifikatene til å signere oppstartsbehandlere og andre komponenter som skal klareres, samt oppdateringer for sikker oppstart. Når eldre sertifikater utløper, kan de ikke lenger brukes til å signere nye komponenter eller oppdateringer.

Enheter med sikker oppstart deaktivert, mottar ikke de nye sertifikatene for sikker oppstart i fastvaren. Som et resultat vil de forbli sårbare for skadelig programvare på oppstartsnivå, for eksempel bootkits, fordi beskyttelse mot sikker oppstart ikke håndheves. 

For kvalifiserte enheter , for eksempel de som mottar kumulative oppdateringer gjennom konfidensbasert distribusjon eller registrert i kontrollert funksjonsutrulling (CFR) med diagnosedata aktivert , vil Microsoft forsøke å oppdatere alle gjeldende sertifikater. Disse oppdateringene leveres imidlertid som en assist, ikke en garanti. IT-administratorer er fortsatt ansvarlige for å sikre at hele flåten oppdateres, ved hjelp av Microsofts automatiserte CFR og andre dokumenterte distribusjonsmetoder.

Sertifikatene ble inkludert i 13. mai 2025, kumulative oppdateringer (LCU) og nyere. De brukes imidlertid ikke automatisk i tilleggstrinn. Hvis du vil ha distribusjonsveiledning, kan du se https://aka.ms/getsecureboot.

De tjener forskjellige formål.

Fastvareoppdateringer kan oppdatere standard variabler for sikker oppstart som er lagret i fastvaren. Dette er hovedsakelig nyttig hvis innstillingene for sikker oppstart senere tilbakestilles til standardinnstillingene, fordi fastvarestandardene bestemmer hvilke sertifikater som gjenopprettes i dette scenarioet.

Windows bruker endringer på de aktive variablene for sikker oppstart som håndheves under normal oppstart. Disse aktive variablene er det fastvaren bruker til å validere oppstartskomponenter og hva Windows er avhengig av for å levere fremtidig beskyttelse mot sikker oppstart.

I praksis er Windows ansvarlig for å holde den aktive konfigurasjonen for sikker oppstart oppdatert. Fastvareoppdateringer bidrar til å sikre at standardverdiene også oppdateres, noe som reduserer risikoen hvis sikker oppstart tilbakestilles eller startes på nytt i fremtiden.

Administratorer bør sørge for at de aktive variablene for sikker oppstart oppdateres og overvåke distribusjonsstatus, uavhengig av om fastvareoppdateringer er tilgjengelige.

Det finnes to mulige baner: 

• Hvis datamaskinen administreres av Microsoft med diagnosedata som deles og operativsystemet støttes, vil Microsoft prøve å oppdatere.

• Hvis enheten er kundeadministrert eller administrert av en IT-administrator, kan IT-avdelingen bruke oppdateringene på det validerte settet med datamaskiner som trygt kan ta oppdateringer per Microsoft-veiledning i utløpsdatoen for Windows Secure Boot-sertifikatet og CA-oppdateringer.

Disse trinnene forventes å adressere de fleste kunder uten å trenge en fastvareoppdatering fra OPERATIVSYSTEMET. Det vil imidlertid være visse tilfeller der oppdateringene ikke gjelder på grunn av kjente eller ukjente problemer i fastvaren for enheten. I slike tilfeller følger du OEM-veiledningen om fastvareoppdateringer. 

Obs!   Prosessen ovenfor bruker aktive variabler for sikker oppstart gjennom operativsystemet. Standardverdiene for fastvare for sikker oppstart opprettholdes i fastvaren som utgis av OEM. Veiledningen er å ikke endre eller oppdatere konfigurasjonen for sikker oppstart med mindre OEM har gitt ut en oppdatering for å endre fastvarestandardene til de nye sertifikatene.

 Hvis sertifikatene utløper, reduseres beskyttelsen for sikker oppstart. Hvis systemet oppfyller kravene for et nyere operativsystem, for eksempel Windows 11, vil det være mulig å oppgradere til en nyere OS-versjon av Windows 11.  

Hvis sikker oppstart ikke er aktivert på Windows 10 LTSC-enheter, er de ikke inkludert i den gjeldende utrullingen for de nye sertifikatene for sikker oppstart. Når du starter oppgraderingen til Windows 11 LTSC, må du følge spesifikke overføringstrinn som er relevante på det tidspunktet for å sikre at de nye 2023-sertifikatene er inkludert.

Bare støttede Windows OS-versjoner vil få sertifikatene. 

For Windows som kjører i et virtuelt miljø, finnes det to metoder for å legge til de nye sertifikatene i fastvarevarvariablene for sikker oppstart: 

• Oppretteren av det virtuelle miljøet (AWS, Azure, Hyper-V, VMware osv.) kan gi en oppdatering for miljøet og inkludere de nye sertifikatene i den virtualiserte fastvaren. Dette fungerer for nye virtualiserte enheter.

• For Windows som kjører på lang sikt på en virtuell maskin, kan oppdateringene brukes via Windows som alle andre enheter, hvis den virtualiserte fastvaren støtter oppdateringer for sikker oppstart.

Disse kunde-/IT-administrerte miljøene mangler ofte tilstrekkelige diagnosedata til at Microsoft trygt og trygt kan rulle ut nye funksjoner. I tillegg foretrekker IT-avdelinger vanligvis å opprettholde full kontroll over oppdateringstidsberegning og innhold for å sikre samsvar, stabilitet og kompatibilitet med interne verktøy og arbeidsflyter. Mange bedriftsenheter opererer også i sensitive eller begrensede miljøer der ekstern tilgang eller administrasjon – underforstått av CFR – kan være uønsket eller forbudt.

Hvis Windows allerede bruker den 2023-signerte oppstartsbehandlingen, men fastvaren tilbakestilles til standarder som ikke inkluderer Windows UEFI CA 2023-sertifikatet, vil Sikker oppstart blokkere oppstartsprosessen. 

Hvis du vil løse dette problemet, må du bruke 2023-sertifikatet på nytt på fastvarens DB ved hjelp av gjenopprettingsprogrammet. Dette gjøres ved å opprette en gjenopprettings-USB, og deretter starte den berørte enheten fra usb-en for å gjenopprette det manglende sertifikatet. 

Hvis du vil ha trinnvise instruksjoner, kan du se Microsofts offisielle veiledning for oppdatering av Windows-installasjonsmedier. 

​​​​​​​Ja. De kumulative oppdateringene som inneholder de nye sertifikatene for sikker oppstart, kan fremdeles brukes selv om de eksisterende sertifikatene har utløpt. Hvis enheten kan starte Windows og installere oppdateringer, kan de oppdaterte sertifikatene skrives til fastvaren ved å følge den publiserte distribusjonsveiledningen. De fleste enheter mottar disse oppdateringene automatisk, men noen systemer kan kreve flere fastvareoppdateringer.