Vanlige spørsmål om oppdateringsprosessen for sikker oppstart

Gjelder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Obs!

  • Opprinnelig publiseringsdato: 15. september 2025 kl.
  • KB-ID: 5068008
Endringslogg
Endre dato Endre beskrivelse
Februar 23, 2026
  • La til nye vanlige spørsmål under «Generelle vanlige spørsmål om sikker oppstart»
Februar 9, 2026
  • La til nye vanlige spørsmål under «Vanlige spørsmål om sikker oppstart av kunde/IT-administrerte systemer»
Februar 3, 2026
  • Flyttet «Q4» opp til «Q1» under «General Secure Boot FAQ» og oppdaterte innholdet.
12. januar 2026
  • Avklarte virkemåte når sertifikater utløper for 4. kvartal.

Generelle vanlige spørsmål om sikker oppstart

Spm. 1: Hva skjer hvis enheten ikke får de nye Secure Boot-sertifikatene før de gamle utløper?

Når Secure Boot-sertifikatene utløper, vil enheter som ikke har mottatt de nyere 2023-sertifikatene, fortsette å starte og fungere normalt, og standard Windows-oppdateringer vil fortsette å installeres. Disse enhetene vil imidlertid ikke lenger kunne motta ny sikkerhetsbeskyttelse for den tidlige oppstartsprosessen, inkludert oppdateringer for Windows Boot Manager, Secure Boot-databaser, tilbakekallingslister eller reduksjoner for nylig oppdagede oppstartssårbarheter.

Over tid begrenser dette enhetens beskyttelse mot nye trusler og kan påvirke scenarier som er avhengige av klarering for sikker oppstart, for eksempel BitLocker-forsterking eller tredjeparts oppstartslastere. De fleste Windows-enheter mottar de oppdaterte sertifikatene automatisk, og mange OEM-er har levert fastvareoppdateringer ved behov. Hvis du holder enheten oppdatert med disse oppdateringene, bidrar det til å sikre at den kan fortsette å motta hele settet med sikkerhetsbeskyttelser som Secure Boot er utformet for å gi.

Spm. 2: Når skal Secure Boot-sertifikater oppdateres?

Det er best å oppdatere Secure Boot-sertifikater i god tid før utløpsdatoen i juni 2026.

Hvis enheten administreres av Microsoft og deler diagnosedata med Microsoft, vil Microsoft i de fleste tilfeller prøve å oppdatere sertifikatene for sikker oppstart automatisk. Selv om Microsoft gjør sitt beste for å oppdatere Sikker oppstart, vil det være noen situasjoner der oppdateringen ikke er garantert å gjelde og krever kundehandling. Kunden har det overordnede ansvaret for å oppdatere Secure Boot-sertifikatene.

Eksempler på situasjoner der Microsoft-administrerte enheter med diagnosedata aktivert, kanskje ikke mottar oppdateringer, omfatter:

  • Oppdateringer for Microsoft Secure Boot gjelder bare for enkelte Windows-versjoner som støttes.
  • Diagnosedataene som er aktivert på enheten, kan være blokkert av en brannmur i organisasjonen og ikke nå Microsoft.
  • Det kan være noe galt med fastvaren på enheten.

Vær oppmerksom på Hva vil det si å være "administrert av Microsoft"? Systemet deler diagnosedata og administreres av Microsoft Cloud eller Intune.

Hvis enheten ikke deler diagnosedata med Microsoft og administreres av organisasjonens IT-avdeling eller av kunden, kan IT-avdelingen oppdatere systemene i henhold til Microsofts veiledning i utløpsdato og CA-oppdateringer for Windows Secure Boot-sertifikater.

Spm. 3: Hvordan oppdateres Secure Boot-sertifikater?

Hvis datamaskinen administreres av Microsoft, oppdateres Secure Boot-sertifikater via Windows Update.

Hvis datamaskinen administreres av organisasjonen eller bedriftens IT-administrator, har IT-avdelingen metoder for å oppdatere systemet ved hjelp av veiledning i utløpsdato for Windows Secure Boot-sertifikat og CA-oppdateringer.

Spørsmål 4: Hva skjer med Windows 10-systemer etter utvidet sikkerhetsoppdatering (ESU) av 14. oktober 2025?

Kundestøtten for Windows 10 avvikles 14. oktober 2025. Hvis du vil ha mer informasjon, kan du se Windows 10-støtten avsluttes 14. oktober 2025.

Hvis du vil fortsette å motta sikkerhetsoppdateringer Oppdateringer etter denne datoen, kan kunder som er igjen på Windows 10, registrere seg for:

Obs!

  • Windows 10 Enterprise LTSC er tilgjengelig for kjøp som en frittstående SKU eller som en del av et Windows Enterprise E3-abonnement.
  • Windows IoT Enterprise LTSC kan kjøpes direkte fra en OEM eller via en leverandørlisens som en frittstående SKU.
Spm. 5: Hvordan brukes Secure Boot-sertifikater?

Secure Boot-sertifikater gjør at fastvaren kan bekrefte at kritiske komponenter – for eksempel oppstartsadministratorer, alternativ-ROM-er (fastvaredrivere) og annen fastvarebasert programvare – er klarerte og ikke har blitt tuklet med. Microsoft bruker disse sertifikatene til å signere oppstartsbehandlere og andre komponenter som skal være klarert, i tillegg til oppdateringer for sikker oppstart. Når eldre sertifikater utløper, kan de ikke lenger brukes til å signere nye komponenter eller oppdateringer.

Spm. 6: Hva skjer innvirkningen på enheter med sikker oppstart deaktivert?

Enheter med sikker oppstart deaktivert, mottar ikke de nye Secure Boot-sertifikatene i fastvaren. Som et resultat vil de forbli sårbare for skadelig programvare på oppstartsnivå, for eksempel bootkits, fordi Secure Boot-beskyttelse ikke håndheves.

Spm. 7: Vil Microsoft oppdatere alle Secure Boot-sertifikater, inkludert de i KEK og DB?

For kvalifiserte enheter – for eksempel de som mottar kumulative oppdateringer via konfidensbasert distribusjon eller er registrert i kontrollert funksjonsutrulling (CFR) med diagnosedata aktivert – vil Microsoft forsøke å oppdatere alle aktuelle sertifikater. Disse oppdateringene gis imidlertid som en hjelp, ikke en garanti. IT-administratorer forblir ansvarlige for å sikre at hele flåten er oppdatert, ved hjelp av Microsofts automatiserte CFR og andre dokumenterte distribusjonsmetoder.

Q8: Når ble de oppdaterte 2023 Secure Boot-sertifikatene sendt?

Sertifikatene ble inkludert i kumulative oppdateringer (LCU) fra 13. mai 2025 og nyere. De brukes imidlertid ikke automatisk, det kreves flere trinn. Hvis du vil ha distribusjonsveiledning, kan du se https://aka.ms/getsecureboot.

Spørsmål 9: Hva er forskjellen mellom fastvareoppdateringer og Windows-oppdateringer når du bruker Secure Boot-sertifikater?

De tjener forskjellige formål.

Fastvareoppdateringer kan oppdatere standardvariablene for Secure Boot som er lagret i fastvaren. Dette er hovedsakelig nyttig hvis innstillinger for sikker oppstart senere tilbakestilles til standardverdiene, fordi fastvarestandardene bestemmer hvilke sertifikater som gjenopprettes i det scenariet.

Windows bruker endringer på de aktive Secure Boot-variablene som håndheves under normal oppstart. Disse aktive variablene er det fastvaren bruker til å validere oppstartskomponenter, og det Windows er avhengig av for å levere fremtidig Secure Boot-beskyttelse.

I praksis er Windows ansvarlig for å holde den aktive konfigurasjonen for sikker oppstart oppdatert. Fastvareoppdateringer bidrar til å sikre at standardverdiene også oppdateres, noe som reduserer risikoen hvis Secure Boot tilbakestilles eller initialiseres på nytt i fremtiden.

Administratorer bør sikre at de aktive Secure Boot-variablene oppdateres og overvåke distribusjonsstatusen, uavhengig av om fastvareoppdateringer er tilgjengelige.

Kunde-/IT-administrerte systemer Vanlige spørsmål om sikker oppstart

Spm. 1: Hva kan gjøres for å beholde Sikker oppstart-funksjonalitet på eldre kunde-/IT-administrerte datamaskiner som kanskje ikke mottar fastvareoppdateringer fra OEM?

Det er to mulige baner:

  • Microsoft vil forsøke å oppdatere datamaskinen av Microsoft med delte diagnosedata og operativsystemet støttes.
  • Hvis enheten administreres av en IT-administrator som kunde, kan IT-avdelingen installere oppdateringene på det validerte settet med datamaskiner som trygt kan hente oppdateringer i henhold til Microsofts veiledning i utløpsdato for sertifikater for sikker oppstart og CA-oppdateringer.

Disse trinnene forventes å være tilgjengelig for de fleste kunder uten behov for en fastvareoppdatering fra OEM-er. Det vil imidlertid være visse tilfeller der oppdateringene ikke gjelder på grunn av kjente eller ukjente problemer i enhetsfastvaren. I slike tilfeller følger du OEM-veiledningen for fastvareoppdateringer.

Vær oppmerksom på Prosessen ovenfor gjelder de aktive variablene for sikker oppstart gjennom operativsystemet. Standardverdiene for fastvaren for sikker oppstart opprettholdes i fastvaren som utgis av OEM-en. Veiledningen er å ikke endre eller oppdatere konfigurasjonen av Secure Boot, med mindre OEM-en har gitt ut en oppdatering for å endre fastvarestandardene til de nye sertifikatene.

Spm. 2: Vil det være mulig å installere en ny versjon av Windows hvis en datamaskin har utløpt Secure Boot-sertifikater?

Hvis sertifikatene utløper, reduseres beskyttelsen mot sikker oppstart. Hvis systemet oppfyller kravene til et nyere operativsystem som Windows 11, vil det være mulig å oppgradere til en nyere OS-versjon av Windows 11.

Spørsmål 3: Hva skjer når du oppgraderer en Windows 10 LTSC-datamaskin uten sikker oppstart aktivert til Windows 11 LTSC etter utløpsdatoene for sertifikatet?

Hvis Secure Boot ikke er aktivert på Windows 10 LTSC-enhetene dine, er de ikke inkludert i den gjeldende utrullingen av de nye Secure Boot-sertifikatene. Når du starter oppgraderingen til Windows 11 LTSC, må du følge spesifikke overføringstrinn som er relevante på det tidspunktet for å sikre at de nye 2023-sertifikatene er inkludert.

Spm. 4: Får versjoner av Windows som ikke lenger støttes, de oppdaterte sertifikatene?

Bare støttede versjoner av Windows-operativsystemet vil motta sertifikatene.

Q5: Hvordan fungerer virtualiserte miljøer med sertifikatoppdateringer for sikker oppstart?

For Windows som kjører i et virtuelt miljø, finnes det to metoder for å legge til de nye sertifikatene i fastvarevariablene for Secure Boot:

  • Oppretteren av det virtuelle miljøet (AWS, Azure, Hyper-V, VMware osv.) kan gi en oppdatering for miljøet og inkludere de nye sertifikatene i den virtualiserte fastvaren. Dette vil fungere for nye virtualiserte enheter.
  • For Windows som kjører langvarig i en virtuell maskin, kan oppdateringene brukes gjennom Windows som alle andre enheter, hvis den virtualiserte fastvaren støtter oppdateringer for sikker oppstart.
Spm. 6: Hvorfor kan ikke Microsoft distribuere til min bedrifts-/IT-administrerte flåte ved hjelp av Controlled Feature Rollout (CFR) som brukes i Microsoft-administrerte systemer?

Disse kunde-/IT-administrerte miljøene mangler ofte tilstrekkelige diagnosedata til at Microsoft trygt og trygt kan rulle ut nye funksjoner. I tillegg foretrekker IT-avdelinger vanligvis å opprettholde full kontroll over oppdateringstidspunkt og innhold for å sikre samsvar, stabilitet og kompatibilitet med interne verktøy og arbeidsflyter. Mange bedriftsenheter fungerer også i sensitive eller begrensede miljøer der ekstern tilgang eller administrasjon – underforstått av CFR – kan være uønsket eller forbudt.

Q7: Enheten min sluttet å starte etter at jeg tilbakestilte fastvaren til standardinnstillingene – hva skjedde og hvordan løser jeg problemet?

Hvis Windows allerede bruker den 2023-signerte oppstartsbehandlingen, men fastvaren tilbakestilles til standarder som ikke inkluderer Windows UEFI CA 2023-sertifikatet, blokkerer Secure Boot oppstartsprosessen.

For å fikse dette må du bruke 2023-sertifikatet på fastvarens DB på nytt ved hjelp av gjenopprettingsapplikasjonen. Dette gjøres ved å opprette en gjenopprettings-USB, og deretter starte den berørte enheten fra denne USB-en for å gjenopprette det manglende sertifikatet.

Hvis du vil ha trinnvise instruksjoner, kan du se Microsofts offisielle veiledning for oppdatering av Windows-installasjonsmedier.

Spm. 8: Hvis Secure Boot-sertifikatene på enheten allerede er utløpt, kan jeg fortsatt motta oppdaterte sertifikater?

Ja. De kumulative oppdateringene som inneholder de nye Secure Boot-sertifikatene kan fortsatt brukes selv om de eksisterende sertifikatene har utløpt. Hvis enheten kan starte Windows og installere oppdateringer, kan de oppdaterte sertifikatene skrives til fastvaren ved å følge den publiserte distribusjonsveiledningen. De fleste enheter vil motta disse oppdateringene automatisk, men noen systemer kan kreve ytterligere fastvareoppdateringer.