Uwaga
- Data pierwotnej publikacji: 15 września 2025 r.
- Identyfikator KB: 5068008
Dziennik zmian
| Zmień datę | Opis zmiany |
|---|---|
| 23 luty 2026 r |
|
| 9 luty 2026 r |
|
| 3 luty 2026 r |
|
| 12 stycznia 2026 r. |
|
Ogólne często zadawane pytania dotyczące bezpiecznego rozruchu
P1: Co się stanie, jeśli moje urządzenie nie uzyska nowych certyfikatów bezpiecznego rozruchu przed wygaśnięciem starych?
Po wygaśnięciu certyfikatów bezpiecznego rozruchu urządzenia, które nie otrzymały nowszych certyfikatów z 2023 r., będą nadal uruchamiane i działać normalnie, a standardowe aktualizacje systemu Windows będą nadal instalowane. Jednak te urządzenia nie będą już mogły otrzymywać nowych zabezpieczeń dla procesu wczesnego rozruchu, w tym aktualizacji Menedżera rozruchu systemu Windows, baz danych bezpiecznego rozruchu, list odwołania lub środków zaradczych dla nowo wykrytych luk w zabezpieczeniach na poziomie rozruchu.
Z czasem ogranicza to ochronę urządzenia przed pojawiającymi się zagrożeniami i może mieć wpływ na scenariusze polegające na zaufaniu bezpiecznego rozruchu, takie jak wzmacnianie funkcjonalności funkcji BitLocker lub programy ładujące innych firm. Większość urządzeń z systemem Windows automatycznie otrzyma zaktualizowane certyfikaty, a wielu producentów OEM zapewnia aktualizacje oprogramowania układowego, gdy jest to potrzebne. Aktualizowanie urządzenia za pomocą tych aktualizacji pomaga zapewnić, że może ono nadal otrzymywać pełny zestaw zabezpieczeń, do których służy bezpieczny rozruch.
P2: Kiedy powinny zostać zaktualizowane certyfikaty bezpiecznego rozruchu?
Certyfikaty bezpiecznego rozruchu najlepiej aktualizować na długo przed datą wygaśnięcia w czerwcu 2026 r.
Jeśli urządzenie jest zarządzane przez firmę Microsoft i udostępnia firmie Microsoft dane diagnostyczne, firma Microsoft w większości przypadków automatycznie podejmie próbę aktualizacji certyfikatów bezpiecznego rozruchu. Chociaż firma Microsoft dołoży wszelkich starań, aby zaktualizować funkcję bezpiecznego rozruchu, mogą wystąpić sytuacje, w których aktualizacja nie zostanie zastosowana i będzie wymagała działania ze strony klienta. Klient ponosi ostateczną odpowiedzialność za aktualizację certyfikatów bezpiecznego rozruchu.
Przykłady sytuacji, w których urządzenia zarządzane przez firmę Microsoft z włączonymi danymi diagnostycznymi mogą nie otrzymywać aktualizacji, obejmują:
- Aktualizacje bezpiecznego rozruchu firmy Microsoft dotyczą tylko niektórych obsługiwanych wersji systemu Windows.
- Dane diagnostyczne włączone na urządzeniu mogą być blokowane przez zaporę w organizacji i nie docierać do firmy Microsoft.
- Być może występuje problem z oprogramowaniem układowym urządzenia.
Wskazówka Co oznacza "zarządzany przez firmę Microsoft"? System udostępnia dane diagnostyczne i jest zarządzany przez usługę Microsoft Cloud lub usługę Intune.
Jeśli urządzenie nie udostępnia danych diagnostycznych firmie Microsoft i jest zarządzane przez dział IT organizacji lub klienta, dział IT może zaktualizować systemy zgodnie ze wskazówkami firmy Microsoft dotyczącymi wygasania certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacji urzędu certyfikacji.
P3: Jak aktualizowane są certyfikaty bezpiecznego rozruchu?
Jeśli komputer jest zarządzany przez firmę Microsoft, certyfikaty bezpiecznego rozruchu są aktualizowane za pośrednictwem usługi Windows Update.
Jeśli komputer jest zarządzany przez administratora IT organizacji lub firmy, dział IT ma metody aktualizowania systemu za pomocą wskazówek zawartych w temacie Wygaśnięcie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji.
P4: Co się stanie z systemem Windows 10 po rozszerzonej aktualizacji zabezpieczeń (ESU) z 14 października 2025 r.?
Wsparcie techniczne systemu Windows 10 kończy się 14 października 2025 r. Zobacz Więcej informacji: Wsparcie techniczne systemu Windows 10 kończy się 14 października 2025 r.
Aby nadal otrzymywać aktualizacje zabezpieczeń po tym dniu, klienci korzystający z systemu Windows 10 mogą na:
- Program rozszerzonych aktualizacji zabezpieczeń systemu Windows 10 (ESU), zobacz Program rozszerzonych aktualizacji zabezpieczeń (ESU) systemu Windows 10
- Jeśli masz obsługiwaną wersję LTSC systemu Windows 10, będzie on nadal otrzymywać aktualizacje zabezpieczeń do daty wygaśnięcia LTSC. Zobacz na przykład program dodatkowych aktualizacji zabezpieczeń (ESU) dla systemu Windows 10
Uwaga
- System Windows 10 Enterprise LTSC jest dostępny do zakupu jako autonomiczna jednostka SKU lub jako część subskrypcji systemu Windows Enterprise E3.
- System Windows IoT Enterprise LTSC można kupić bezpośrednio od producenta OEM lub za pośrednictwem licencji dostawcy jako autonomiczną wersję SKU.
P5: W jaki sposób używane są certyfikaty bezpiecznego rozruchu?
Certyfikaty bezpiecznego rozruchu umożliwiają oprogramowaniu sprzętowemu sprawdzenie, czy krytyczne komponenty — takie jak menedżery rozruchu, opcjonalne ROM-y (sterowniki oprogramowania układowego) i inne oprogramowanie oparte na oprogramowaniu sprzętowym — są zaufane i nie zostały naruszone. Firma Microsoft używa tych certyfikatów do podpisywania menedżerów rozruchu i innych zaufanych składników, a także aktualizacji bezpiecznego rozruchu. Po wygaśnięciu starszych certyfikatów nie można ich już używać do podpisywania nowych składników lub aktualizacji.
P6: Jaki jest wpływ na urządzenia z wyłączonym bezpiecznym rozruchem?
Urządzenia z wyłączonym bezpiecznym rozruchem nie otrzymają nowych certyfikatów bezpiecznego rozruchu w oprogramowaniu układowym. W rezultacie pozostaną podatne na złośliwe oprogramowanie na poziomie rozruchu, takie jak bootkity, ponieważ ochrona bezpiecznego rozruchu nie jest wymuszana.
P7: Czy firma Microsoft zaktualizuje wszystkie certyfikaty bezpiecznego rozruchu, w tym certyfikaty KEK i DB?
W przypadku kwalifikujących się urządzeń — takich jak te, które otrzymują aktualizacje zbiorcze w ramach wdrożenia opartego na zaufaniu lub są zarejestrowane w programie kontrolowanego wprowadzania funkcji (CFR) z włączonymi danymi diagnostycznymi — firma Microsoft podejmie próbę zaktualizowania wszystkich odpowiednich certyfikatów. Jednak te aktualizacje są udostępniane jako pomoc, a nie gwarancja. Administratorzy IT pozostają odpowiedzialni za aktualizację całej floty przy użyciu zautomatyzowanego CFR firmy Microsoft i innych udokumentowanych metod wdrażania.
P8: Kiedy zostały wysłane zaktualizowane certyfikaty bezpiecznego rozruchu 2023?
Certyfikaty zostały uwzględnione w aktualizacjach zbiorczych (LCU) z 13 maja 2025 r. i nowszych. Nie są one jednak stosowane automatycznie, wymagane są dodatkowe kroki. Aby uzyskać wskazówki dotyczące wdrażania, zobacz https://aka.ms/getsecureboot.
P9: Jaka jest różnica między aktualizacjami oprogramowania układowego a aktualizacjami systemu Windows podczas stosowania certyfikatów bezpiecznego rozruchu?
Służą różnym celom.
Aktualizacje oprogramowania układowego mogą aktualizować domyślne zmienne bezpiecznego rozruchu przechowywane w oprogramowaniu układowym. Jest to przydatne przede wszystkim wtedy, gdy ustawienia bezpiecznego rozruchu zostaną później zresetowane do wartości domyślnych, ponieważ wartości domyślne oprogramowania układowego określają, które certyfikaty są przywracane w takim scenariuszu.
System Windows stosuje zmiany do aktywnych zmiennych bezpiecznego rozruchu, które są wymuszane podczas normalnego rozruchu. Te zmienne aktywne są używane przez oprogramowanie układowe do sprawdzania poprawności składników rozruchu i na których opiera się system Windows, aby zapewnić przyszłe zabezpieczenia bezpiecznego rozruchu.
W praktyce system Windows jest odpowiedzialny za utrzymanie bieżącej aktywnej konfiguracji bezpiecznego rozruchu. Aktualizacje oprogramowania układowego pomagają zapewnić, że wartości domyślne również są aktualizowane, co zmniejsza ryzyko, jeśli bezpieczny rozruch zostanie zresetowany lub ponownie zainicjowany w przyszłości.
Administratorzy powinni zapewnić aktualizację aktywnych zmiennych bezpiecznego rozruchu i monitorować stan wdrożenia niezależnie od tego, czy są dostępne aktualizacje oprogramowania układowego.
Systemy zarządzane przez klienta/dział IT — często zadawane pytania dotyczące bezpiecznego rozruchu
P1: Co można zrobić, aby zachować funkcjonalność bezpiecznego rozruchu na starszych komputerach zarządzanych przez klienta/dział IT, które mogą nie otrzymywać aktualizacji oprogramowania układowego od producenta OEM?
Dostępne są dwie ścieżki:
- Jeśli komputer jest zarządzany przez firmę Microsoft z udostępnionymi danymi diagnostycznymi, a system operacyjny jest obsługiwany, firma Microsoft podejmie próbę aktualizacji.
- Jeśli urządzenie jest zarządzane przez klienta lub administratora IT, dział IT może zastosować aktualizacje do zatwierdzonego zestawu komputerów, które mogą bezpiecznie pobierać aktualizacje zgodnie ze wskazówkami firmy Microsoft dotyczącymi wygasania certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacji urzędu certyfikacji.
Oczekuje się, że te kroki dotyczą większości klientów bez konieczności aktualizacji oprogramowania układowego przez producentów OEM. Jednak w niektórych przypadkach aktualizacje nie będą stosowane z powodu znanych lub nieznanych problemów z oprogramowaniem układowym urządzenia. W takich przypadkach postępuj zgodnie ze wskazówkami producenta OEM dotyczącymi aktualizacji oprogramowania układowego.
Wskazówka Powyższy proces stosuje zmienne aktywne bezpiecznego rozruchu za pośrednictwem systemu operacyjnego. Wartości domyślne oprogramowania układowego bezpiecznego rozruchu są zachowywane w oprogramowaniu sprzętowym wydanym przez producenta OEM. Zgodnie ze wskazówkami, aby nie zmieniać ani nie aktualizować konfiguracji bezpiecznego rozruchu, chyba że producent OEM wydał aktualizację zmieniającą domyślne oprogramowanie układowe na nowe certyfikaty.
P2: Jeśli na komputerze wygasły certyfikaty bezpiecznego rozruchu, czy będzie można zainstalować nową wersję systemu Windows?
Jeśli certyfikaty wygasną, ochrona bezpiecznego rozruchu jest obniżona. Jeśli system spełnia wymagania dla nowszego systemu operacyjnego, takiego jak Windows 11, możliwe będzie uaktualnienie do nowszej wersji systemu operacyjnego Windows 11.
P3: Co się stanie podczas uaktualniania komputera z systemem Windows 10 LTSC bez włączonego bezpiecznego rozruchu do systemu Windows 11 LTSC po upływie daty wygaśnięcia certyfikatu?
Jeśli bezpieczny rozruch nie jest włączony na Twoich urządzeniach z systemem Windows 10 LTSC, nie są one uwzględnione w bieżącym pakiecie zbiorczym dla nowych certyfikatów bezpiecznego rozruchu. Po rozpoczęciu uaktualnienia do systemu Windows 11 LTSC należy wykonać określone kroki migracji odpowiednie w tym czasie, aby zapewnić uwzględnienie nowych certyfikatów 2023.
P4: Czy wersje systemu Windows, które nie są już obsługiwane, otrzymają zaktualizowane certyfikaty?
Certyfikaty otrzymają tylko obsługiwane wersje systemu operacyjnego Windows.
P5: Jak środowiska zwirtualizowane współpracują z aktualizacjami certyfikatu bezpiecznego rozruchu?
W przypadku systemu Windows działającego w środowisku wirtualnym istnieją dwie metody dodawania nowych certyfikatów do zmiennych oprogramowania układowego bezpiecznego rozruchu:
- Twórca środowiska wirtualnego (AWS, Azure, Hyper-V, VMware itp.) może dostarczyć aktualizację środowiska i dołączyć nowe certyfikaty do zwirtualizowanego oprogramowania układowego. To działa w przypadku nowych zwirtualizowanych urządzeń.
- W przypadku systemu Windows działającego przez długi czas na maszynie wirtualnej aktualizacje mogą być stosowane za pośrednictwem systemu Windows, tak jak każde inne urządzenie, o ile zwirtualizowane oprogramowanie układowe obsługuje aktualizacje bezpiecznego rozruchu.
P6: Dlaczego firma Microsoft nie może wdrożyć w moim przedsiębiorstwie/flotie zarządzanej przez dział IT przy użyciu kontrolowanego wdrażania funkcji (CFR) używanego w systemach zarządzanych przez firmę Microsoft?
W tych środowiskach zarządzanych przez klientów/dział IT często brakuje wystarczających danych diagnostycznych, aby firma Microsoft mogła pewnie i bezpiecznie wdrażać nowe funkcje. Ponadto działy IT zazwyczaj preferują zachowanie pełnej kontroli nad terminem aktualizacji i zawartością, aby zapewnić zgodność, stabilność i zgodność z wewnętrznymi narzędziami oraz przepływami pracy. Wiele urządzeń firmowych działa również w wrażliwych lub ograniczonych środowiskach, w których dostęp zewnętrzny lub zarządzanie nim — sugerowane przez CFR — może być niepożądane lub zabronione.
P7: Moje urządzenie przestało się uruchamiać po zresetowaniu oprogramowania układowego do ustawień domyślnych — co się stało i jak to naprawić?
Jeśli system Windows korzysta już z menedżera rozruchu podpisanego w 2023 r., ale oprogramowanie układowe zostało zresetowane do wartości domyślnych, które nie zawierają certyfikatu Windows UEFI CA 2023, bezpieczny rozruch zablokuje proces rozruchu.
Aby rozwiązać ten problem, należy ponownie zastosować certyfikat 2023 do bazy danych oprogramowania układowego za pomocą aplikacji do odzyskiwania. Odbywa się to poprzez utworzenie dysku USB odzyskiwania, a następnie rozruch urządzenia, którego dotyczy problem, z tego dysku USB, aby przywrócić brakujący certyfikat.
Aby uzyskać instrukcje krok po kroku , zobacz oficjalny przewodnik firmy Microsoft dotyczący aktualizowania nośnika instalacyjnego systemu Windows.
P8: Jeśli certyfikaty bezpiecznego rozruchu na moim urządzeniu już wygasły, czy nadal mogę otrzymywać zaktualizowane certyfikaty?
Tak. Aktualizacje zbiorcze zawierające nowe certyfikaty bezpiecznego rozruchu mogą być nadal stosowane, nawet jeśli istniejące certyfikaty wygasły. Jeśli urządzenie umożliwia uruchomienie systemu Windows i zainstalowanie aktualizacji, zaktualizowane certyfikaty można zapisywać w oprogramowaniu układowym, postępując zgodnie z opublikowanymi wskazówkami dotyczącymi wdrażania. Większość urządzeń otrzyma te aktualizacje automatycznie, ale niektóre systemy mogą wymagać dodatkowych aktualizacji oprogramowania układowego.