Często zadawane pytania dotyczące procesu aktualizacji bezpiecznego rozruchu

Najlepiej zaktualizować certyfikaty bezpiecznego rozruchu na długo przed datą wygaśnięcia w czerwcu 2026 r. 

Jeśli urządzenie jest zarządzane przez firmę Microsoft i udostępnia firmie Microsoft dane diagnostyczne, w większości przypadków firma Microsoft podejmie próbę automatycznego zaktualizowania certyfikatów bezpiecznego rozruchu. Firma Microsoft dołoży wszelkich starań, aby zaktualizować bezpieczny rozruch, jednak w niektórych sytuacjach aktualizacja nie będzie gwarantowana i będzie wymagała działania klienta. Klient jest ostatecznie odpowiedzialny za zaktualizowanie certyfikatów bezpiecznego rozruchu. 

Przykładowe sytuacje, w których urządzenia zarządzane przez firmę Microsoft z udostępnionymi danymi diagnostycznymi nie są aktualizowane, są następujące: 

• Aktualizacje bezpiecznego rozruchu firmy Microsoft działają tylko w niektórych wersjach systemu Windows w ramach pomocy technicznej.

• Dane diagnostyczne włączone na urządzeniu mogą zostać zablokowane przez zaporę w twojej organizacji i nie można dołączyć do firmy Microsoft.

• Może wystąpić problem z oprogramowaniem układowym urządzenia.

Uwaga Co oznacza "Zarządzane przez firmę Microsoft"? System udostępnia dane diagnostyczne i jest zarządzany przez usługę Microsoft Cloud lub Intune. 

Jeśli urządzenie nie udostępnia firmie Microsoft danych diagnostycznych i jest zarządzane przez dział informatyczny Organizacji lub klienta, dział informatyczny może zaktualizować systemy zgodnie ze wskazówkami firmy Microsoft w artykule Wygasanie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji.

Jeśli komputer jest zarządzany przez firmę Microsoft, certyfikaty bezpiecznego rozruchu są aktualizowane za pośrednictwem Windows Update.  

Jeśli komputer jest zarządzany przez organizację lub administratora IT firmy, wówczas dział informatyczny ma metody aktualizacji systemu przy użyciu wskazówek w artykule Wygasanie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji. 

Windows 10 pomoc techniczna kończy się 14 października 2025 r. Aby uzyskać więcej informacji, zobacz Windows 10 kończy się 14 października 2025 r. 

Aby nadal otrzymywać Aktualizacje zabezpieczeń po tej dacie, klienci pozostający w Windows 10 mogą utworzyć konto w: 

• Program dodatkowych Aktualizacje zabezpieczeń Windows 10 (ESU) można znaleźć w temacie Program Windows 10 dodatkowych zabezpieczeń Aktualizacje (ESU)

• Jeśli natomiast masz obsługiwaną wersję ltsc Windows 10, będzie ona nadal otrzymywać Aktualizacje zabezpieczeń do daty wygaśnięcia LTSC. Zobacz na przykład program dodatkowych Aktualizacje zabezpieczeń (ESU) dla Windows 10

Uwaga

• Windows 10 Enterprise LTSC można kupić jako autonomiczną jednostkę SKU lub w ramach subskrypcji Windows Enterprise E3.

• System Windows IoT Enterprise LTSC można kupić bezpośrednio od producenta OEM lub za pośrednictwem licencji dostawcy jako autonomiczna jednostka SKU.

Urządzenie będzie nadal się uruchamiać i działać normalnie. Nie będzie jednak już kwalifikować się do otrzymywania poprawek zabezpieczeń związanych z aktualizacjami Menedżera rozruchu systemu Windows ani bezpiecznym rozruchem.

Certyfikaty bezpiecznego rozruchu umożliwiają oprogramowaniu układowi sprawdzenie, czy krytyczne składniki, takie jak menedżerowie rozruchu, romby opcji (sterowniki oprogramowania układowego) i inne oprogramowanie układowe, są zaufane i nie zostały naruszone. Firma Microsoft używa tych certyfikatów do podpisywania menedżerów rozruchu i innych składników, które powinny być zaufane, a także aktualizacji bezpiecznego rozruchu. Po wygaśnięciu starszych certyfikatów nie można ich już używać do podpisywania nowych składników ani aktualizacji.

Urządzenia z wyłączonym bezpiecznym rozruchem nie otrzymają nowych certyfikatów bezpiecznego rozruchu w oprogramowaniu układowym. W związku z tym pozostaną one narażone na złośliwe oprogramowanie na poziomie rozruchu, takie jak zestawy rozruchowe, ponieważ zabezpieczenia bezpiecznego rozruchu nie są wymuszane. 

W przypadku kwalifikujących się urządzeń — takich jak te, które otrzymują aktualizacje zbiorcze poprzez wdrożenie oparte na zaufaniu lub zarejestrowane w kontrolowanym wdrożeniu funkcji (CFR) z włączonymi danymi diagnostycznymi — firma Microsoft podejmie próbę zaktualizowania wszystkich odpowiednich certyfikatów. Jednak te aktualizacje są udostępniane jako pomoc, a nie gwarancja. Administratorzy IT pozostają odpowiedzialni za zapewnienie aktualizacji całej floty przy użyciu zautomatyzowanego CFR firmy Microsoft i innych udokumentowanych metod wdrażania.

Certyfikaty zostały uwzględnione w aktualizacjach zbiorczych (LCU) i nowszych 13 maja 2025 r. Nie są one jednak stosowane automatycznie, wymagane są dodatkowe kroki. Aby uzyskać wskazówki dotyczące wdrażania, zobacz https://aka.ms/getsecureboot.

Istnieją dwie możliwe ścieżki: 

• Jeśli komputer jest zarządzany przez firmę Microsoft z udostępnionymi danymi diagnostycznymi i system operacyjny jest obsługiwany, firma Microsoft podejmie próbę aktualizacji.

• Jeśli urządzenie jest zarządzane przez klienta lub zarządzane przez administratora IT, dział informatyczny może zastosować aktualizacje na zweryfikowanym zestawie komputerów, na których można bezpiecznie wprowadzać aktualizacje zgodnie ze wskazówkami firmy Microsoft w artykule Wygasanie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji.

Oczekuje się, że te kroki zostaną skierowane do większości klientów bez konieczności aktualizacji oprogramowania układowego od producenta OEM. Jednak w niektórych przypadkach aktualizacje nie mają zastosowania z powodu znanych lub nieznanych problemów z oprogramowaniem układowym urządzenia. W takich przypadkach postępuj zgodnie ze wskazówkami producenta OEM dotyczącymi aktualizacji oprogramowania układowego. 

Uwaga Powyższy proces powoduje zastosowanie zmiennych aktywnych bezpiecznego rozruchu za pośrednictwem systemu operacyjnego. Wartości domyślne oprogramowania układowego bezpiecznego rozruchu są zachowywane w oprogramowaniu układowym, które jest udostępniane przez producenta OEM. Wskazówki dotyczą nie zmieniania ani aktualizowania konfiguracji bezpiecznego rozruchu, chyba że producenta OEM wydał aktualizację w celu zmiany domyślnych ustawień oprogramowania układowego na nowe certyfikaty.

 Jeśli certyfikaty wygasną, ochrona bezpiecznego rozruchu jest obniżona. Jeśli system spełnia wymagania dla nowszego systemu operacyjnego, takiego jak Windows 11, możliwe będzie uaktualnienie do nowszej wersji systemu operacyjnego Windows 11.  

Jeśli na Windows 10 urządzeniach LTSC nie włączono bezpiecznego rozruchu, nie są one uwzględniane w bieżącym wdrożeniu nowych certyfikatów bezpiecznego rozruchu. Po rozpoczęciu uaktualniania do Windows 11 LTSC należy wykonać konkretne kroki migracji odpowiednie w tym czasie, aby zapewnić uwzględnienie nowych certyfikatów w wersji 2023.

Tylko obsługiwane wersje systemu operacyjnego Windows otrzymają certyfikaty. 

W przypadku systemu Windows działającego w środowisku wirtualnym istnieją dwie metody dodawania nowych certyfikatów do zmiennych oprogramowania układowego bezpiecznego rozruchu: 

• Twórca środowiska wirtualnego (AWS, Azure, Hyper-V, VMware itp.) może udostępnić aktualizację środowiska i dołączyć nowe certyfikaty do zwirtualizowanego oprogramowania układowego. To działa w przypadku nowych zwirtualizowanych urządzeń.

• W przypadku systemu Windows działającego długoterminowo na maszynie wirtualnej aktualizacje mogą być stosowane za pośrednictwem systemu Windows, podobnie jak na innych urządzeniach, jeśli zwirtualizowane oprogramowanie układowe obsługuje aktualizacje bezpiecznego rozruchu.

W tych środowiskach zarządzanych przez klientów/informatyków często brakuje wystarczających danych diagnostycznych, aby firma Microsoft pewnie i bezpiecznie wdrażała nowe funkcje. Ponadto działy IT zwykle wolą zachować pełną kontrolę nad chronometrażem aktualizacji i zawartością, aby zapewnić zgodność, stabilność i zgodność z narzędziami wewnętrznymi i przepływami pracy. Wiele urządzeń dla przedsiębiorstw działa również w środowiskach poufnych lub ograniczonych, w których dostęp zewnętrzny lub zarządzanie — dorozumiane przez CFR — mogą być niepożądane lub zabronione.

Jeśli system Windows używa już menedżera rozruchu z podpisem w wersji 2023, ale oprogramowanie układowe jest resetowane do ustawień domyślnych, które nie zawierają certyfikatu WINDOWS UEFI CA 2023, bezpieczny rozruch zablokuje proces rozruchu. 

Aby rozwiązać ten problem, należy ponownie zastosować certyfikat 2023 do bazy danych oprogramowania układowego przy użyciu aplikacji odzyskiwania. Odbywa się to przez utworzenie dysku USB odzyskiwania, a następnie uruchomienie urządzenia, którego dotyczy problem, z tego USB w celu przywrócenia brakującego certyfikatu. 

Aby uzyskać instrukcje krok po kroku, zobacz oficjalne wskazówki firmy Microsoft dotyczące aktualizowania nośnika instalacyjnego systemu Windows.