Często zadawane pytania dotyczące procesu aktualizacji bezpiecznego rozruchu

Po wygaśnięciu certyfikatów bezpiecznego rozruchu urządzenia, które nie otrzymały nowszych certyfikatów w wersji 2023, będą nadal uruchamiać się i działać normalnie, a standardowe aktualizacje systemu Windows będą nadal instalowane. Jednak te urządzenia nie będą już mogły otrzymywać nowych zabezpieczeń dla wczesnego procesu rozruchu, w tym aktualizacji Menedżera rozruchu systemu Windows, baz danych bezpiecznego rozruchu, list odwołań ani środków łagodzących nowo odkryte luki w zabezpieczeniach poziomu rozruchu. 

Z czasem ogranicza to ochronę urządzenia przed pojawiającymi się zagrożeniami i może wpływać na scenariusze oparte na zaufaniu bezpiecznego rozruchu, takie jak twardnienie funkcji BitLocker lub rozruchy innych firm. Większość urządzeń z systemem Windows automatycznie otrzyma zaktualizowane certyfikaty, a wielu producentach OEM dostarczyło aktualizacje oprogramowania układowego w razie potrzeby. Bieżące aktualizowanie urządzenia pozwala zapewnić, że nadal będzie ono mogło korzystać z pełnego zestawu zabezpieczeń, które ma zapewnić bezpieczny rozruch.

Najlepiej zaktualizować certyfikaty bezpiecznego rozruchu na długo przed datą wygaśnięcia w czerwcu 2026 r. 

Jeśli urządzenie jest zarządzane przez firmę Microsoft i udostępnia firmie Microsoft dane diagnostyczne, w większości przypadków firma Microsoft podejmie próbę automatycznego zaktualizowania certyfikatów bezpiecznego rozruchu. Firma Microsoft dołoży wszelkich starań, aby zaktualizować bezpieczny rozruch, ale w niektórych sytuacjach aktualizacja nie będzie gwarantowana i będzie wymagała działania klienta. Klient jest ostatecznie odpowiedzialny za zaktualizowanie certyfikatów bezpiecznego rozruchu. 

Przykłady sytuacji, w których urządzenia zarządzane przez firmę Microsoft z włączonymi danymi diagnostycznymi mogą nie otrzymywać aktualizacji, obejmują:

• Aktualizacje bezpiecznego rozruchu firmy Microsoft dotyczą tylko niektórych wersji systemu Windows obsługiwanych przez in-support.

• Dane diagnostyczne włączone na urządzeniu mogą zostać zablokowane przez zaporę w twojej organizacji i nie można dołączyć do firmy Microsoft.

• Być może wystąpił problem z oprogramowaniem układowym urządzenia.

Uwaga Co oznacza "Zarządzane przez firmę Microsoft"? System udostępnia dane diagnostyczne i jest zarządzany przez firmę Microsoft Cloud lub Intune. 

Jeśli urządzenie nie udostępnia firmie Microsoft danych diagnostycznych i jest zarządzane przez dział informatyczny Organizacji lub klienta, dział informatyczny może zaktualizować systemy zgodnie ze wskazówkami firmy Microsoft w artykule Wygasanie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji.

Jeśli komputer jest zarządzany przez firmę Microsoft, certyfikaty bezpiecznego rozruchu są aktualizowane za pośrednictwem Windows Update.  

Jeśli komputer jest zarządzany przez organizację lub administratora IT firmy, wówczas dział informatyczny ma metody aktualizacji systemu przy użyciu wskazówek w artykule Wygasanie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji. 

Windows 10 pomoc techniczna kończy się 14 października 2025 r. Aby uzyskać więcej informacji, zobacz Windows 10 kończy się 14 października 2025 r. 

Aby nadal otrzymywać Aktualizacje zabezpieczeń po tej dacie, klienci pozostający w Windows 10 mogą utworzyć konto w: 

• Program dodatkowych Aktualizacje zabezpieczeń Windows 10 (ESU) można znaleźć w temacie Program Windows 10 dodatkowych zabezpieczeń Aktualizacje (ESU)

• Jeśli natomiast masz obsługiwaną wersję ltsc Windows 10, będzie ona nadal otrzymywać Aktualizacje zabezpieczeń do daty wygaśnięcia LTSC. Zobacz na przykład program dodatkowych Aktualizacje zabezpieczeń (ESU) dla Windows 10

Uwaga

• Windows 10 Enterprise LTSC można kupić jako autonomiczną jednostkę SKU lub w ramach subskrypcji Windows Enterprise E3.

• System Windows IoT Enterprise LTSC można kupić bezpośrednio od producenta OEM lub za pośrednictwem licencji dostawcy jako autonomiczna jednostka SKU.

Certyfikaty bezpiecznego rozruchu umożliwiają oprogramowaniu układowi sprawdzenie, czy krytyczne składniki, takie jak menedżerowie rozruchu, romby opcji (sterowniki oprogramowania układowego) i inne oprogramowanie układowe, są zaufane i nie zostały naruszone. Firma Microsoft używa tych certyfikatów do podpisywania menedżerów rozruchu i innych składników, które powinny być zaufane, a także aktualizacji bezpiecznego rozruchu. Po wygaśnięciu starszych certyfikatów nie można ich już używać do podpisywania nowych składników ani aktualizacji.

Urządzenia z wyłączonym bezpiecznym rozruchem nie otrzymają nowych certyfikatów bezpiecznego rozruchu w oprogramowaniu układowym. W związku z tym pozostaną one narażone na złośliwe oprogramowanie na poziomie rozruchu, takie jak zestawy rozruchowe, ponieważ zabezpieczenia bezpiecznego rozruchu nie są wymuszane. 

W przypadku kwalifikujących się urządzeń — takich jak te, które otrzymują aktualizacje zbiorcze poprzez wdrożenie oparte na zaufaniu lub zarejestrowane w kontrolowanym wdrożeniu funkcji (CFR) z włączonymi danymi diagnostycznymi — firma Microsoft podejmie próbę zaktualizowania wszystkich odpowiednich certyfikatów. Jednak te aktualizacje są udostępniane jako pomoc, a nie gwarancja. Administratorzy IT pozostają odpowiedzialni za zapewnienie aktualizacji całej floty przy użyciu zautomatyzowanego CFR firmy Microsoft i innych udokumentowanych metod wdrażania.

Certyfikaty zostały uwzględnione w aktualizacjach zbiorczych (LCU) i nowszych 13 maja 2025 r. Nie są one jednak stosowane automatycznie, wymagane są dodatkowe kroki. Aby uzyskać wskazówki dotyczące wdrażania, zobacz https://aka.ms/getsecureboot.

Służą one do różnych celów.

Aktualizacje oprogramowania układowego mogą aktualizować domyślne zmienne bezpiecznego rozruchu przechowywane w oprogramowaniu układowym. Jest to przydatne przede wszystkim wtedy, gdy ustawienia bezpiecznego rozruchu zostaną później zresetowane do ustawień domyślnych, ponieważ domyślne ustawienia oprogramowania układowego określają, które certyfikaty zostaną przywrócone w tym scenariuszu.

System Windows stosuje zmiany do aktywnych zmiennych bezpiecznego rozruchu, które są wymuszane podczas normalnego rozruchu. Te zmienne aktywne są tym, czego oprogramowanie układowe używa do sprawdzania poprawności składników rozruchu i na czym polega system Windows w celu zapewnienia przyszłych zabezpieczeń bezpiecznego rozruchu.

W praktyce system Windows jest odpowiedzialny za utrzymanie bieżącej konfiguracji bezpiecznego rozruchu. Aktualizacje oprogramowania układowego pomagają zagwarantować, że wartości domyślne również zostaną zaktualizowane, co zmniejszy ryzyko, jeśli w przyszłości zostanie zresetowany lub ponownie inicjalizowany bezpieczny rozruch.

Administratorzy powinni upewnić się, że aktywne zmienne bezpiecznego rozruchu są aktualizowane i monitorować stan wdrożenia, niezależnie od tego, czy są dostępne aktualizacje oprogramowania układowego.

Istnieją dwie możliwe ścieżki: 

• Jeśli komputer jest zarządzany przez firmę Microsoft z udostępnionymi danymi diagnostycznymi i system operacyjny jest obsługiwany, firma Microsoft podejmie próbę aktualizacji.

• Jeśli urządzenie jest zarządzane przez klienta lub zarządzane przez administratora IT, dział informatyczny może zastosować aktualizacje na zweryfikowanym zestawie komputerów, na których można bezpiecznie wprowadzać aktualizacje zgodnie ze wskazówkami firmy Microsoft w artykule Wygasanie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji.

Oczekuje się, że te kroki zostaną skierowane do większości klientów bez konieczności aktualizacji oprogramowania układowego od producenta OEM. Jednak w niektórych przypadkach aktualizacje nie mają zastosowania z powodu znanych lub nieznanych problemów z oprogramowaniem układowym urządzenia. W takich przypadkach postępuj zgodnie ze wskazówkami producenta OEM dotyczącymi aktualizacji oprogramowania układowego. 

Uwaga Powyższy proces powoduje zastosowanie zmiennych aktywnych bezpiecznego rozruchu za pośrednictwem systemu operacyjnego. Wartości domyślne oprogramowania układowego bezpiecznego rozruchu są zachowywane w oprogramowaniu układowym, które jest udostępniane przez producenta OEM. Wskazówki dotyczą nie zmieniania ani aktualizowania konfiguracji bezpiecznego rozruchu, chyba że producenta OEM wydał aktualizację w celu zmiany domyślnych ustawień oprogramowania układowego na nowe certyfikaty.

 Jeśli certyfikaty wygasną, ochrona bezpiecznego rozruchu jest obniżona. Jeśli system spełnia wymagania dla nowszego systemu operacyjnego, takiego jak Windows 11, możliwe będzie uaktualnienie do nowszej wersji systemu operacyjnego Windows 11.  

Jeśli na Windows 10 urządzeniach LTSC nie włączono bezpiecznego rozruchu, nie są one uwzględniane w bieżącym wdrożeniu nowych certyfikatów bezpiecznego rozruchu. Po rozpoczęciu uaktualniania do Windows 11 LTSC należy wykonać konkretne kroki migracji odpowiednie w tym czasie, aby zapewnić uwzględnienie nowych certyfikatów w wersji 2023.

Tylko obsługiwane wersje systemu operacyjnego Windows otrzymają certyfikaty. 

W przypadku systemu Windows działającego w środowisku wirtualnym istnieją dwie metody dodawania nowych certyfikatów do zmiennych oprogramowania układowego bezpiecznego rozruchu: 

• Twórca środowiska wirtualnego (AWS, Azure, Hyper-V, VMware itp.) może udostępnić aktualizację środowiska i dołączyć nowe certyfikaty do zwirtualizowanego oprogramowania układowego. To działa w przypadku nowych zwirtualizowanych urządzeń.

• W przypadku systemu Windows działającego długoterminowo na maszynie wirtualnej aktualizacje mogą być stosowane za pośrednictwem systemu Windows, podobnie jak na innych urządzeniach, jeśli zwirtualizowane oprogramowanie układowe obsługuje aktualizacje bezpiecznego rozruchu.

W tych środowiskach zarządzanych przez klientów/informatyków często brakuje wystarczających danych diagnostycznych, aby firma Microsoft pewnie i bezpiecznie wdrażała nowe funkcje. Ponadto działy IT zwykle wolą zachować pełną kontrolę nad chronometrażem aktualizacji i zawartością, aby zapewnić zgodność, stabilność i zgodność z narzędziami wewnętrznymi i przepływami pracy. Wiele urządzeń dla przedsiębiorstw działa również w środowiskach poufnych lub ograniczonych, w których dostęp zewnętrzny lub zarządzanie — dorozumiane przez CFR — mogą być niepożądane lub zabronione.

Jeśli system Windows używa już menedżera rozruchu z podpisem w wersji 2023, ale oprogramowanie układowe jest resetowane do ustawień domyślnych, które nie zawierają certyfikatu WINDOWS UEFI CA 2023, bezpieczny rozruch zablokuje proces rozruchu. 

Aby rozwiązać ten problem, należy ponownie zastosować certyfikat 2023 do bazy danych oprogramowania układowego przy użyciu aplikacji odzyskiwania. Odbywa się to przez utworzenie dysku USB odzyskiwania, a następnie uruchomienie urządzenia, którego dotyczy problem, z tego USB w celu przywrócenia brakującego certyfikatu. 

Aby uzyskać instrukcje krok po kroku, zobacz oficjalne wskazówki firmy Microsoft dotyczące aktualizowania nośnika instalacyjnego systemu Windows. 

​​​​​​​Tak. Aktualizacje zbiorcze zawierające nowe certyfikaty bezpiecznego rozruchu nadal mogą być stosowane, nawet jeśli istniejące certyfikaty wygasły. Jeśli urządzenie może uruchamiać system Windows i instalować aktualizacje, zaktualizowane certyfikaty można zapisać w oprogramowaniu układowym, postępując zgodnie z opublikowanymi wskazówkami dotyczącymi wdrażania. Większość urządzeń będzie automatycznie otrzymywać te aktualizacje, ale niektóre systemy mogą wymagać dodatkowych aktualizacji oprogramowania układowego.