Întrebări frecvente despre procesul de actualizare Secure Boot

Cel mai bine este să actualizați certificatele secure boot cu mult înainte de data de expirare din iunie 2026. 

Dacă dispozitivul dvs. este gestionat de Microsoft și partajează date de diagnosticare cu Microsoft, atunci Microsoft va încerca să actualizeze automat certificatele de bootare securizată în majoritatea cazurilor. Deși Microsoft va face tot posibilul pentru a actualiza Bootul securizat, vor exista unele situații în care actualizarea nu este garantată să se aplice și va avea nevoie de acțiuni din partea clientului. Clientul este responsabil în cele din urmă pentru actualizarea certificatelor secure boot. 

Iată câteva exemple de situații în care dispozitivele gestionate Microsoft cu date de diagnosticare partajate nu se actualizează sunt următoarele: 

• Actualizările De boot securizat Microsoft funcționează doar pe unele versiuni de Windows în asistență.

• Datele de diagnosticare activate pe dispozitivul dvs. ar putea fi blocate de un firewall din organizația dvs. și nu pot ajunge la Microsoft.

• Este posibil să fie ceva în neregulă cu firmware-ul de pe dispozitiv.

Notă Ce înseamnă să fiți "gestionat de Microsoft"? Sistemul partajează date de diagnosticare și este gestionat de Microsoft Cloud sau Intune. 

Dacă dispozitivul dvs. nu partajează date de diagnosticare cu Microsoft și este gestionat de departamentul IT al organizației dvs. sau de client, departamentul IT poate actualiza sistemele urmând instrucțiunile Microsoft din expirarea certificatului de boot securizat Windows și actualizările CA.

În cazul în care computerul este gestionat de Microsoft, certificatele Secure Boot sunt actualizate prin Windows Update.  

În cazul în care computerul este gestionat de organizația dvs. sau de administratorul IT de afaceri, atunci departamentul IT are metode de a actualiza sistemul utilizând instrucțiuni din expirarea certificatului de boot securizat Windows și actualizările CA. 

Computerul va porni în continuare Windows în mod normal, chiar dacă certificatele Secure Boot nu sunt actualizate.  
Computerul nu va mai primi în cele din urmă anumite actualizări de securitate Windows de la Microsoft, inclusiv actualizări de securitate pentru bootare și secure Boot componentă. Acest lucru va pune dispozitivul în pericol de BootKit-uri care ar putea prelua controlul complet al computerului.

Windows 10 asistența se încheie pe 14 octombrie 2025. Pentru mai multe informații, consultați Windows 10 se încheie asistența pe 14 octombrie 2025. 

Pentru a continua să primească Actualizări de securitate după această dată, clienții rămași în Windows 10 se pot înregistra pentru: 

• Programul Windows 10 Extended Security Actualizări (ESU), consultați programul Windows 10 Extended Security Actualizări (ESU)

• Sau, dacă aveți o versiune LTSC acceptată de Windows 10, aceasta va continua să obțină Actualizări de securitate până la data de expirare LTSC. De exemplu, consultați programul de Actualizări de securitate extinsă (ESU) pentru Windows 10

Notă

• Windows 10 Enterprise LTSC este disponibil pentru cumpărare fie ca SKU independent, fie ca parte a unui abonament Windows Enterprise E3.

• Windows IoT Enterprise LTSC poate fi achiziționat direct de la un OEM sau printr-o licență de furnizor ca SKU independent.

Există două căi posibile: 

• În cazul în care computerul este gestionat de Microsoft cu datele de diagnosticare partajate și sistemul de operare este acceptat, Microsoft va încerca să actualizeze.

• Dacă dispozitivul este gestionat de client sau gestionat de un administrator IT, atunci departamentul IT poate aplica actualizările pe setul validat de computere care pot prelua în siguranță actualizările conform instrucțiunilor Microsoft din expirarea certificatului de boot securizat Windows și actualizările CA.

Se așteaptă ca acești pași să se adreseze majori clienților fără a fi nevoie de o actualizare de firmware de la producătorii OEM. Totuși, vor exista anumite cazuri în care actualizările nu se aplică din cauza problemelor cunoscute sau necunoscute din firmware-ul dispozitivului. În astfel de cazuri, urmați instrucțiunile OEM privind actualizările de firmware. 

Notă Procesul de mai sus aplică variabilele active secure boot prin sistemul de operare. Valorile Secure Boot Firmware Default sunt menținute în firmware-ul care este lansat de producătorul OEM. Instrucțiunile sunt să nu modificați sau să actualizați configurația secure Boot decât dacă producătorul OEM a lansat o actualizare pentru a modifica valorile implicite ale firmware-ului la noile certificate.

 Dacă certificatele expiră, protecția Secure Boot este degradată. Dacă sistemul îndeplinește cerințele pentru un sistem de operare mai nou, cum ar fi Windows 11, va fi posibil să faceți upgrade la o versiune de sistem de operare mai nouă de Windows 11.  

Dacă Secure Boot nu este activat pe dispozitivele dvs. Windows 10 LTSC, acestea nu sunt incluse în lansarea curentă pentru noile certificate Secure Boot. Atunci când începeți upgrade-ul la Windows 11 LTSC, va trebui să urmați pașii de migrare relevanți în acel moment pentru a vă asigura că noile certificate 2023 sunt incluse.

Doar versiunile de sistem de operare Windows acceptate vor primi certificatele. 

După ce certificatele expiră, dispozitivul va continua să booteze fără modificări, însă dispozitivul nu va mai primi actualizări de securitate pentru managerul de bootare și pentru componentele Secure Boot. Acest lucru va pune întregul dispozitiv în pericol de malware "bootkit" care poate afecta toate aspectele de securitate de pe dispozitiv.

Pentru Windows care rulează într-un mediu virtual, există două metode de adăugare a noilor certificate la variabilele de firmware Secure Boot: 

• Creatorul mediului virtual (AWS, Azure, Hyper-V, VMware etc.) poate oferi o actualizare pentru mediu și poate include noile certificate în firmware-ul virtualizat. Acest lucru ar funcționa pentru noile dispozitive virtualizate.

• Pentru Windows care rulează pe termen lung într-o mașină virtuală, actualizările pot fi aplicate prin Windows la fel ca orice alte dispozitive, dacă firmware-ul virtualizat acceptă actualizări secure Boot.

Aceste medii gestionate de client/IT nu au adesea suficiente date de diagnosticare pentru ca Microsoft să implementeze cu încredere și în siguranță noile caracteristici. În plus, departamentele IT preferă de obicei să mențină control total asupra temporizării actualizărilor și a conținutului, pentru a asigura conformitatea, stabilitatea și compatibilitatea cu instrumentele și fluxurile de lucru interne. Multe dispozitive de întreprindere funcționează, de asemenea, în medii sensibile sau restricționate, în care accesul sau gestionarea externă - implicită de CFR - poate fi nedorită sau interzisă.

Dacă Windows utilizează deja managerul de boot semnat 2023, dar firmware-ul este resetat la valorile implicite care nu includ certificatul Windows UEFI CA 2023, Bootarea sigură va bloca procesul de boot. 

Pentru a remedia acest lucru, trebuie să aplicați din nou certificatul 2023 la baza de date a firmware-ului utilizând aplicația de recuperare. Acest lucru se face prin crearea unui USB de recuperare, apoi bootarea dispozitivului afectat de pe acel USB pentru a restaura certificatul lipsă. 

Pentru instrucțiuni pas cu pas, consultați Instrucțiunile oficiale Microsoft pentru actualizarea suportului de instalare Windows.