Применяется к
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Исходная дата публикации: 26 июня 2025 г.

Идентификатор базы знаний: 5062710

Что такое безопасная загрузка?

Безопасная загрузка — это функция безопасности встроенного ПО на основе UEFI, которая помогает гарантировать, что во время загрузки (запуска) устройства выполняется только доверенное программное обеспечение. Он работает путем проверки цифровой подписи предзагрузочного программного обеспечения с набором доверенных цифровых сертификатов (также известных как центр сертификации или ЦС), хранящихся в встроенном ПО устройства. В качестве отраслевого стандарта безопасная загрузка UEFI определяет, как встроенное ПО платформы управляет сертификатами, проверяет подлинность встроенного ПО и как операционная система (ОС) взаимодействует с этим процессом. Дополнительные сведения о UEFI и безопасной загрузке см. в разделе Безопасная загрузка.

Безопасная загрузка впервые появилась в Windows 8 для защиты от новой угрозы перед загрузкой (также известной как bootkit). В рамках инициализации платформы безопасная загрузка проверяет подлинность модулей встроенного ПО перед выполнением. Эти модули включают драйверы встроенного ПО UEFI (например, дополнительные ПЗУ), загрузчики и приложения. В качестве последнего шага процесса безопасной загрузки встроенное ПО проверяет, доверяет ли безопасная загрузка загрузчику. Затем встроенное ПО передает управление загрузчику, который, в свою очередь, проверяет, загружает в память и запускает ОС Windows.

Безопасная загрузка определяет доверенный код с помощью политики встроенного ПО, установленной во время производства. Изменения в этой политике, такие как добавление или отзыв сертификатов, управляются иерархией ключей. Эта иерархия начинается с ключа платформы (PK), обычно принадлежавшего производителю оборудования, а затем ключа регистрации ключей (KEK) (также известного как ключ обмена ключами), который может включать microsoft KEK и другие oem KEK. Разрешенная база данных сигнатур (БД) и база данных запрещенных подписей (DBX) определяют, какой код можно выполнить в среде UEFI до запуска ОС. База данных включает сертификаты, управляемые корпорацией Майкрософт и изготовителем оборудования, а dbX обновляется корпорацией Майкрософт с помощью последних отзывов. Любая сущность с KEK может обновить базу данных и DBX.

Срок действия сертификатов безопасной загрузки Windows истекает в 2026 г.

С тех пор, как в Windows появилась поддержка безопасной загрузки, все устройства под управлением Windows имели один и тот же набор сертификатов Майкрософт в KEK и db. Срок действия этих исходных сертификатов приближается, и ваше устройство будет затронуто, если у него есть какая-либо из перечисленных версий сертификатов. Чтобы продолжить работу Windows и получать регулярные обновления для конфигурации безопасной загрузки, необходимо обновить эти сертификаты.

Терминология

  • KEK: Ключ регистрации ключа

  • Центр сертификации: Центр сертификации

  • ДБ: Безопасная база данных сигнатур загрузки

  • DBX: База данных отозванной подписи безопасной загрузки

Сертификат с истекающим сроком действия

Дата окончания срока действия

Новый сертификат

Расположение хранения

Цель

Microsoft Corporation KEK CA 2011

Июнь 2026 г.

Microsoft Corporation KEK CA 2023

Хранится в KEK

Подписывает обновления для DB и DBX.

Microsoft Windows Production PCA 2011

Октябрь 2026 г.

Windows UEFI CA 2023

Хранящееся в базе данных

Используется для подписывания загрузчика Windows.

Microsoft UEFI CA 2011*

Июнь 2026 г.

Microsoft UEFI CA 2023

Хранящееся в базе данных

Подписывает сторонние загрузчики и приложения EFI.

Microsoft UEFI CA 2011*

Июнь 2026 г.

ЦС 2023 дополнительного ПЗУ (Майкрософт)

Хранящееся в базе данных

Подписывает сторонние ПЗУ

*Во время продления сертификата Microsoft Corporation UEFI CA 2011 два сертификата отделяют подписывание загрузчика от подписи дополнительного ПЗУ. Это обеспечивает более точное управление доверием к системе. Например, системы, которым требуется доверять параметров ROM, могут добавлять microsoft Option ROM UEFI CA 2023 без добавления доверия к сторонним загрузчикам.

Корпорация Майкрософт выпустила обновленные сертификаты, чтобы обеспечить непрерывность защиты безопасной загрузки на устройствах Windows. Корпорация Майкрософт будет управлять процессом обновления этих новых сертификатов на значительной части устройств Windows. Кроме того, мы предложим подробные рекомендации для организаций, которые управляют собственными обновлениями устройств.

Важно! По истечении срока действия ЦС 2011 устройства с Windows, не имеющие новых сертификатов 2023, больше не смогут получать исправления безопасности для компонентов предварительной загрузки, которые подрывают безопасность загрузки Windows.

Призыв к действию

Возможно, вам потребуется принять меры, чтобы обеспечить безопасность устройства с Windows по истечении срока действия сертификатов в 2026 году. Для базы данных безопасной загрузки UEFI и KEK необходимо обновить соответствующие новые версии сертификата 2023. Дополнительные сведения о новых сертификатах см. в статье Руководство по созданию ключей безопасной загрузки Windows и управлению ими

Важно! Без обновлений устройства Windows с поддержкой безопасной загрузки рискуют не получать обновления для системы безопасности или доверять новым загрузчикам, что посягает как на удобство обслуживания, так и на безопасность.

Ваши действия будут отличаться в зависимости от типа устройства с Windows. Выберите в меню слева тип устройства и конкретное действие, которое необходимо выполнить.  

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей