Часто задаваемые вопросы о процессе обновления безопасной загрузки

Рекомендуется обновить сертификаты безопасной загрузки задолго до даты окончания срока действия в июне 2026 г. 

Если устройство управляется корпорацией Майкрософт и предоставляет доступ к диагностическим данным корпорации Майкрософт, в большинстве случаев корпорация Майкрософт попытается автоматически обновить сертификаты безопасной загрузки. Хотя корпорация Майкрософт будет делать все возможное, чтобы обновить безопасную загрузку, в некоторых ситуациях это обновление не гарантируется и потребует действий клиента. Клиент несет ответственность за обновление сертификатов безопасной загрузки. 

Ниже приведены примеры ситуаций, в которых не обновляются устройства, управляемые Корпорацией Майкрософт, с общими диагностическими данными. 

• Обновления безопасной загрузки (Майкрософт) работают только в некоторых версиях Windows с поддержкой.

• Диагностические данные, включенные на вашем устройстве, могут быть заблокированы брандмауэром в вашей организации и не доступны корпорации Майкрософт.

• Возможно, что-то не так с встроенным ПО на устройстве.

Примечание Что значит быть управляемым корпорацией Майкрософт? Система совместно использует диагностические данные и управляется Microsoft Cloud или Intune. 

Если ваше устройство не предоставляет доступ к диагностическим данным корпорации Майкрософт и управляется ИТ-отделом вашей организации или клиентом, ИТ-отдел может обновить системы в соответствии с рекомендациями Майкрософт в статье Срок действия сертификата безопасной загрузки Windows и обновления ЦС.

Если компьютер управляется корпорацией Майкрософт, сертификаты безопасной загрузки обновляются с помощью клиентский компонент Центра обновления Windows.  

Если компьютером управляет ваша организация или ИТ-администратор, ИТ-отдел имеет методы обновления системы с помощью инструкций в статье Срок действия сертификата безопасной загрузки Windows и обновления ЦС. 

Поддержка Windows 10 заканчивается 14 октября 2025 г. Дополнительные сведения см. в разделе Windows 10 поддержка заканчивается 14 октября 2025 г. 

Чтобы продолжить получать Обновления безопасности после этой даты, клиенты, оставшиеся на Windows 10, могут зарегистрироваться для: 

• Программа Windows 10 Обновления расширенной безопасности (ESU) см. Windows 10 программу Обновления расширенной безопасности (ESU)

• Или если у вас есть поддерживаемая версия LTSC Windows 10, она будет продолжать получать Обновления безопасности до даты окончания срока действия LTSC. Например, см. статью Программа расширенной Обновления безопасности (ESU) для Windows 10

Примечание

• Windows 10 Корпоративная LTSC можно приобрести как отдельный номер SKU или как часть подписки Windows Корпоративная E3.

• Windows IoT Enterprise LTSC можно приобрести непосредственно у изготовителя оборудования или через лицензию поставщика в качестве автономного номера SKU.

Устройство будет продолжать загружаться и работать в обычном режиме. Однако он больше не будет получать исправления безопасности для обновлений диспетчера загрузки Windows или безопасной загрузки, что ставит под угрозу безопасность устройства.

Сертификаты безопасной загрузки позволяют встроенному ПО проверять, что критически важные компоненты, такие как диспетчеры загрузки, параметров ПЗУ (драйверы встроенного ПО) и другое программное обеспечение на основе встроенного ПО, являются доверенными и не были изменены. Корпорация Майкрософт использует эти сертификаты для подписывания диспетчеров загрузки и других компонентов, которым следует доверять, а также для безопасной загрузки обновлений. По истечении срока действия старых сертификатов они больше не могут использоваться для подписания новых компонентов или обновлений.

Устройства с отключенной безопасной загрузкой не будут получать новые сертификаты безопасной загрузки в встроенном ПО. В результате они по-прежнему будут уязвимы для вредоносных программ на уровне загрузки, таких как загрузочные файлы, так как защита безопасной загрузки не применяется. 

Для соответствующих устройств, например для устройств, получающих накопительные обновления через развертывание на основе доверия или зарегистрированных в управляемом развертывании компонентов (CFR) с включенными диагностическими данными, корпорация Майкрософт попытается обновить все применимые сертификаты. Однако эти обновления предоставляются в качестве вспомогательной помощи, а не в качестве гарантии. ИТ-администраторы несут ответственность за обновление всего парка, используя автоматизированный CFR корпорации Майкрософт и другие задокументированные методы развертывания.

Сертификаты были включены в накопительные обновления (LCU) от 13 мая 2025 г. и более поздних версий. Однако они не применяются автоматически, дополнительные шаги требуются. Рекомендации по развертыванию см. в разделе https://aka.ms/getsecureboot.

Существует два возможных пути: 

• Если компьютер управляется корпорацией Майкрософт с общими диагностическими данными и ос поддерживается, корпорация Майкрософт попытается выполнить обновление.

• Если устройство управляется клиентом или управляется ИТ-администратором, ИТ-отдел может применить обновления на проверенном наборе компьютеров, которые могут безопасно принимать обновления согласно рекомендациям Майкрософт в отношении срока действия сертификата безопасной загрузки Windows и обновлений ЦС.

Ожидается, что эти действия будут предназначены для большинства клиентов без необходимости обновления встроенного ПО от изготовителей оборудования. Однако в некоторых случаях обновления не применяются из-за известных или неизвестных проблем в встроенном ПО устройства. В таких случаях следуйте указаниям изготовителя оборудования по обновлению встроенного ПО. 

Примечание Описанный выше процесс применяет активные переменные безопасной загрузки через ОС. Значения встроенного ПО безопасной загрузки по умолчанию сохраняются в встроенном ПО, выпущенном изготовителем оборудования. Руководство заключается в том, чтобы не изменять или обновлять конфигурацию безопасной загрузки, если изготовитель оборудования не выпустил обновление для изменения встроенного ПО по умолчанию на новые сертификаты.

 Если срок действия сертификатов истекает, защита безопасной загрузки снижается. Если система соответствует требованиям для более новой ОС, такой как Windows 11, можно будет выполнить обновление до более новой версии ОС Windows 11.  

Если безопасная загрузка не включена на устройствах LTSC Windows 10, они не включаются в текущее развертывание для новых сертификатов безопасной загрузки. Когда вы начнете обновление до Windows 11 LTSC, вам потребуется выполнить определенные действия по миграции, относящиеся к этому моменту, чтобы обеспечить включение новых сертификатов 2023.

Сертификаты будут получать только поддерживаемые версии ОС Windows. 

Для Windows, работающей в виртуальной среде, существует два способа добавления новых сертификатов в переменные встроенного ПО безопасной загрузки: 

• Создатель виртуальной среды (AWS, Azure, Hyper-V, VMware и т. д.) может предоставить обновление для среды и включить новые сертификаты в виртуализированное встроенное ПО. Это будет работать для новых виртуализированных устройств.

• Для Windows, работающей в долгосрочной перспективе на виртуальной машине, обновления могут применяться через Windows, как и на любых других устройствах, если виртуализированное встроенное ПО поддерживает обновления безопасной загрузки.

В этих управляемых клиентом или ИТ-средах часто не хватает диагностических данных, чтобы корпорация Майкрософт уверенно и безопасно развертывала новые функции. Кроме того, ИТ-отделы обычно предпочитают поддерживать полный контроль над временем обновления и содержимым, чтобы обеспечить соответствие, стабильность и совместимость с внутренними инструментами и рабочими процессами. Многие корпоративные устройства также работают в конфиденциальных или ограниченных средах, где внешний доступ или управление ими, подразумеваемые CFR, могут быть нежелательными или запрещенными.

Если Windows уже использует диспетчер загрузки со знаком 2023, но встроенное ПО сбрасывается до значений по умолчанию, которые не включают сертификат Windows UEFI CA 2023, безопасная загрузка заблокирует процесс загрузки. 

Чтобы устранить эту проблему, необходимо повторно применить сертификат 2023 к базе данных встроенного ПО с помощью приложения восстановления. Это делается путем создания USB-порта восстановления, а затем загрузки затронутого устройства с этого USB-устройства для восстановления отсутствующих сертификатов. 

Пошаговые инструкции см. в официальном руководстве Майкрософт по обновлению установок Windows.