Часто задаваемые вопросы о процессе обновления безопасной загрузки

Рекомендуется обновить сертификаты безопасной загрузки задолго до даты окончания срока действия в июне 2026 г. 

Если устройство управляется корпорацией Майкрософт и предоставляет доступ к диагностическим данным корпорации Майкрософт, в большинстве случаев корпорация Майкрософт попытается автоматически обновить сертификаты безопасной загрузки. Хотя корпорация Майкрософт будет делать все возможное, чтобы обновить безопасную загрузку, в некоторых ситуациях это обновление не гарантируется и потребует действий клиента. Клиент несет ответственность за обновление сертификатов безопасной загрузки. 

Ниже приведены примеры ситуаций, в которых не обновляются устройства, управляемые Корпорацией Майкрософт, с общими диагностическими данными. 

• Обновления безопасной загрузки (Майкрософт) работают только в некоторых версиях Windows с поддержкой.

• Диагностические данные, включенные на вашем устройстве, могут быть заблокированы брандмауэром в вашей организации и не доступны корпорации Майкрософт.

• Возможно, что-то не так с встроенным ПО на устройстве.

Примечание Что значит быть управляемым корпорацией Майкрософт? Система совместно использует диагностические данные и управляется Microsoft Cloud или Intune. 

Если ваше устройство не предоставляет доступ к диагностическим данным корпорации Майкрософт и управляется ИТ-отделом вашей организации или клиентом, ИТ-отдел может обновить системы в соответствии с рекомендациями Майкрософт в статье Срок действия сертификата безопасной загрузки Windows и обновления ЦС.

Если компьютер управляется корпорацией Майкрософт, сертификаты безопасной загрузки обновляются с помощью клиентский компонент Центра обновления Windows.  

Если компьютером управляет ваша организация или ИТ-администратор, ИТ-отдел имеет методы обновления системы с помощью инструкций в статье Срок действия сертификата безопасной загрузки Windows и обновления ЦС. 

Компьютер по-прежнему будет запускать Windows в обычном режиме, даже если сертификаты безопасной загрузки не обновляются.  
В конечном итоге компьютер перестанет получать определенные обновления системы безопасности Windows от Корпорации Майкрософт, включая обновления безопасности для диспетчера загрузки и компонента безопасной загрузки. Это поставит устройство под угрозу BootKit, которые могут получить полный контроль над компьютером.

Поддержка Windows 10 заканчивается 14 октября 2025 г. Дополнительные сведения см. в разделе Windows 10 поддержка заканчивается 14 октября 2025 г. 

Чтобы продолжить получать Обновления безопасности после этой даты, клиенты, оставшиеся на Windows 10, могут зарегистрироваться для: 

• Программа Windows 10 Обновления расширенной безопасности (ESU) см. Windows 10 программу Обновления расширенной безопасности (ESU)

• Или если у вас есть поддерживаемая версия LTSC Windows 10, она будет продолжать получать Обновления безопасности до даты окончания срока действия LTSC. Например, см. статью Программа расширенной Обновления безопасности (ESU) для Windows 10

Примечание

• Windows 10 Корпоративная LTSC можно приобрести как отдельный номер SKU или как часть подписки Windows Корпоративная E3.

• Windows IoT Enterprise LTSC можно приобрести непосредственно у изготовителя оборудования или через лицензию поставщика в качестве автономного номера SKU.

Существует два возможных пути: 

• Если компьютер управляется корпорацией Майкрософт с общими диагностическими данными и ос поддерживается, корпорация Майкрософт попытается выполнить обновление.

• Если устройство управляется клиентом или управляется ИТ-администратором, ИТ-отдел может применить обновления на проверенном наборе компьютеров, которые могут безопасно принимать обновления согласно рекомендациям Майкрософт в отношении срока действия сертификата безопасной загрузки Windows и обновлений ЦС.

Ожидается, что эти действия будут предназначены для большинства клиентов без необходимости обновления встроенного ПО от изготовителей оборудования. Однако в некоторых случаях обновления не применяются из-за известных или неизвестных проблем в встроенном ПО устройства. В таких случаях следуйте указаниям изготовителя оборудования по обновлению встроенного ПО. 

Примечание Описанный выше процесс применяет активные переменные безопасной загрузки через ОС. Значения встроенного ПО безопасной загрузки по умолчанию сохраняются в встроенном ПО, выпущенном изготовителем оборудования. Руководство заключается в том, чтобы не изменять или обновлять конфигурацию безопасной загрузки, если изготовитель оборудования не выпустил обновление для изменения встроенного ПО по умолчанию на новые сертификаты.

 Если срок действия сертификатов истекает, защита безопасной загрузки снижается. Если система соответствует требованиям для более новой ОС, такой как Windows 11, можно будет выполнить обновление до более новой версии ОС Windows 11.  

Если безопасная загрузка не включена на устройствах LTSC Windows 10, они не включаются в текущее развертывание для новых сертификатов безопасной загрузки. Когда вы начнете обновление до Windows 11 LTSC, вам потребуется выполнить определенные действия по миграции, относящиеся к этому моменту, чтобы обеспечить включение новых сертификатов 2023.

Сертификаты будут получать только поддерживаемые версии ОС Windows. 

После истечения срока действия сертификатов устройство продолжит загрузку без изменений, однако устройство перестанет получать обновления для системы безопасности для диспетчера загрузки и компонентов безопасной загрузки. Это поставит все устройство под угрозу вредоносных программ bootkit, которые могут повлиять на все аспекты безопасности на устройстве.

Для Windows, работающей в виртуальной среде, существует два способа добавления новых сертификатов в переменные встроенного ПО безопасной загрузки: 

• Создатель виртуальной среды (AWS, Azure, Hyper-V, VMware и т. д.) может предоставить обновление для среды и включить новые сертификаты в виртуализированное встроенное ПО. Это будет работать для новых виртуализированных устройств.

• Для Windows, работающей в долгосрочной перспективе на виртуальной машине, обновления могут применяться через Windows, как и на любых других устройствах, если виртуализированное встроенное ПО поддерживает обновления безопасной загрузки.

В этих управляемых клиентом или ИТ-средах часто не хватает диагностических данных, чтобы корпорация Майкрософт уверенно и безопасно развертывала новые функции. Кроме того, ИТ-отделы обычно предпочитают поддерживать полный контроль над временем обновления и содержимым, чтобы обеспечить соответствие, стабильность и совместимость с внутренними инструментами и рабочими процессами. Многие корпоративные устройства также работают в конфиденциальных или ограниченных средах, где внешний доступ или управление ими, подразумеваемые CFR, могут быть нежелательными или запрещенными.

Если Windows уже использует диспетчер загрузки со знаком 2023, но встроенное ПО сбрасывается до значений по умолчанию, которые не включают сертификат Windows UEFI CA 2023, безопасная загрузка заблокирует процесс загрузки. 

Чтобы устранить эту проблему, необходимо повторно применить сертификат 2023 к базе данных встроенного ПО с помощью приложения восстановления. Это делается путем создания USB-порта восстановления, а затем загрузки затронутого устройства с этого USB-устройства для восстановления отсутствующих сертификатов. 

Пошаговые инструкции см. в официальном руководстве Майкрософт по обновлению установок Windows.