Potek potrdila o varnem zagonu sistema Windows in posodobitve overitelja digitalnih potrdil

Velja za
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Opomba

  • Izvirni datum objave: 26. junij 2025
  • ID zbirke znanja: 5062710
Dnevnik sprememb
Spremeni datum Opis spremembe
18 maja, 2026
  • Tabelo potrdil v razdelku »Potrdila za varni zagon sistema Windows, ki potečejo v letu 2026«, smo posodobili tako, da vključuje dan v mesecu.
5. maj 2026
  • Dodan je bil nov razdelek »Viri Microsoftove podpore uporabnikom«.
3 februarja, 2026
  • Dodan je bil nov razdelek »Vpliv poteka potrdila za varni zagon«.
  • Odstranili smo opombe, ki so označene kot »Pomembno« nad in pod razdelkom » Poziv k dejanju«.
10 novembra, 2025 Popravljeni dve tipkarski napaki v razdelku »Novo potrdilo«:
  • iz Microsoft Corporation KEK CA 2023" v »Microsoft Corporation KEK 2K CA 2023«
  • in iz »Microsoft Option ROM CA 2023« v »Microsoft Option ROM UEFI CA 2023«

Kaj je varni zagon?

Varni zagon je varnostna funkcija v vdelani programski opremi s poenotenim programskim vmesnikom (UEFI), ki pomaga zagotoviti, da se med zagonskim (zagonskim zaporedjem) naprave izvaja le zaupanja vredna programska oprema. Deluje tako, da preveri digitalni podpis programske opreme pred zagonom z naborom zaupanja vrednih digitalnih potrdil (imenovanih tudi overitelj digitalnih potrdil ali CA), ki so shranjena v vdelani programski opremi naprave. Varni zagon UEFI kot industrijski standard določa, kako vdelana programska oprema platforme upravlja potrdila, preverja pristnost vdelane programske opreme in kako operacijski sistem (OS) sodeluje s tem postopkom. Za več podrobnosti o vmesniku UEFI in varnem zagonu glejte temo Varni zagon.

Varni zagon je bil prvič uveden v sistemu Windows 8 za zaščito pred nastajajočo grožnjo zlonamerne programske opreme pred zagonom (imenovano tudi bootkit). Varni zagon kot del inicializacije platforme preveri pristnost modulov vdelane programske opreme pred izvedbo. Ti moduli vključujejo gonilnike vdelane programske opreme vmesnika UEFI (kot so izbirni ROM-ji), nalagalnike zagona in programe. V zadnjem koraku postopka varnega zagona vdelana programska oprema preveri, ali varni zagon zaupa nalagalniku zagona. Nato vdelana programska oprema prenese nadzor na nalagalnik zagona, ki nato preveri, naloži v pomnilnik in zažene operacijski sistem Windows.

Varni zagon določa zaupanja vredno kodo s pravilnikom vdelane programske opreme, nastavljenim med proizvodnjo. Spremembe tega pravilnika, na primer dodajanje ali preklic potrdil, nadzoruje hierarhija ključev. Ta hierarhija se začne s ključem platforme (PK), ki je običajno v lasti proizvajalca strojne opreme, sledi ključ za registracijo ključa (KEK) (imenovan tudi ključ za izmenjavo ključev), ki lahko vključuje Microsoft KEK in druge ključe KEK proizvajalca strojne opreme. Zbirki podatkov dovoljenih podpisov (DB) in zbirka podatkov nedovoljenih podpisov (DBX) določata, katera koda se lahko izvaja v okolju UEFI pred zagonom operacijskega sistema. Zbirka podatkov vključuje potrdila, ki jih upravljata Microsoft in proizvajalec strojne opreme, medtem ko DBX posodablja Microsoft z najnovejšimi preklici. Vsaka entiteta s ključem KEK lahko posodobi zbirko podatkov in DBX.

Vpliv poteka potrdila za varni zagon

Microsoft posodablja potrdila za varni zagon, ki so bila prvotno izdana leta 2011, s čimer zagotavlja, da naprave s sistemom Windows še naprej preverjajo zaupanja vredno programsko opremo za zagon. Ta starejša potrdila začnejo potekati junija 2026. Naprave, ki niso prejele novejših potrdil 2023, se bodo še naprej zagnale in normalno delovale, standardne posodobitve sistema Windows pa se bodo nameščale še naprej. Vendar pa te naprave ne bodo več mogle prejemati novih varnostnih zaščit za zgodnji postopek zagona, vključno s posodobitvami Upravitelja zagona sistema Windows, zbirkami podatkov varnega zagona, seznami preklicev ali ublažitvami na novo odkritih ranljivosti na ravni zagona.

Sčasoma to omeji zaščito naprave pred novimi grožnjami in lahko vpliva na scenarije, ki so odvisni od zaupanja vrednega varnega zagona, kot je utrjevanje zaščite BitLocker ali nalagalniki zagona drugih proizvajalcev. Večina naprav s sistemom Windows samodejno prejme posodobljena potrdila, številni proizvajalci strojne opreme pa po potrebi zagotovijo posodobitve vdelane programske opreme. Redno posodabljanje naprave s temi posodobitvami zagotavlja, da lahko še naprej prejema celoten nabor varnostnih zaščit, ki jih zagotavlja varni zagon.

Potrdila za varni zagon sistema Windows, ki potečejo v letu 2026

Odkar je sistem Windows uvedel podporo za varni zagon, imajo vse naprave s sistemom Windows isti nabor Microsoftovih potrdil v KEK in DB. Ta izvirna potrdila se približujejo datumu poteka in če ima katero od navedenih različic potrdila, to vpliva na vašo napravo. Če želite še naprej izvajati sistem Windows in prejemati redne posodobitve za konfiguracijo varnega zagona, morate posodobiti ta potrdila.

Terminologija

  • KEK: Ključ za včlanitev
  • CA: Overitelj digitalnih potrdil
  • DB: Zbirka podatkov podpisov varnega zagona
  • DBX: Varni zagon preklicane zbirke podatkov podpisov
Potrdilo pred potekom Datum poteka Novo potrdilo Shranjevanje lokacije Namen
Microsoft Corporation KEK CA 2011 24. junij 2026 Microsoft Corporation KEK 2K CA 2023 Shranjeno v KEK Podpiše posodobitve za DB in DBX.
Microsoft Windows Production PCA 2011 19 oktobra, 2026 Windows UEFI CA 2023 Shranjeno v zbirki podatkov Uporablja se za podpisovanje nalagalnika zagona sistema Windows.
Microsoft UEFI CA 2011*** 27. junij 2026 Microsoft UEFI CA 2023 Shranjeno v zbirki podatkov Podpiše nalagalnike zagona in aplikacije EFI neodvisnih izdelovalcev.
Microsoft UEFI CA 2011*** 27. junij 2026 Microsoftova možnost ROM UEFI CA 2023 Shranjeno v zbirki podatkov Podpiše možnostine ROM tretje osebe

Opomba

*Med podaljšanjem potrdila Microsoft Corporation UEFI CA 2011 dve potrdili ločujeta podpisovanje nalagalnika zagona od podpisovanja izbirnega ROM-a. To omogoča natančnejši nadzor nad zaupanjem sistema. Na primer, sistemi, ki morajo zaupati možnostinim ROM-om, lahko dodajo Microsoftovo možnost ROM UEFI CA 2023, ne da bi dodali zaupanje za nalagalnike zagona neodvisnih izdelovalcev.

Microsoft je izdal posodobljena potrdila za zagotavljanje neprekinjene zaščite varnega zagona v napravah s sistemom Windows. Microsoft bo postopek posodobitve za ta nova potrdila upravljal v velikem številu naprav s sistemom Windows. Poleg tega bomo ponudili podrobna navodila za organizacije, ki upravljajo posodobitve svojih naprav.

Poziv k dejanju

Morda boste morali ukrepati, da zagotovite, da bo vaša naprava s sistemom Windows ostala varna, ko potrdila potečejo leta 2026. Tako UEFI Secure Boot DB kot KEK morata biti posodobljena z ustreznimi novimi različicami potrdila 2023. Če želite več informacij o novih potrdilih, glejte Navodila za ustvarjanje in upravljanje ključa za varni zagon sistema Windows.

Vaša dejanja se razlikujejo glede na vrsto naprave s sistemom Windows, ki jo imate. V meniju na levi strani izberite vrsto naprave in določeno dejanje, ki ga morate izvesti.

Viri Microsoftove podpore za stranke

Če želite stopiti v stik z Microsoftovo podporo, glejte:

  • Microsoftovo podporo in nato kliknite Windows.

  • Podpora za podjetja , nato pa kliknite »Ustvari« , da ustvarite novo zahtevo za podporo.

    Ko ustvarite novo zahtevo za podporo, bi morala biti videti tako:

    Ustvarite novo zahtevo za podporo