Pogosta vprašanja o postopku posodobitve varnega zagona

Po poteku potrdil za varni zagon se bodo naprave, ki niso prejele novejših potrdil 2023, še naprej zaganjajo in delujejo normalno, standardne posodobitve sistema Windows pa se bodo še naprej nameščali. Vendar pa te naprave ne bodo več prejemale novih varnostnih zaščite za proces predčasnega zagona, vključno s posodobitvami za upravitelja zagona sistema Windows, zbirke podatkov za varni zagon, sezname ukinjenih naslovov ali ublažitev posledic za na novo odkrite ranljivosti na ravni zagona. 

Sčasoma s tem omejite zaščito naprave pred nastajajočimi grožnjami in lahko vplivate na scenarije, ki so odvisni od zaupanja varnega zagona, kot je utrjevanje storitve BitLocker ali zagonski naložitev drugih ponudnikov. Večina naprav s sistemom Windows samodejno prejme posodobljena potrdila, številni proizvajalci strojne opreme pa so po potrebi predložili posodobitve vdelane programske opreme. Ohranjanje trenutnega stanja naprave s temi posodobitvami pomaga zagotoviti, da lahko še naprej prejema celoten nabor varnostnih zaščite, ki jih zagotavlja varni zagon.

Najbolje je, da potrdila za varni zagon posodobite dobro pred datumom poteka junija 2026. 

Če vašo napravo upravlja Microsoft in so diagnostični podatki v skupni rabi z Microsoftom, bo Microsoft v večini primerov poskusil samodejno posodobiti potrdila za varni zagon. Microsoft bo storil vse potrebno za posodobitev varnega zagona, vendar bo v nekaterih primerih posodobitev morda ne bo veljala in bo potrebno ukrepanje stranke. Stranka je na koncu odgovorna za posodobitev potrdil varnega zagona. 

Primeri situacij, v katerih naprave, ki jih upravlja Microsoft in imajo omogočene diagnostične podatke, morda ne bodo prejemale posodobitev:

• Posodobitve Microsoftovega varnega zagona veljajo le za nekatere različice sistema Windows, ki so podprte.

• Diagnostične podatke, ki so omogočeni v vaši napravi, lahko blokira požarni zid v vaši organizaciji in ne doseže Microsofta.

• Morda je kaj narobe z vdelano programsko opremo v napravi.

Opomba Kaj pomeni »Upravlja Microsoft«? Sistem deli diagnostične podatke v skupno rabi in jih upravlja storitev Microsoft Cloud ali Intune. 

Če vaša naprava ne daje diagnostičnih podatkov v skupno rabo z Microsoftom in jih upravlja oddelek za IT vaše organizacije ali stranka, lahko oddelek za IT posodobi sisteme tako, da upošteva Microsoftova navodila v razdelku Potek potrdila za varni zagon sistema Windows in posodobitve overitelja digitalnih potrdil.

Če računalnik upravlja Microsoft, se potrdila za varni zagon posodabljajo prek Windows Update.  

Če računalnik upravlja vaša organizacija ali skrbnik za IT podjetja, ima oddelek za IT načine za posodobitev sistema na način, ki uporablja navodila v razdelku Potek potrdila za varni zagon sistema Windows in posodobitve overitelja digitalnih potrdil. 

Windows 10 podpora se konča 14. oktobra 2025. Če želite več informacij, Windows 10 podpora 14. oktobra 2025 ukinja. 

Če želite po tem datumu še Posodobitve varnostne posodobitve, se lahko stranke, ki Windows 10 v storitvi, prijavijo za: 

• Program Windows 10 za razširjeno Posodobitve (ESU) si oglejte Windows 10 programa Posodobitve razširjene varnosti (ESU)

• Če imate podprto različico naročnine na ltsc, Windows 10 še naprej prejemati varnostne posodobitve Posodobitve do datuma poteka ltsc. Glejte na primer program razširjenih varnostnih Posodobitve (ESU) za Windows 10

Opomba

• Windows 10 Enterprise paket LTSC je na voljo za nakup kot samostojna inventarna številka ali kot del naročnine na Windows Enterprise E3.

• Windows IoT Enterprise LTSC lahko kupite neposredno pri proizvajalcu strojne opreme ali prek licence prodajalca kot samostojno inventarno številko.

Potrdila za varni zagon omogočajo, da vdelana programska oprema preveri, ali so kritične komponente, kot so upravitelji zagona, možnost ROM-ov (gonilniki vdelane programske opreme) in druga programska oprema, ki temelji na vdelani programski opremi, zaupanja vredne in da jih niso spreminjali. Microsoft uporablja ta potrdila za podpisovanje upraviteljev zagona in drugih komponent, ki jim je treba zaupati, ter za posodobitve varnega zagona. Ko starejša potrdila potečejo, jih ni več mogoče uporabljati za podpisovanje novih komponent ali posodobitev.

Naprave z onemogočenim varnim zagonom ne bodo prejele novih potrdil za varni zagon v vdelani programski opremi. Zato bodo še naprej ranljivi za zlonamerno programsko opremo na ravni zagona, kot so zagonski kompleti, ker se zaščita pred varnim zagonom ne uveljavlja. 

Za upravičene naprave, kot so naprave, ki prejemajo zbirne posodobitve prek uvedbe na podlagi zaupanja ali včlanitve v uvedbo nadzorovanih funkcij z omogočenimi diagnostičnimi podatki, bo Microsoft poskusil posodobiti vsa veljavna potrdila. Vendar pa so te posodobitve na voljo kot pomoč in ne kot zagotovilo. Skrbniki IT ostanejo odgovorni za to, da se posodobi njihova celotna flota z Microsoftovim avtomatiziranim CFR-jem in drugimi dokumentiranimi metodami uvajanja.

Certifikati so bili vključeni v 13. maju 2025, zbirnih posodobitvah (LCU) in novejših. Vendar pa niso uporabljeni samodejno dodatni koraki. Navodila za uvedbo najdete v https://aka.ms/getsecureboot.

Služijo različnim namenom.

Posodobitve vdelane programske opreme lahko posodobijo privzete spremenljivke varnega zagona, shranjene v vdelani programski opremi. To je predvsem uporabno, če se nastavitve varnega zagona pozneje ponastavijo na privzete nastavitve, saj privzete nastavitve vdelane programske opreme določajo, katera potrdila bodo v tem scenariju obnovljena.

Windows uveljavi spremembe v aktivnih spremenljivkah varnega zagona, ki se vsilijo med običajnim zagonom. Te aktivne spremenljivke uporabljajo vdelana programska oprema za preverjanje komponent zagona in od tega, na kaj sistem Windows temelji pri zagotavljanju prihodnjih zaščite varnega zagona.

V praksi je Sistem Windows odgovoren za ohranjanje trenutne aktivne konfiguracije varnega zagona. Posodobitve vdelane programske opreme pomagajo zagotoviti, da se posodobijo tudi privzete vrednosti, kar zmanjša tveganje, če se varni zagon v prihodnje ponastavi ali ponovno uvede.

Skrbniki morajo zagotoviti, da so aktivne spremenljivke varnega zagona posodobljene in nadzorujejo stanje uvajanja, ne glede na to, ali so na voljo posodobitve vdelane programske opreme.

Obstajata dve možni poti: 

• Če računalnik upravlja Microsoft z diagnostičnimi podatki v skupni rabi in je operacijski sistem podprt, bo Microsoft poskusil posodobiti.

• Če stranko naprave upravlja ali upravlja skrbnik za IT, lahko oddelek za IT posodobitve uporabi v preverjenem naboru računalnikov, ki lahko varno prenesejo posodobitve glede na Microsoftova navodila v razdelku Potek potrdila za varni zagon sistema Windows in Posodobitve overitelja digitalnih potrdil.

Od teh korakov se pričakuje, da bo nagovoril večino strank, ne da bi pri proizvajalcih strojne opreme potrebovali posodobitev vdelane programske opreme. Vendar pa bodo v nekaterih primerih posodobitve ne uporabljene zaradi znanih ali neznanih težav v vdelani programski opremi naprave. V takih primerih sledite navodilom proizvajalca strojne opreme za posodobitve vdelane programske opreme. 

Opomba Zgornji postopek uporablja aktivne spremenljivke varnega zagona prek operacijskega sistema. Privzete vrednosti vdelane programske opreme varnega zagona se ohranijo v vdelani programski opremi, ki jo izda izvirni proizvajalec strojne opreme. Navodila so, da konfiguracije varnega zagona ne spremenite ali posodobite, razen če izvirni proizvajalec strojne opreme izda posodobitev, s katero lahko privzete nastavitve vdelane programske opreme spremenite v nova potrdila.

 Če potrdila potečejo, se zaščita varnega zagona poslabša. Če sistem izpolnjuje zahteve za novejšo različico operacijskega sistema, kot Windows 11, bo mogoče nadgraditi na novejšo različico operacijskega sistema sistema Windows 11.  

Če varni zagon v vaših napravah s Windows 10 LTSC ni omogočen, niso vključeni v trenutno izdajo za nova potrdila za varni zagon. Ko začnete nadgradnjo na Windows 11 ltsc, boste morali upoštevati določene korake selitve, ki so takrat pomembni, da zagotovite, da bodo vključena nova potrdila 2023.

Potrdila bodo dobile le podprte različice operacijskega sistema Windows. 

Za Windows, ki se izvaja v navideznem okolju, obstajata dva načina za dodajanje novih potrdil v spremenljivke vdelane programske opreme za varni zagon: 

• Avtor navideznega okolja (AWS, Azure, Hyper-V, VMware itd.) lahko zagotovi posodobitev za okolje in vključi nova potrdila v virtualizirano vdelano programsko opremo. To bi delovalo za nove virtualizirane naprave.

• Pri sistemu Windows, ki se izvaja v navideznem računalniku, se lahko posodobitve uveljavijo prek sistema Windows kot katere koli druge naprave, če virtualizirana vdelana programska oprema podpira posodobitve varnega zagona.

V teh okoljih, ki jih upravljajo stranke/IT, Microsoft pogosto nima dovolj diagnostičnih podatkov za samozavestno in varno uporabo novih funkcij. Poleg tega oddelki za IT običajno želijo ohraniti popoln nadzor nad časovnim usklajevanjem posodobitev in vsebino ter tako zagotovijo skladnost, stabilnost in združljivost z notranjimi orodji in poteki dela. Številne poslovne naprave delujejo tudi v občutljivih ali omejenih okoljih, kjer sta zunanji dostop ali upravljanje, nakazana s CFR, morda nezaželena ali prepovedana.

Če Windows že uporablja upravitelja zagona s podpisom 2023, vendar se vdelana programska oprema ponastavi na privzete nastavitve, ki ne vključujejo potrdila za Windows UEFI CA 2023, bo varni zagon blokiral postopek zagona. 

Če želite odpraviti to težavo, morate potrdilo 2023 znova uporabiti v zbirki podatkov vdelane programske opreme z aplikacijo za obnovitev. To naredite tako, da ustvarite obnovitveni USB, nato pa zaženite prizadeto napravo s tega pogona USB, da obnovite manjkajoče potrdilo. 

Če želite navodila po korakih, glejte Microsoftove uradne smernice za posodobitev namestitvenega medija za Windows. 

​​​​​​​Da. Zbirne posodobitve, ki vsebujejo nova potrdila za varni zagon, lahko še vedno uporabite, tudi če so obstoječa potrdila potekla. Če lahko naprava zažene sistem Windows in namesti posodobitve, lahko posodobljena potrdila zapišejo v vdelano programsko opremo tako, da sledite objavljenim navodilom za uvedbo. Večina naprav bo te posodobitve prejemala samodejno, vendar nekateri sistemi morda zahtevajo dodatne posodobitve vdelane programske opreme.