Vanliga frågor och svar om uppdateringsprocessen för säker start

Gäller för
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Obs

  • Ursprungligt publiceringsdatum: Den 15 september 2025
  • KB-ID: 5068008
Ändringslogg
Ändra datum Ändra beskrivning
Den 23 februari 2026
  • Lade till vanliga frågor och svar under "Allmänna vanliga frågor och svar om säker start"
Den 9 februari 2026
  • Vanliga frågor och svar har lagts till under "Vanliga frågor och svar om säker start för kund-/IT-hanterade system"
Den 3 februari 2026
  • Flyttade upp "Kv4" till "Kv1" under "Allmänna vanliga frågor och svar om säker start" och uppdaterade innehållet.
Den 12 januari 2026
  • Förtydligade beteendet när certifikat upphör att gälla för kvartal 4.

Allmänna vanliga frågor och svar om säker start

F1: Vad händer om min enhet inte får de nya certifikaten för säker start innan de gamla upphör att gälla?

När certifikaten för säker start upphör att gälla fortsätter enheter som inte har fått de nyare certifikaten för 2023 att starta och fungera normalt, och Windows-standarduppdateringar fortsätter att installeras. Dessa enheter kommer dock inte längre att kunna ta emot nya säkerhetsskydd för den tidiga startprocessen, inklusive uppdateringar av Windows Boot Manager, Secure Boot-databaser, återkallningslistor eller lösningar för nyligen upptäckta säkerhetsrisker på startnivå.

Med tiden begränsas enhetens skydd mot nya hot och kan påverka scenarier som förlitar sig på säker start, till exempel BitLocker-härdning eller startprogram från tredje part. De flesta Windows-enheter får de uppdaterade certifikaten automatiskt och många OEM-tillverkare har tillhandahållit uppdateringar av inbyggd programvara vid behov. Genom att hålla enheten uppdaterad med dessa uppdateringar kan den fortsätta att få den fullständiga uppsättning säkerhetsskydd som Säker start är utformat för.

F2: När ska Secure Boot-certifikat uppdateras?

Det är bäst att uppdatera Secure Boot-certifikat i god tid före förfallodatumet i juni 2026.

Om enheten hanteras av Microsoft och delar diagnostikdata med Microsoft försöker Microsoft i de flesta fall uppdatera certifikaten för säker start automatiskt. Microsoft gör sitt bästa för att uppdatera Säker start, men det kommer att uppstå vissa situationer där uppdateringen inte är garanterad att gälla och kräver åtgärder från kunden. Kunden är ytterst ansvarig för att uppdatera certifikaten för säker start.

Exempel på situationer där Microsoft-hanterade enheter med aktiverade diagnostikdata kanske inte får uppdateringar är:

  • Uppdateringar för Microsoft Säker start gäller endast vissa Windows-versioner där supporten ingår.
  • De diagnostikdata som är aktiverade på din enhet kan blockeras av en brandvägg i din organisation och inte nå Microsoft.
  • Det kan vara något fel med den inbyggda programvaran på enheten.

Anteckning Vad innebär det att vara "Managed by Microsoft"? Systemet delar diagnostikdata och hanteras av Microsoft Cloud eller Intune.

Om din enhet inte delar diagnostikdata med Microsoft och hanteras av organisationens IT-avdelning eller av kunden, kan IT-avdelningen uppdatera systemen enligt Microsofts vägledning i Windows Secure Boot-certifikatets förfallodatum och CA-uppdateringar.

F3: Hur uppdateras Secure Boot-certifikat?

Om datorn hanteras av Microsoft uppdateras Secure Boot-certifikat via Windows Update.

Om datorn hanteras av din organisation eller IT-administratör har IT-avdelningen metoder för att uppdatera systemet med hjälp av vägledning i Windows Säker start-certifikatets förfallodatum och CA-uppdateringar.

F4: Vad händer med Windows 10-system efter utökad säkerhetsuppdatering (ESU) den 14 oktober 2025?

Supporten för Windows 10 upphör 14 oktober 2025. Mer information finns i Supporten för Windows 10 upphör 14 oktober 2025.

För att fortsätta få uppdateringar för säkerhet efter detta datum kan kunder som fortfarande använder Windows 10 registrera sig för:

Obs

  • Windows 10 Enterprise LTSC är tillgängligt för köp antingen som en fristående SKU eller som en del av en Windows Enterprise E3-prenumeration.
  • Windows IoT Enterprise LTSC kan köpas direkt från en OEM-tillverkare eller via en leverantörslicens som en fristående SKU.
F5: Hur används Secure Boot-certifikat?

Certifikat för säker start gör det möjligt för den inbyggda programvaran att verifiera att kritiska komponenter, till exempel starthanterare, alternativ-ROM (drivrutiner för inbyggd programvara) och annan programvara baserad på inbyggd programvara, är betrodda och inte har manipulerats. Microsoft använder dessa certifikat för att signera starthanterare och andra komponenter som ska vara betrodda, samt uppdateringar för säker start. När äldre certifikat upphör att gälla kan de inte längre användas för att signera nya komponenter eller uppdateringar.

F6: Hur påverkas enheter med Säker start inaktiverat?

Enheter med Säker start inaktiverat får inte de nya certifikaten för säker start i den inbyggda programvaran. Därför förblir de sårbara för skadlig kod på startnivå, till exempel bootkits, eftersom skydd för säker start inte tillämpas.

F7: Kommer Microsoft att uppdatera alla certifikat för säker start, inklusive de i KEK och DB?

För berättigade enheter, till exempel de som tar emot kumulativa uppdateringar via konfidensbaserad distribution eller som är registrerade i CFR (Controlled Feature Rollout) med diagnostikdata aktiverade, försöker Microsoft uppdatera alla tillämpliga certifikat. Men dessa uppdateringar tillhandahålls som en hjälp, inte en garanti. IT-administratörer är fortfarande ansvariga för att se till att hela deras flotta är uppdaterad med hjälp av Microsofts automatiserade CFR och andra dokumenterade distributionsmetoder.

F8: När levererades de uppdaterade Secure Boot-certifikaten för 2023?

Certifikaten inkluderades i de kumulativa uppdateringarna (LCU) från den 13 maj 2025 och senare. De tillämpas dock inte automatiskt, ytterligare steg krävs. Distributionsvägledning finns i https://aka.ms/getsecureboot.

F9: Vad är skillnaden mellan uppdateringar av inbyggd programvara och Windows-uppdateringar när du tillämpar certifikat för säker start?

De tjänar olika syften.

Uppdateringar av inbyggd programvara kan uppdatera standardvariablerna för Säker start som lagras i den inbyggda programvaran. Detta är främst användbart om inställningarna för säker start senare återställs till standardvärdena eftersom standardinställningarna för den inbyggda programvaran avgör vilka certifikat som återställs i det scenariot.

Windows tillämpar ändringar på de aktiva variablerna för säker start som tillämpas under normal start. De här aktiva variablerna är vad den inbyggda programvaran använder för att verifiera startkomponenter och vad Windows förlitar sig på för att leverera framtida skydd för säker start.

I praktiken är det Windows som ansvarar för att hålla den aktiva konfigurationen för säker start aktuell. Uppdateringar av den inbyggda programvaran hjälper till att säkerställa att standardvärdena också uppdateras, vilket minskar risken om Säker start återställs eller initieras om i framtiden.

Administratörer bör se till att de aktiva variablerna för säker start uppdateras och övervaka distributionsstatus, oavsett om uppdateringar av den inbyggda programvaran är tillgängliga eller inte.

Vanliga frågor och svar om säker start för kund-/IT-hanterade system

F1: Vad kan göras för att behålla Säker start-funktionen på äldre kund-/IT-hanterade datorer som kanske inte får uppdateringar av den inbyggda programvaran från OEM-tillverkaren?

Det finns två möjliga vägar:

  • Om datorn hanteras av Microsoft och diagnostikdata delas och operativsystemet stöds försöker Microsoft uppdatera.
  • Om enheten hanteras av en kund eller hanteras av en IT-administratör kan IT-avdelningen tillämpa uppdateringarna på den verifierade uppsättningen datorer som på ett säkert sätt kan ta uppdateringar enligt Microsofts vägledning i förfallodatum för Windows Secure Boot-certifikat och CA-uppdateringar.

De här stegen förväntas tillgodose de flesta kunder utan att behöva en uppdatering av inbyggd programvara från OEM-tillverkare. Det kommer dock att finnas vissa fall där uppdateringarna inte tillämpas på grund av kända eller okända problem i enhetens inbyggda programvara. I sådana fall följer du OEM-tillverkarens vägledning om uppdateringar av inbyggd programvara.

Anteckning Ovanstående process tillämpar de aktiva variablerna för säker start via operativsystemet. Standardvärdena för Secure Boot Firmware behålls i den inbyggda programvaran som släpps av OEM-tillverkaren. Vägledningen är att inte ändra eller uppdatera konfigurationen för säker start om inte OEM-tillverkaren har släppt en uppdatering för att ändra standardinställningarna för den inbyggda programvaran till de nya certifikaten.

F2: Kommer det att vara möjligt att installera en ny version av Windows om en dator har utgångna certifikat för säker start?

Om certifikaten upphör att gälla försämras skyddet för säker start. Om systemet uppfyller kraven för ett nyare operativsystem, till exempel Windows 11, kan du uppgradera till en nyare operativsystemversion av Windows 11.

F3: Vad händer när jag uppgraderar en Windows 10 LTSC-dator utan Säker start aktiverat till Windows 11 LTSC efter certifikatets förfallodatum?

Om Säker start inte har aktiverats på dina Windows 10 LTSC-enheter ingår de inte i den aktuella distributionen för de nya certifikaten för säker start. När du påbörjar uppgraderingen till Windows 11 LTSC måste du följa specifika migreringssteg som är relevanta vid den tidpunkten för att säkerställa att de nya 2023-certifikaten ingår.

F4: Kommer versioner av Windows som inte längre omfattas av support att få de uppdaterade certifikaten?

Endast Windows OS-versioner som stöds får certifikaten.

F5: Hur fungerar virtualiserade miljöer med certifikatuppdateringarna för säker start?

För Windows som körs i en virtuell miljö finns det två metoder för att lägga till de nya certifikaten i variablerna för säker startprogramvara:

  • Skaparen av den virtuella miljön (AWS, Azure, Hyper-V, VMware osv.) kan tillhandahålla en uppdatering för miljön och inkludera de nya certifikaten i den virtualiserade inbyggda programvaran. Detta skulle fungera för nya virtualiserade enheter.
  • För Windows som körs långsiktigt på en virtuell dator kan uppdateringarna tillämpas via Windows som andra enheter, om den virtualiserade inbyggda programvaran stöder uppdateringar av säker start.
F6: Varför kan inte Microsoft distribuera till min företags-/IT-hanterade flotta med hjälp av CFR (Controlled Feature Rollout) som används i Microsofts hanterade system?

Dessa kund-/IT-hanterade miljöer saknar ofta tillräckliga diagnostikdata för att Microsoft tryggt och säkert ska kunna distribuera nya funktioner. Dessutom föredrar IT-avdelningar vanligtvis att ha full kontroll över uppdateringstid och innehåll för att säkerställa efterlevnad, stabilitet och kompatibilitet med interna verktyg och arbetsflöden. Många företagsenheter fungerar också i känsliga eller begränsade miljöer där extern åtkomst eller hantering – underförstådd av CFR – kan vara oönskad eller förbjuden.

F7: Min enhet slutade starta efter att jag återställt firmware till standardinställningarna – vad hände och hur åtgärdar jag det?

Om Windows redan använder den 2023-signerade starthanteraren, men den inbyggda programvaran återställs till standardvärden som inte innehåller Windows UEFI CA 2023-certifikatet, blockerar Säker start startprocessen.

För att åtgärda detta måste du tillämpa 2023-certifikatet igen på den inbyggda programvarans databas med hjälp av återställningsprogrammet. Detta görs genom att skapa en USB-återställningsenhet och sedan starta den berörda enheten från den USB-enheten för att återställa det saknade certifikatet.

Stegvisa instruktioner finns i Microsofts officiella vägledning för uppdatering av Windows-installationsmedia.

F8: Kan jag fortfarande få uppdaterade certifikat om certifikaten för säker start på enheten redan har upphört att gälla?

Ja. De kumulativa uppdateringarna som innehåller de nya certifikaten för säker start kan fortfarande tillämpas även om de befintliga certifikaten har upphört att gälla. Om enheten kan starta Windows och installera uppdateringar kan de uppdaterade certifikaten skrivas till den inbyggda programvaran genom att följa den publicerade distributionsvägledningen. De flesta enheter får dessa uppdateringar automatiskt, men vissa system kan kräva ytterligare uppdateringar av den inbyggda programvaran.