Gäller för
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ursprungligt publiceringsdatum: den 15 september 2025

KB-ID: 5068008

Vanliga frågor och svar om säker start

Det är bäst att uppdatera certifikat för säker start långt före utgångsdatumet i juni 2026. 

Om din enhet hanteras av Microsoft och du delar diagnostikdata med Microsoft försöker Microsoft i de flesta fall uppdatera certifikaten för säker start automatiskt. Microsoft gör sitt bästa för att uppdatera Säker start, men det finns vissa situationer där uppdateringen inte är garanterad att gälla och behöver åtgärder från kunden. Kunden ansvarar slutligen för att uppdatera certifikaten för säker start. 

Exempel på situationer där Microsoft Managed-enheter med delade diagnostikdata inte uppdateras är följande: 

  • Uppdateringar av Microsoft Säker start fungerar bara på vissa supportversioner av Windows.

  • De diagnostikdata som är aktiverade på enheten kan blockeras av en brandvägg i organisationen och inte nå Microsoft.

  • Det kan vara något fel med den inbyggda programvaran på enheten.

Obs! Vad innebär det att vara "Hanteras av Microsoft"? Systemet delar diagnostikdata och hanteras av Microsoft Cloud eller Intune. 

Om din enhet inte delar diagnostikdata med Microsoft och hanteras av din organisations IT-avdelning eller av kunden, kan IT-avdelningen uppdatera systemen enligt Microsofts vägledning i Förfallodatum för certifikat för Säker start och CA-uppdateringar för Windows.

Om datorn hanteras av Microsoft uppdateras certifikat för säker start via Windows Update.  

Om datorn hanteras av din organisation eller företagets IT-administratör har IT-avdelningen metoder för att uppdatera systemet med hjälp av hjälp av anvisningar i Förfallodatum för Certifikat för säker start i Windows och CA-uppdateringar

Datorn startar fortfarande Windows normalt, även om certifikaten för säker start inte uppdateras.  Datorn slutar så småningom att ta emot vissa Windows-säkerhetsuppdateringar från Microsoft, inklusive säkerhetsuppdateringar för Boot Manager och säker start. Detta sätter enheten i riskzonen för BootKits som kan ta full kontroll över datorn.

Windows 10 supporten upphör 14 oktober 2025. Mer information finns i Windows 10 supporten upphör 14 oktober 2025

Om du vill fortsätta att få Uppdateringar efter detta datum kan kunder som är kvar på Windows 10 registrera sig för: 

Obs!

  • Windows 10 Enterprise LTSC kan köpas antingen som en fristående SKU eller som en del av en Windows Enterprise E3-prenumeration.

  • Windows IoT Enterprise LTSC kan köpas direkt från en OEM-tillverkare eller via en leverantörslicens som en fristående SKU.

Vanliga frågor och svar om säker start för kund/IT-hanterade system

Det finns två möjliga sökvägar: 

  • Om datorn hanteras av Microsoft med delade diagnostikdata och operativsystemet stöds försöker Microsoft uppdatera.

  • Om enheten hanteras av kunden eller hanteras av en IT-administratör kan IT-avdelningen tillämpa uppdateringarna på den verifierade uppsättningen datorer som kan ta uppdateringar på ett säkert sätt enligt Microsofts vägledning i förfallodatum för Certifikat för säker start i Windows och CA-uppdateringar.

De här stegen förväntas adressera de flesta kunder utan att oem-tillverkare behöver uppdatera den inbyggda programvaran. Det finns dock vissa fall där uppdateringarna inte gäller på grund av kända eller okända problem i enhetens inbyggda programvara. I sådana fall följer du OEM-vägledningen för uppdateringar av inbyggd programvara. 

Obs! Ovanstående process tillämpar variablerna säker start i operativsystemet. Standardvärdena för säker start av inbyggd programvara underhålls i den inbyggda programvaran som släpps av OEM-tillverkaren. Vägledningen är att inte ändra eller uppdatera konfigurationen för säker start om inte OEM-tillverkaren har släppt en uppdatering för att ändra standardinställningarna för inbyggd programvara till de nya certifikaten.

 Om certifikaten upphör att gälla försämras skyddet för säker start. Om systemet uppfyller kraven för ett nyare operativsystem, till exempel Windows 11, går det att uppgradera till en nyare OS-version av Windows 11.  

Om Säker start inte är aktiverat på dina Windows 10 LTSC-enheter ingår de inte i den aktuella distributionen för de nya certifikaten för säker start. När du påbörjar uppgraderingen till Windows 11 LTSC måste du följa specifika migreringssteg som är relevanta för att säkerställa att de nya 2023-certifikaten ingår.

Endast versioner av Windows-operativsystem som stöds får certifikaten. 

När certifikaten har gått ut fortsätter enheten att starta utan ändringar, men enheten slutar få säkerhetsuppdateringar för starthanteraren och komponenterna för säker start. Då riskerar hela enheten att drabbas av "bootkit"-skadlig kod som kan påverka alla aspekter av säkerheten på enheten.

För Windows som körs i en virtuell miljö finns det två metoder för att lägga till de nya certifikaten i variablerna säker start av inbyggd programvara: 

  • Skaparen av den virtuella miljön (AWS, Azure, Hyper-V, VMware osv.) kan tillhandahålla en uppdatering för miljön och inkludera de nya certifikaten i den virtualiserade inbyggda programvaran. Det här fungerar för nya virtualiserade enheter.

  • För Windows som körs på lång sikt i en virtuell dator kan uppdateringarna tillämpas via Windows på samma sätt som andra enheter, om den virtualiserade inbyggda programvaran har stöd för uppdateringar för säker start.

Dessa kund-/IT-hanterade miljöer saknar ofta tillräckliga diagnostikdata för att Microsoft ska kunna distribuera nya funktioner tryggt och säkert. IT-avdelningar föredrar dessutom att ha full kontroll över uppdateringstid och innehåll för att säkerställa efterlevnad, stabilitet och kompatibilitet med interna verktyg och arbetsflöden. Många företagsenheter fungerar också i känsliga eller begränsade miljöer där extern åtkomst eller hantering , vilket kan antas av CFR, kan vara oönskad eller förbjuden.

Om Windows redan använder den 2023-signerade starthanteraren, men den inbyggda programvaran återställs till standardvärden som inte innehåller Windows UEFI CA 2023-certifikatet, kommer Säker start att blockera startprocessen. 

För att åtgärda detta måste du återanvända 2023-certifikatet på den inbyggda programvarans DB med hjälp av återställningsprogrammet. Detta görs genom att skapa en återställnings-USB och sedan starta den berörda enheten från usb-enheten för att återställa det saknade certifikatet. 

Stegvisa instruktioner finns i Microsofts officiella vägledning för uppdatering av Windows-installationsmedia

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter