คําถามที่ถามบ่อยเกี่ยวกับกระบวนการอัปเดตการบูตแบบปลอดภัย

หลังจากใบรับรองการบูตแบบปลอดภัยหมดอายุ อุปกรณ์ที่ไม่ได้รับใบรับรองเวอร์ชัน 2023 ที่ใหม่กว่าจะยังคงเริ่มต้นและทํางานได้ตามปกติ และการอัปเดต Windows มาตรฐานจะยังคงติดตั้งต่อไป อย่างไรก็ตาม อุปกรณ์เหล่านี้จะไม่สามารถรับการป้องกันความปลอดภัยใหม่สําหรับกระบวนการเริ่มต้นระบบก่อนใครรวมถึงการอัปเดต Windows Boot Manager, ฐานข้อมูลการบูตแบบปลอดภัย รายการการยกเลิก หรือการลดช่องโหว่ระดับการเริ่มต้นระบบที่พบใหม่ 

เมื่อเวลาผ่านไป การดําเนินการนี้จะจํากัดการป้องกันของอุปกรณ์จากภัยคุกคามที่เกิดขึ้นใหม่ และอาจส่งผลต่อสถานการณ์ที่อาศัยความน่าเชื่อถือของ Secure Boot เช่น การทําให้ BitLocker แข็งขึ้นหรือตัวโหลดเริ่มต้นระบบของบริษัทอื่น อุปกรณ์ Windows ส่วนใหญ่จะได้รับใบรับรองที่อัปเดตแล้วโดยอัตโนมัติ และ OEM จํานวนมากได้ให้การอัปเดตเฟิร์มแวร์เมื่อจําเป็น การรักษาให้อุปกรณ์ของคุณทันสมัยอยู่เสมอด้วยการอัปเดตเหล่านี้จะช่วยให้แน่ใจว่าอุปกรณ์นั้นจะได้รับการป้องกันความปลอดภัยทั้งชุดที่ Secure Boot ออกแบบมาเพื่อให้

ขอแนะนําให้อัปเดตใบรับรองการบูตแบบปลอดภัยก่อนวันหมดอายุของเดือนมิถุนายน 2026 

หากอุปกรณ์ของคุณได้รับการจัดการโดย Microsoft และแชร์ข้อมูลการวินิจฉัยกับ Microsoft Microsoft จะพยายามอัปเดตใบรับรองการบูตแบบปลอดภัยโดยอัตโนมัติในกรณีส่วนใหญ่ แม้ว่า Microsoft จะพยายามอย่างดีที่สุดในการอัปเดตการบูตแบบปลอดภัย แต่จะมีบางสถานการณ์ที่การอัปเดตไม่รับประกันว่าจะสามารถใช้ได้และจะต้องดําเนินการกับลูกค้า ในที่สุดลูกค้าต้องรับผิดชอบในการอัปเดตใบรับรองการบูตแบบปลอดภัย 

ตัวอย่างของสถานการณ์ที่อุปกรณ์ที่ Microsoft จัดการที่มีข้อมูลการวินิจฉัยเปิดใช้งานอาจไม่ได้รับการอัปเดต รวมถึง:

• การอัปเดตการบูตแบบปลอดภัยของ Microsoft ใช้ได้กับ Windows บางเวอร์ชันที่ได้รับการสนับสนุนเท่านั้น

• ไฟร์วอลล์ในองค์กรของคุณไม่สามารถบล็อกข้อมูลการวินิจฉัยที่เปิดใช้งานบนอุปกรณ์ของคุณได้ และไม่สามารถเข้าถึง Microsoft ได้

• อาจมีบางอย่างผิดปกติกับเฟิร์มแวร์บนอุปกรณ์

หมายเหตุ "จัดการโดย Microsoft" หมายความว่าอย่างไร ระบบแชร์ข้อมูลการวินิจฉัยและจัดการโดย Microsoft Cloud หรือ Intune 

หากอุปกรณ์ของคุณไม่ได้แชร์ข้อมูลการวินิจฉัยกับ Microsoft และได้รับการจัดการโดยแผนก IT ขององค์กรของคุณหรือโดยลูกค้า แผนก IT สามารถอัปเดตระบบตามคําแนะนําของ Microsoft ในการหมดอายุของใบรับรองการบูตแบบปลอดภัยของ Windows และการอัปเดต CA

ถ้าคอมพิวเตอร์ได้รับการจัดการโดย Microsoft ใบรับรองการบูตแบบปลอดภัยจะได้รับการอัปเดตผ่าน Windows Update  

หากคอมพิวเตอร์ได้รับการจัดการโดยองค์กรหรือผู้ดูแลระบบ IT สําหรับธุรกิจ แผนก IT จะมีวิธีการอัปเดตระบบโดยใช้คําแนะนําในการหมดอายุของใบรับรองการบูตแบบปลอดภัยของ Windows และการอัปเดต CA 

การสนับสนุน Windows 10 สิ้นสุดลงในวันที่ 14 ตุลาคม 2025 ดูข้อมูลเพิ่มเติมได้ที่ การสนับสนุน Windows 10 สิ้นสุดลงในวันที่ 14 ตุลาคม 2025 

เมื่อต้องการรับ Updates ความปลอดภัยต่อไปหลังจากวันที่นี้ ลูกค้าที่เหลืออยู่ใน Windows 10 สามารถลงทะเบียนได้ ดังนี้ 

• Windows 10 โปรแกรม Updates ความปลอดภัยที่ขยายเวลา (ESU) ดู Windows 10 โปรแกรม Updates ความปลอดภัยที่ขยายเวลา (ESU)

• หรือหากคุณมีเวอร์ชัน LTSC ของ Windows 10 ที่รองรับ จะยังคงได้รับ Updates ความปลอดภัยจนถึงวันหมดอายุของ LTSC ตัวอย่างเช่น ดูโปรแกรม Updates ความปลอดภัยที่ขยายเวลา (ESU) สําหรับ Windows 10

หมายเหตุ

• Windows 10 Enterprise LTSC พร้อมวางจําหน่ายทั้งแบบ SKU แบบสแตนด์อโลนหรือเป็นส่วนหนึ่งของการสมัครใช้งาน Windows Enterprise E3

• Windows IoT Enterprise LTSC สามารถซื้อได้โดยตรงจาก OEM หรือผ่านสิทธิการใช้งานของผู้จําหน่ายเป็น SKU แบบสแตนด์อโลน

ใบรับรองการบูตแบบปลอดภัยอนุญาตให้เฟิร์มแวร์ตรวจสอบว่าคอมโพเนนต์ที่สําคัญ เช่น ตัวจัดการการเริ่มต้นระบบ ตัวเลือก ROMs (โปรแกรมควบคุมเฟิร์มแวร์) และซอฟต์แวร์ที่ใช้เฟิร์มแวร์อื่นๆ ได้รับความเชื่อถือและไม่ถูกเปลี่ยนแปลง Microsoft ใช้ใบรับรองเหล่านี้เพื่อเซ็นชื่อผู้จัดการการเริ่มต้นระบบและคอมโพเนนต์อื่นๆ ที่ควรได้รับความเชื่อถือ รวมถึงการอัปเดตการบูตแบบปลอดภัย เมื่อใบรับรองเก่าหมดอายุ จะไม่สามารถใช้เพื่อเซ็นคอมโพเนนต์หรือการอัปเดตใหม่ได้อีกต่อไป

อุปกรณ์ที่มีการปิดใช้งานการบูตแบบปลอดภัยจะไม่ได้รับใบรับรองการบูตแบบปลอดภัยใหม่ในเฟิร์มแวร์ ด้วยเหตุนี้ มัลแวร์จะยังคงเสี่ยงต่อการเริ่มต้นระบบ เช่น bootkits เนื่องจากไม่ได้บังคับใช้การป้องกันการบูตแบบปลอดภัย 

สําหรับอุปกรณ์ที่มีสิทธิ์ เช่น อุปกรณ์ที่ได้รับการอัปเดตแบบสะสมผ่านการปรับใช้ตามความเชื่อมั่นหรือลงทะเบียนใน Controlled Feature Rollout (CFR) ที่เปิดใช้งานข้อมูลการวินิจฉัย —Microsoft จะพยายามอัปเดตใบรับรองที่เกี่ยวข้องทั้งหมด อย่างไรก็ตาม การอัปเดตเหล่านี้มีไว้เพื่อเป็นความช่วยเหลือ ไม่ใช่การรับประกัน ผู้ดูแลระบบ IT ยังคงรับผิดชอบในการตรวจสอบให้แน่ใจว่ากองเรือทั้งหมดของพวกเขาได้รับการอัปเดต โดยใช้ CFR อัตโนมัติของ Microsoft และวิธีการปรับใช้ที่มีการจัดทําเอกสารอื่นๆ

ใบรับรองรวมอยู่ในวันที่ 13 พฤษภาคม 2025 การอัปเดตแบบสะสม (LCU) และใหม่กว่า อย่างไรก็ตาม จะไม่มีการใช้ขั้นตอนเพิ่มเติมโดยอัตโนมัติ สําหรับคําแนะนําในการปรับใช้ ให้ดู https://aka.ms/getsecureboot

พวกเขามีจุดประสงค์ที่แตกต่างกัน

การอัปเดตเฟิร์มแวร์สามารถอัปเดตตัวแปรการบูตแบบปลอดภัยเริ่มต้นที่เก็บไว้ในเฟิร์มแวร์ ซึ่งจะเป็นประโยชน์เป็นหลักหากการตั้งค่าการบูตแบบปลอดภัยถูกรีเซ็ตเป็นค่าเริ่มต้นในภายหลัง เนื่องจากค่าเริ่มต้นของเฟิร์มแวร์จะระบุว่าใบรับรองใดที่มีการคืนค่าในสถานการณ์นั้น

Windows นําการเปลี่ยนแปลงไปใช้กับตัวแปรการบูตแบบปลอดภัยที่ใช้งานอยู่ซึ่งบังคับใช้ระหว่างการเริ่มต้นระบบปกติ ตัวแปรที่ใช้งานอยู่เหล่านี้คือสิ่งที่เฟิร์มแวร์ใช้ในการตรวจสอบคอมโพเนนต์การเริ่มต้นระบบ และสิ่งที่ Windows ใช้เพื่อมอบการป้องกันการบูตแบบปลอดภัยในอนาคต

ในทางปฏิบัติ Windows เป็นผู้รับผิดชอบในการรักษาการกําหนดค่าการบูตแบบปลอดภัยที่ใช้งานอยู่ให้เป็นปัจจุบัน การอัปเดตเฟิร์มแวร์ช่วยให้แน่ใจว่าค่าเริ่มต้นจะได้รับการอัปเดตด้วย ซึ่งจะช่วยลดความเสี่ยงหากมีการรีเซ็ตหรือเริ่มต้นระบบใหม่ในอนาคต

ผู้ดูแลระบบควรตรวจสอบให้แน่ใจว่าตัวแปร Secure Boot ที่ใช้งานอยู่ได้รับการอัปเดตและตรวจสอบสถานะการปรับใช้ โดยไม่คํานึงว่าการอัปเดตเฟิร์มแวร์พร้อมใช้งานหรือไม่

มีเส้นทางที่เป็นไปได้สองเส้นทาง: 

• หากคอมพิวเตอร์ได้รับการจัดการโดย Microsoft ด้วยข้อมูลการวินิจฉัยที่ใช้ร่วมกันและรองรับระบบปฏิบัติการ Microsoft จะพยายามอัปเดต

• หากอุปกรณ์เป็นลูกค้าที่จัดการหรือจัดการโดยผู้ดูแลระบบ IT แผนก IT สามารถใช้การอัปเดตกับชุดคอมพิวเตอร์ที่ได้รับการตรวจสอบแล้วซึ่งสามารถรับการอัปเดตได้อย่างปลอดภัยตามคําแนะนําของ Microsoft ในการหมดอายุของใบรับรองการบูตแบบปลอดภัยของ Windows และการอัปเดต CA

ขั้นตอนเหล่านี้คาดว่าจะจัดการลูกค้าส่วนใหญ่ได้โดยไม่ต้องมีการอัปเดตเฟิร์มแวร์จาก OEM อย่างไรก็ตาม จะมีบางกรณีที่การอัปเดตไม่สามารถใช้งานได้เนื่องจากปัญหาที่ทราบหรือไม่รู้จักในเฟิร์มแวร์อุปกรณ์ ในกรณีดังกล่าว ทําตามคําแนะนําของ OEM เกี่ยวกับการอัปเดตเฟิร์มแวร์ 

หมายเหตุ กระบวนการข้างต้นใช้ตัวแปรที่ใช้งานอยู่ของการบูตแบบปลอดภัยผ่านระบบปฏิบัติการ ค่าเริ่มต้นของเฟิร์มแวร์การบูตแบบปลอดภัยจะถูกเก็บไว้ในเฟิร์มแวร์ที่ OEM เผยแพร่ คําแนะนําคือห้ามเปลี่ยนหรืออัปเดตการกําหนดค่าการบูตแบบปลอดภัย เว้นแต่ว่า OEM ได้เผยแพร่การอัปเดตเพื่อเปลี่ยนค่าเริ่มต้นของเฟิร์มแวร์เป็นใบรับรองใหม่

 ถ้าใบรับรองหมดอายุ การป้องกันการบูตแบบปลอดภัยจะลดลง หากระบบมีคุณสมบัติตรงตามข้อกําหนดสําหรับระบบปฏิบัติการที่ใหม่กว่า เช่น Windows 11 คุณจะสามารถอัปเกรดเป็น Windows 11 ระบบปฏิบัติการรุ่นที่ใหม่กว่าได้  

หากการบูตแบบปลอดภัยไม่ได้เปิดใช้งานบนอุปกรณ์ Windows 10 LTSC ของคุณ การบูตแบบปลอดภัยจะไม่รวมอยู่ในการเปิดตัวปัจจุบันสําหรับใบรับรองการบูตแบบปลอดภัยใหม่ เมื่อคุณเริ่มอัปเกรดเป็น Windows 11 LTSC คุณจะต้องทําตามขั้นตอนการโยกย้ายเฉพาะที่เกี่ยวข้องในขณะนั้นเพื่อให้แน่ใจว่ามีใบรับรอง 2023 ใหม่

เฉพาะเวอร์ชันของระบบปฏิบัติการ Windows ที่รองรับเท่านั้นที่จะได้รับใบรับรอง 

สําหรับ Windows ที่ทํางานในสภาพแวดล้อมเสมือน มีสองวิธีในการเพิ่มใบรับรองใหม่ไปยังตัวแปรเฟิร์มแวร์การบูตแบบปลอดภัย: 

• ผู้สร้างสภาพแวดล้อมเสมือน (AWS, Azure, Hyper-V, VMware ฯลฯ) สามารถมอบการอัปเดตสําหรับสภาพแวดล้อมและรวมใบรับรองใหม่ในเฟิร์มแวร์เสมือน วิธีนี้จะใช้ได้กับอุปกรณ์เสมือนใหม่

• สําหรับ Windows ที่ใช้งานในระยะยาวใน VM การอัปเดตสามารถใช้งานผ่าน Windows ได้เช่นเดียวกับอุปกรณ์อื่นๆ หากเฟิร์มแวร์เสมือนรองรับการอัปเดต Secure Boot

สภาพแวดล้อมที่จัดการโดยลูกค้า/ไอทีเหล่านี้มักจะขาดข้อมูลการวินิจฉัยที่เพียงพอสําหรับ Microsoft เพื่อให้ Microsoft เผยแพร่ฟีเจอร์ใหม่ๆ ได้อย่างมั่นใจและปลอดภัย นอกจากนี้ แผนก IT มักจะต้องการควบคุมอย่างเต็มรูปแบบเกี่ยวกับเวลาในการอัปเดตและเนื้อหาเพื่อให้แน่ใจได้ถึงการปฏิบัติตามข้อบังคับ ความเสถียร และความเข้ากันได้กับเครื่องมือภายในและเวิร์กโฟลว์ อุปกรณ์ขององค์กรจํานวนมากยังทํางานในสภาพแวดล้อมที่ละเอียดอ่อนหรือถูกจํากัดซึ่งการเข้าถึงหรือการจัดการภายนอกโดย CFR อาจไม่พึงประสงค์หรือต้องห้าม

หาก Windows ใช้ตัวจัดการการบูตที่ได้รับการรับรอง 2023 อยู่แล้ว แต่เฟิร์มแวร์ถูกรีเซ็ตเป็นค่าเริ่มต้นที่ไม่มีใบรับรอง Windows UEFI CA 2023 การบูตแบบปลอดภัยจะบล็อกกระบวนการเริ่มต้นระบบ 

ในการแก้ไขปัญหานี้ คุณต้องนําใบรับรอง 2023 ไปใช้กับ DB ของเฟิร์มแวร์อีกครั้งโดยใช้แอปพลิเคชันการกู้คืน ซึ่งทําได้โดยการสร้าง USB การกู้คืน จากนั้นเริ่มต้นระบบอุปกรณ์ที่ได้รับผลกระทบจาก USB นั้นเพื่อคืนค่าใบรับรองที่หายไป 

สําหรับคําแนะนําทีละขั้นตอน ดูที่ คําแนะนําอย่างเป็นทางการของ Microsoft สําหรับการอัปเดตสื่อการติดตั้ง Windows 

​​​​​​​ได้ โปรแกรมปรับปรุงสะสมที่มีใบรับรองการบูตแบบปลอดภัยใหม่ยังคงสามารถนําไปใช้แม้ว่าใบรับรองที่มีอยู่จะหมดอายุแล้ว หากอุปกรณ์สามารถเริ่มต้นระบบ Windows และติดตั้งการอัปเดตใบรับรองที่อัปเดตสามารถเขียนลงในเฟิร์มแวร์โดยทําตามคําแนะนําการปรับใช้ที่เผยแพร่ อุปกรณ์ส่วนใหญ่จะได้รับการอัปเดตเหล่านี้โดยอัตโนมัติ แต่บางระบบอาจต้องใช้การอัปเดตเฟิร์มแวร์เพิ่มเติม