คําถามที่ถามบ่อยเกี่ยวกับกระบวนการอัปเดตการบูตแบบปลอดภัย

ขอแนะนําให้อัปเดตใบรับรองการบูตแบบปลอดภัยก่อนวันหมดอายุของเดือนมิถุนายน 2026 

หากอุปกรณ์ของคุณได้รับการจัดการโดย Microsoft และแชร์ข้อมูลการวินิจฉัยกับ Microsoft Microsoft จะพยายามอัปเดตใบรับรองการบูตแบบปลอดภัยโดยอัตโนมัติในกรณีส่วนใหญ่ แม้ว่า Microsoft จะพยายามอย่างดีที่สุดในการอัปเดตการบูตแบบปลอดภัย แต่จะมีบางสถานการณ์ที่การอัปเดตไม่รับประกันว่าจะสามารถใช้ได้และจะต้องดําเนินการกับลูกค้า ในที่สุดลูกค้าต้องรับผิดชอบในการอัปเดตใบรับรองการบูตแบบปลอดภัย 

ตัวอย่างบางสถานการณ์ที่อุปกรณ์ที่มีการจัดการของ Microsoft ที่มีข้อมูลการวินิจฉัยที่ใช้ร่วมกันไม่ได้รับการอัปเดตมีดังนี้: 

• การอัปเดตการบูตแบบปลอดภัยของ Microsoft ทํางานได้ใน Windows บางเวอร์ชันที่สนับสนุนเท่านั้น

• ไฟร์วอลล์ในองค์กรของคุณไม่สามารถบล็อกข้อมูลการวินิจฉัยที่เปิดใช้งานบนอุปกรณ์ของคุณได้ และไม่สามารถเข้าถึง Microsoft ได้

• เฟิร์มแวร์บนอุปกรณ์อาจมีบางอย่างผิดปกติ

หมายเหตุ "จัดการโดย Microsoft" หมายความว่าอย่างไร ระบบแชร์ข้อมูลการวินิจฉัยและจัดการโดย Microsoft Cloud หรือ Intune 

หากอุปกรณ์ของคุณไม่ได้แชร์ข้อมูลการวินิจฉัยกับ Microsoft และได้รับการจัดการโดยแผนก IT ขององค์กรของคุณหรือโดยลูกค้า แผนก IT สามารถอัปเดตระบบตามคําแนะนําของ Microsoft ในการหมดอายุของใบรับรองการบูตแบบปลอดภัยของ Windows และการอัปเดต CA

ถ้าคอมพิวเตอร์ได้รับการจัดการโดย Microsoft ใบรับรองการบูตแบบปลอดภัยจะได้รับการอัปเดตผ่าน Windows Update  

หากคอมพิวเตอร์ได้รับการจัดการโดยองค์กรหรือผู้ดูแลระบบ IT สําหรับธุรกิจ แผนก IT จะมีวิธีการอัปเดตระบบโดยใช้คําแนะนําในการหมดอายุของใบรับรองการบูตแบบปลอดภัยของ Windows และการอัปเดต CA 

คอมพิวเตอร์จะยังคงเริ่ม Windows ตามปกติ แม้ว่าใบรับรองการบูตแบบปลอดภัยจะไม่ได้รับการอัปเดต  
ในที่สุดคอมพิวเตอร์จะหยุดรับการอัปเดตความปลอดภัยของ Windows บางอย่างจาก Microsoft รวมถึงตัวจัดการการบูตและการอัปเดตความปลอดภัยของคอมโพเนนต์การบูตแบบปลอดภัย สิ่งนี้จะทําให้อุปกรณ์มีความเสี่ยงต่อ BootKits ที่อาจควบคุมคอมพิวเตอร์ได้อย่างเต็มที่

การสนับสนุน Windows 10 สิ้นสุดลงในวันที่ 14 ตุลาคม 2025 ดูข้อมูลเพิ่มเติมได้ที่ การสนับสนุน Windows 10 สิ้นสุดลงในวันที่ 14 ตุลาคม 2025 

เมื่อต้องการรับ Updates ความปลอดภัยต่อไปหลังจากวันที่นี้ ลูกค้าที่เหลืออยู่ใน Windows 10 สามารถลงทะเบียนได้ ดังนี้ 

• Windows 10 โปรแกรม Updates ความปลอดภัยที่ขยายเวลา (ESU) ดู Windows 10 โปรแกรม Updates ความปลอดภัยที่ขยายเวลา (ESU)

• หรือหากคุณมีเวอร์ชัน LTSC ของ Windows 10 ที่รองรับ จะยังคงได้รับ Updates ความปลอดภัยจนถึงวันหมดอายุของ LTSC ตัวอย่างเช่น ดูโปรแกรม Updates ความปลอดภัยที่ขยายเวลา (ESU) สําหรับ Windows 10

หมายเหตุ

• Windows 10 Enterprise LTSC พร้อมวางจําหน่ายทั้งแบบ SKU แบบสแตนด์อโลนหรือเป็นส่วนหนึ่งของการสมัครใช้งาน Windows Enterprise E3

• Windows IoT Enterprise LTSC สามารถซื้อได้โดยตรงจาก OEM หรือผ่านสิทธิการใช้งานของผู้จําหน่ายเป็น SKU แบบสแตนด์อโลน

มีเส้นทางที่เป็นไปได้สองเส้นทาง: 

• หากคอมพิวเตอร์ได้รับการจัดการโดย Microsoft ด้วยข้อมูลการวินิจฉัยที่ใช้ร่วมกันและรองรับระบบปฏิบัติการ Microsoft จะพยายามอัปเดต

• หากอุปกรณ์เป็นลูกค้าที่จัดการหรือจัดการโดยผู้ดูแลระบบ IT แผนก IT สามารถใช้การอัปเดตกับชุดคอมพิวเตอร์ที่ได้รับการตรวจสอบแล้วซึ่งสามารถรับการอัปเดตได้อย่างปลอดภัยตามคําแนะนําของ Microsoft ในการหมดอายุของใบรับรองการบูตแบบปลอดภัยของ Windows และการอัปเดต CA

ขั้นตอนเหล่านี้คาดว่าจะจัดการลูกค้าส่วนใหญ่ได้โดยไม่ต้องมีการอัปเดตเฟิร์มแวร์จาก OEM อย่างไรก็ตาม จะมีบางกรณีที่การอัปเดตไม่สามารถใช้งานได้เนื่องจากปัญหาที่ทราบหรือไม่รู้จักในเฟิร์มแวร์อุปกรณ์ ในกรณีดังกล่าว ทําตามคําแนะนําของ OEM เกี่ยวกับการอัปเดตเฟิร์มแวร์ 

หมายเหตุ กระบวนการข้างต้นใช้ตัวแปรที่ใช้งานอยู่ของการบูตแบบปลอดภัยผ่านระบบปฏิบัติการ ค่าเริ่มต้นของเฟิร์มแวร์การบูตแบบปลอดภัยจะถูกเก็บไว้ในเฟิร์มแวร์ที่ OEM เผยแพร่ คําแนะนําคือห้ามเปลี่ยนหรืออัปเดตการกําหนดค่าการบูตแบบปลอดภัย เว้นแต่ว่า OEM ได้เผยแพร่การอัปเดตเพื่อเปลี่ยนค่าเริ่มต้นของเฟิร์มแวร์เป็นใบรับรองใหม่

 ถ้าใบรับรองหมดอายุ การป้องกันการบูตแบบปลอดภัยจะลดลง หากระบบมีคุณสมบัติตรงตามข้อกําหนดสําหรับระบบปฏิบัติการที่ใหม่กว่า เช่น Windows 11 คุณจะสามารถอัปเกรดเป็น Windows 11 ระบบปฏิบัติการรุ่นที่ใหม่กว่าได้  

หากการบูตแบบปลอดภัยไม่ได้เปิดใช้งานบนอุปกรณ์ Windows 10 LTSC ของคุณ การบูตแบบปลอดภัยจะไม่รวมอยู่ในการเปิดตัวปัจจุบันสําหรับใบรับรองการบูตแบบปลอดภัยใหม่ เมื่อคุณเริ่มอัปเกรดเป็น Windows 11 LTSC คุณจะต้องทําตามขั้นตอนการโยกย้ายเฉพาะที่เกี่ยวข้องในขณะนั้นเพื่อให้แน่ใจว่ามีใบรับรอง 2023 ใหม่

เฉพาะเวอร์ชันของระบบปฏิบัติการ Windows ที่รองรับเท่านั้นที่จะได้รับใบรับรอง 

หลังจากใบรับรองหมดอายุ อุปกรณ์จะยังคงเริ่มต้นระบบโดยไม่มีการเปลี่ยนแปลง อย่างไรก็ตาม อุปกรณ์จะหยุดรับการอัปเดตด้านความปลอดภัยสําหรับตัวจัดการการเริ่มต้นระบบและคอมโพเนนต์การบูตแบบปลอดภัย การทําเช่นนี้จะทําให้อุปกรณ์ทั้งหมดมีความเสี่ยงต่อมัลแวร์ "bootkit" ที่สามารถส่งผลกระทบต่อความปลอดภัยในทุกด้านบนอุปกรณ์

สําหรับ Windows ที่ทํางานในสภาพแวดล้อมเสมือน มีสองวิธีในการเพิ่มใบรับรองใหม่ไปยังตัวแปรเฟิร์มแวร์การบูตแบบปลอดภัย: 

• ผู้สร้างสภาพแวดล้อมเสมือน (AWS, Azure, Hyper-V, VMware ฯลฯ) สามารถมอบการอัปเดตสําหรับสภาพแวดล้อมและรวมใบรับรองใหม่ในเฟิร์มแวร์เสมือน วิธีนี้จะใช้ได้กับอุปกรณ์เสมือนใหม่

• สําหรับ Windows ที่ใช้งานในระยะยาวใน VM การอัปเดตสามารถใช้งานผ่าน Windows ได้เช่นเดียวกับอุปกรณ์อื่นๆ หากเฟิร์มแวร์เสมือนรองรับการอัปเดต Secure Boot

สภาพแวดล้อมที่จัดการโดยลูกค้า/ไอทีเหล่านี้มักจะขาดข้อมูลการวินิจฉัยที่เพียงพอสําหรับ Microsoft เพื่อให้ Microsoft เผยแพร่ฟีเจอร์ใหม่ๆ ได้อย่างมั่นใจและปลอดภัย นอกจากนี้ แผนก IT มักจะต้องการควบคุมอย่างเต็มรูปแบบเกี่ยวกับเวลาในการอัปเดตและเนื้อหาเพื่อให้แน่ใจได้ถึงการปฏิบัติตามข้อบังคับ ความเสถียร และความเข้ากันได้กับเครื่องมือภายในและเวิร์กโฟลว์ อุปกรณ์ขององค์กรจํานวนมากยังทํางานในสภาพแวดล้อมที่ละเอียดอ่อนหรือถูกจํากัดซึ่งการเข้าถึงหรือการจัดการภายนอกโดย CFR อาจไม่พึงประสงค์หรือต้องห้าม

หาก Windows ใช้ตัวจัดการการบูตที่ได้รับการรับรอง 2023 อยู่แล้ว แต่เฟิร์มแวร์ถูกรีเซ็ตเป็นค่าเริ่มต้นที่ไม่มีใบรับรอง Windows UEFI CA 2023 การบูตแบบปลอดภัยจะบล็อกกระบวนการเริ่มต้นระบบ 

ในการแก้ไขปัญหานี้ คุณต้องนําใบรับรอง 2023 ไปใช้กับ DB ของเฟิร์มแวร์อีกครั้งโดยใช้แอปพลิเคชันการกู้คืน ซึ่งทําได้โดยการสร้าง USB การกู้คืน จากนั้นเริ่มต้นระบบอุปกรณ์ที่ได้รับผลกระทบจาก USB นั้นเพื่อคืนค่าใบรับรองที่หายไป 

สําหรับคําแนะนําทีละขั้นตอน ดูที่ คําแนะนําอย่างเป็นทางการของ Microsoft สําหรับการอัปเดตสื่อการติดตั้ง Windows