Güvenli Önyükleme güncelleştirme işlemi hakkında sık sorulan sorular

Uygulandığı Öğe
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Not

  • Orijinal yayınlama tarihi: Eylül 15, 2025
  • KB Kimliği: 5068008
Değişiklik Günlüğü
Tarihi Değiştir Açıklamayı Değiştir
Şubat 23, 2026
  • "Genel Güvenli Önyükleme SSS" altına yeni bir SSS eklendi
Şubat 9, 2026
  • "Müşteri/BT Tarafından Yönetilen Sistemler Güvenli Önyükleme SSS" altına yeni bir SSS eklendi
Şubat 3, 2026
  • "Genel Güvenli Önyükleme SSS" altındaki "Q4"ü "Q1"e taşıdı ve içerik güncellendi.
Ocak 12, 2026
  • Ç4 için sertifikaların süresi dolduğunda gösterilen davranış açıklığa kavuşturuldu.

Genel Güvenli Önyükleme SSS

S1: Cihazım eski sertifikaların süresi dolmadan yeni Güvenli Önyükleme sertifikalarını almazsa ne olur?

Güvenli Önyükleme sertifikalarının süresi dolduktan sonra, daha yeni 2023 sertifikalarını almamış cihazlar normal şekilde başlayıp çalışmaya devam eder ve standart Windows güncelleştirmeleri yüklenmeye devam eder. Ancak bu cihazlar artık Windows Önyükleme Yöneticisi güncelleştirmeleri, Güvenli Önyükleme veri tabanları, iptal listeleri veya yeni keşfedilen önyükleme düzeyi güvenlik açıklarına yönelik risk azaltıcı etkenler dahil olmak üzere erken önyükleme işlemi için yeni güvenlik korumalarını alamaz.

Zaman içinde bu, cihazın ortaya çıkan tehditlere karşı korumasını sınırlar ve BitLocker sağlamlaştırma veya üçüncü taraf önyükleyiciler gibi Güvenli Önyükleme güvenine dayanan senaryoları etkileyebilir. Çoğu Windows cihazı güncelleştirilmiş sertifikaları otomatik olarak alır ve birçok OEM gerektiğinde üretici yazılımı güncelleştirmeleri sağlamıştır. Cihazınızı bu güncelleştirmelerle güncel tutmak, Güvenli Önyükleme'nin sağlamak üzere tasarlandığı tüm güvenlik korumalarını almaya devam edebilmesini sağlamaya yardımcı olur.

S2: Güvenli Önyükleme sertifikaları ne zaman güncelleştirilmelidir?

Güvenli Önyükleme sertifikalarını Haziran 2026 sona erme tarihinden çok önce güncelleştirmek en iyisidir.

Cihazınız Microsoft tarafından yönetiliyorsa ve tanılama verileri Microsoft ile paylaşılıyorsa Microsoft, çoğu durumda Güvenli Önyükleme sertifikalarını otomatik olarak güncelleştirmeyi dener. Microsoft, Güvenli Önyükleme'yi güncelleştirmek için elinden geleni yapsa da, güncelleştirmenin uygulanacağının garanti edilmediği ve müşteri eyleminin gerekli olacağı bazı durumlar olacaktır. Güvenli Önyükleme sertifikalarının güncelleştirilmesinden nihai olarak müşteri sorumludur.

Tanılama verilerinin etkinleştirildiği Microsoft tarafından yönetilen cihazların güncelleştirmeleri almayabileceği durumlara örnek olarak şunlar verilebilir:

  • Microsoft Güvenli Önyükleme güncelleştirmeleri yalnızca Windows'un desteklenen bazı sürümleri için geçerlidir.
  • Cihazınızda etkinleştirilen tanılama verileri, kuruluşunuzdaki bir güvenlik duvarı tarafından engellenebilir ve Microsoft'a ulaşamayabilir.
  • Cihazdaki üretici yazılımında bir sorun olabilir.

Notlar "Microsoft tarafından yönetiliyor" olmak ne anlama geliyor? Sistem tanılama verilerini paylaşır ve Microsoft Cloud veya Intune tarafından yönetilir.

Cihazınız tanılama verilerini Microsoft ile paylaşmıyorsa ve kuruluşunuzun BT departmanı veya müşteri tarafından yönetiliyorsa BT departmanı, Microsoft'un Windows Güvenli Önyükleme sertifikasının süresinin dolması ve CA güncellemeleri konusundaki yönergelerini izleyerek sistemleri güncelleyebilir.

S3: Güvenli Önyükleme sertifikaları nasıl güncellenir?

Bilgisayar Microsoft tarafından yönetiliyorsa, Güvenli Önyükleme sertifikaları Windows Update aracılığıyla güncelleştirilir.

Bilgisayar, kuruluşunuz veya işletme BT yöneticiniz tarafından yönetiliyorsa, BT departmanının Windows Güvenli Önyükleme sertifikasının süresi dolması ve CA güncelleştirmelerindeki yönergeleri kullanarak sistemi güncelleştirme yöntemleri vardır.

S4: 14 Ekim 2025 tarihli Genişletilmiş Güvenlik Güncelleştirmesi'nden (ESU) sonra Windows 10 Sistemlerine ne olacak?

Windows 10Windows 10 Desteği 14 Ekim 2025'te sona eriyor. Daha fazla bilgi için bkz. Windows 10 destek 14 Ekim 2025'te sona erecek.

Bu tarihten sonra Güvenlik Güncelleştirmeler almaya devam etmek için Windows 10 kalan müşteriler şunlara kaydolabilir:

Not

  • Windows 10 EnterpriseWindows 10 Enterprise LTSC, tek başına SKU olarak veya Windows Enterprise E3 aboneliğinin parçası olarak satın alınabilir.
  • Windows IoT Enterprise LTSC, doğrudan bir OEM'den veya tek başına bir SKU olarak bir Satıcı Lisansı aracılığıyla satın alınabilir.
S5: Güvenli Önyükleme sertifikaları nasıl kullanılır?

Güvenli Önyükleme sertifikaları, üretici yazılımının önyükleme yöneticileri, isteğe bağlı ROM'lar (üretici yazılımı sürücüleri) ve diğer üretici yazılımı tabanlı yazılımlar gibi kritik bileşenlerin güvenilir olduğunu ve kurcalanmadığını doğrulamasına olanak tanır. Microsoft bu sertifikaları, önyükleme yöneticileri ve güvenilmesi gereken diğer bileşenlerin yanı sıra Güvenli Önyükleme güncelleştirmelerini imzalamak için kullanır. Eski sertifikaların süresi dolduğunda, bu sertifikalar artık yeni bileşenleri veya güncelleştirmeleri imzalamak için kullanılamaz.

S6: Güvenli Önyükleme devre dışı bırakılmış cihazlar üzerindeki etkisi nedir?

Güvenli Önyükleme devre dışı bırakılmış cihazlar, üretici yazılımında yeni Güvenli Önyükleme sertifikalarını almaz. Sonuç olarak, Güvenli Önyükleme korumaları zorunlu tutulmadığı için bootkit'ler gibi önyükleme düzeyinde kötü amaçlı yazılımlara karşı savunmasız kalırlar.

S7: Microsoft, KEK ve DB'dekiler de dahil olmak üzere tüm Güvenli Önyükleme sertifikalarını güncelleştirecek mi?

Microsoft, güven tabanlı dağıtım yoluyla toplu güncelleştirmeleri alan veya tanılama verileri etkinleştirilmiş olarak Denetimli Özellik Dağıtımı'na (CFR) kayıtlı olanlar gibi uygun cihazlar için tüm geçerli sertifikaları güncelleştirmeyi dener. Bununla birlikte, bu güncelleştirmeler garanti olarak değil, bir yardım olarak sağlanır. BT yöneticileri, Microsoft'un otomatik CFR ve diğer belgelenmiş dağıtım yöntemleri kullanılarak tüm filolarının güncellenmesini sağlamaktan sorumludur.

S8: Güncelleştirilen 2023 Güvenli Önyükleme Sertifikaları ne zaman gönderildi?

Sertifikalar, 13 Mayıs 2025 tarihli toplu güncelleştirmelere (LCU) ve sonraki sürümlere dahil edilmiştir. Ancak, otomatik olarak uygulanmaz, ek adımlar gerekir. Dağıtım kılavuzu için https://aka.ms/getsecureboot bölümüne bakın.

S9: Güvenli Önyükleme sertifikaları uygulanırken üretici yazılımı güncelleştirmeleri ile Windows güncelleştirmeleri arasındaki fark nedir?

Farklı amaçlara hizmet ederler.

Üretici yazılımı güncellemeleri, bellenimde depolanan varsayılan Güvenli Önyükleme değişkenlerini güncelleyebilir. Bu, öncelikle Güvenli Önyükleme ayarları daha sonra varsayılanlara sıfırlanırsa yararlıdır, çünkü üretici yazılımı varsayılanları bu senaryoda hangi sertifikaların geri yükleneceğini belirler.

Windows, normal önyükleme sırasında uygulanan etkin Güvenli Önyükleme değişkenlerine değişiklikler uygular. Bu etkin değişkenler, üretici yazılımının önyükleme bileşenlerini doğrulamak için kullandığı ve Windows'un gelecekteki Güvenli Önyükleme korumalarını sağlamak için kullandığı değişkenlerdir.

Uygulamada, etkin Güvenli Önyükleme yapılandırmasını güncel tutmaktan Windows sorumludur. Üretici yazılımı güncellemeleri, varsayılan değerlerin de güncellenmesini sağlamaya yardımcı olur, bu da Güvenli Önyükleme'nin gelecekte sıfırlanması veya yeniden başlatılması durumunda riski azaltır.

Yöneticiler, ürün yazılımı güncellemelerinin mevcut olup olmadığına bakılmaksızın, etkin Güvenli Önyükleme değişkenlerinin güncellendiğinden emin olmalı ve dağıtım durumunu izlemelidir.

Müşteri/BT Tarafından Yönetilen Sistemler Güvenli Önyükleme SSS

S1: OEM'den üretici yazılımı güncelleştirmeleri almayabilecek eski Müşteri/BT tarafından yönetilen bilgisayarlarda Güvenli Önyükleme işlevselliğini korumak için ne yapılabilir?

İki olası yol vardır:

  • Bilgisayar Microsoft tarafından yönetiliyor, tanılama verileri paylaşılıyorsa ve işletim sistemi destekleniyorsa Microsoft güncelleştirmeyi dener.
  • Cihaz müşteri tarafından yönetiliyorsa veya bir BT yöneticisi tarafından yönetiliyorsa BT departmanı güncelleştirmeleri, Windows Güvenli Önyükleme sertifikasının süresi dolması ve CA güncelleştirmelerindeki Microsoft yönergeleri uyarınca güncelleştirmeleri güvenli bir şekilde alabilen doğrulanmış bilgisayar kümesine uygulayabilir.

Bu adımların, OEM'lerden bir Üretici Yazılımı güncellemesine ihtiyaç duymadan çoğu müşteriye hitap etmesi bekleniyor. Ancak, cihaz üretici yazılımındaki bilinen veya bilinmeyen sorunlar nedeniyle güncelleştirmelerin uygulanmadığı belirli durumlar olacaktır. Bu gibi durumlarda, üretici yazılımı güncelleştirmeleri ile ilgili OEM kılavuzunu izleyin.

Notlar Yukarıdaki işlem, İşletim Sistemi üzerinden Güvenli Önyükleme Etkin Değişkenlerini uygular. Güvenli Önyükleme Ürün Yazılımı Varsayılan değerleri, OEM tarafından yayınlanan Ürün Yazılımında korunur. Kılavuz, OEM Üretici Yazılımı varsayılanlarını yeni sertifikalara değiştirmek için bir güncelleme yayınlamadığı sürece Güvenli Önyükleme yapılandırmasını değiştirmemek veya güncellememektir.

S2: Bir bilgisayarın Güvenli Önyükleme sertifikalarının süresi dolmuşsa yeni bir Windows sürümü yüklemek mümkün müdür?

Sertifikaların süresi dolarsa Güvenli Önyükleme koruması düşer. Sistem, Windows 11 gibi daha yeni bir işletim sisteminin gereksinimlerini karşılıyorsa Windows 11'un daha yeni bir işletim sistemi sürümüne yükseltmek mümkün olacaktır.

S3: Sertifika son kullanma tarihlerinden sonra Güvenli Önyükleme etkinleştirilmemiş bir Windows 10 LTSC bilgisayarı Windows 11 LTSC'ye yükseltirken ne olur?

Windows 10 LTSC cihazlarınızda Güvenli Önyükleme etkinleştirilmemişse, yeni Güvenli Önyükleme sertifikalarının geçerli dağıtımına dahil değildir. Windows 11 LTSC'ye yükseltmeye başladığınızda, yeni 2023 sertifikalarının dahil edildiğinden emin olmak için o sırada ilgili olan belirli geçiş adımlarını izlemeniz gerekecektir.

S4: Artık desteklenmeyen Windows sürümleri güncelleştirilmiş sertifikaları alır mı?

Yalnızca desteklenen Windows işletim sistemi sürümleri sertifikaları alır.

S5: Sanal ortamlar Güvenli Önyükleme sertifika güncelleştirmeleriyle nasıl çalışır?

Sanal ortamda çalışan Windows için, yeni sertifikaları Güvenli Önyükleme üretici yazılımı değişkenlerine eklemenin iki yöntemi vardır:

  • Sanal ortamın oluşturucusu (AWS, AzureAzure, Hyper-V, VMware vb.) ortam için bir güncelleştirme sağlayabilir ve yeni sertifikaları sanallaştırılmış bellenime ekleyebilir. Bu, yeni sanallaştırılmış cihazlar için işe yarar.
  • Bir VM'de uzun süre çalışan Windows için, sanallaştırılmış üretici yazılımı Güvenli Önyükleme güncelleştirmelerini destekliyorsa, güncelleştirmeler diğer tüm cihazlar gibi Windows aracılığıyla uygulanabilir.
S6: Microsoft neden Microsoft Yönetilen sistemlerde kullanılan Denetimli Özellik Dağıtımını (CFR) kullanarak kuruluş/BT tarafından yönetilen filoma dağıtım yapamıyor?

Bu Müşteri/BT tarafından yönetilen ortamlar genellikle Microsoft'un yeni özellikleri güvenle ve güvenle kullanıma sunması için yeterli tanılama verisinden yoksundur. Ek olarak, BT departmanları genellikle dahili araçlar ve iş akışlarıyla uyumluluk, kararlılık ve uyumluluk sağlamak için güncelleştirme zamanlaması ve içeriği üzerinde tam kontrol sahibi olmayı tercih eder. Birçok kurumsal cihaz, CFR tarafından ima edilen harici erişim veya yönetimin istenmeyen veya yasaklanmış olabileceği hassas veya kısıtlı ortamlarda da çalışır.

S7: Ürün yazılımını varsayılan ayarlara sıfırladıktan sonra cihazım önyüklemeyi durdurdu — ne oldu ve nasıl düzeltebilirim?

Windows zaten 2023 imzalı önyükleme yöneticisini kullanıyorsa ancak üretici yazılımı, Windows UEFI CA 2023 sertifikasını içermeyen varsayılanlara sıfırlanmışsa Güvenli Önyükleme, önyükleme işlemini engeller.

Bunu düzeltmek için kurtarma uygulamasını kullanarak üretici yazılımının DB'sine 2023 sertifikasını yeniden uygulamanız gerekir. Bu, bir kurtarma USB'si oluşturularak ve ardından eksik sertifikayı geri yüklemek için etkilenen cihazı bu USB'den önyükleyerek yapılır.

Adım adım yönergeler için Microsoft'un Windows yükleme medyasını güncelleştirmeye yönelik resmi kılavuzuna bakın.

S8: Cihazımdaki Güvenli Önyükleme sertifikalarının süresi dolduysa, güncelleştirilmiş sertifikaları almaya devam edebilir miyim?

Evet. Yeni Güvenli Önyükleme sertifikalarını içeren toplu güncelleştirmeler, mevcut sertifikaların süresi dolmuş olsa bile hala uygulanabilir. Cihaz Windows'u önyükleyebiliyor ve güncelleştirmeleri yükleyebiliyorsa, güncelleştirilmiş sertifikalar yayımlanan dağıtım kılavuzu izlenerek üretici yazılımına yazılabilir. Çoğu cihaz bu güncelleştirmeleri otomatik olarak alır ancak bazı sistemler için ek üretici yazılımı güncelleştirmeleri gerekebilir.