Güvenli Önyükleme güncelleştirme işlemi hakkında sık sorulan sorular

Güvenli Önyükleme sertifikalarını Haziran 2026 sona erme tarihinden önce güncelleştirmek en iyisidir. 

Cihazınız Microsoft tarafından yönetiliyorsa ve tanılama verilerini Microsoft ile paylaşıyorsa, Microsoft çoğu durumda Güvenli Önyükleme sertifikalarını otomatik olarak güncelleştirmeye çalışır. Microsoft, Güvenli Önyükleme'yi güncelleştirmek için ellerinden geleni yapacak olsa da, güncelleştirmenin uygulanacağı garanti edilmediği ve Müşteri eylemine ihtiyaç duyacağı bazı durumlar olacaktır. Müşteri nihai olarak Güvenli Önyükleme Sertifikalarını güncelleştirmekle sorumludur. 

Tanılama verileri paylaşılan Microsoft Yönetilen cihazlarının güncelleştirilmediği bazı örnek durumlar şunlardır: 

• Microsoft Güvenli Önyükleme güncelleştirmeleri yalnızca Windows'un bazı destek içi sürümlerinde çalışır.

• Cihazınızda etkinleştirilen tanılama verileri kuruluşunuzdaki bir güvenlik duvarı tarafından engellenebilir ve Microsoft'a ulaşmayabilir.

• Cihazdaki Üretici Yazılımı ile ilgili bir sorun olabilir.

Not "Microsoft tarafından yönetiliyor" olmak ne anlama gelir? Sistem tanılama verilerini paylaşır ve Microsoft Cloud veya Intune tarafından yönetilir. 

Cihazınız Tanılama verilerini Microsoft ile paylaşmıyorsa ve kuruluşunuzun BT departmanı veya müşteri tarafından yönetiliyorsa, BT departmanı Windows Güvenli Önyükleme sertifikası süre sonu ve CA güncelleştirmelerinde Microsoft'un yönergelerini izleyerek sistemleri güncelleştirebilir.

Bilgisayar Microsoft tarafından yönetiliyorsa Güvenli Önyükleme sertifikaları Windows Update aracılığıyla güncelleştirilir.  

Bilgisayar kuruluşunuz veya işletme BT yöneticiniz tarafından yönetiliyorsa, BT departmanının Windows Güvenli Önyükleme sertifikası süre sonu ve CA güncelleştirmeleri yönergelerini kullanarak sistemi güncelleştirme yöntemleri vardır. 

Windows 10 Desteği 14 Ekim 2025'te sona erer. Daha fazla bilgi için bkz. Windows 10 desteği 14 Ekim 2025'te sona eriyor. 

Bu tarihten sonra Güvenlik Güncelleştirmeler almaya devam etmek için Windows 10 kalan müşteriler şunlara kaydolabilir: 

• Windows 10 Genişletilmiş Güvenlik Güncelleştirmeler (ESU) Programı, bkz. Genişletilmiş Güvenlik Güncelleştirmeler (ESU) Programı Windows 10

• Windows 10'nin desteklenen bir LTSC sürümüne sahipseniz, LTSC süre sonu tarihine kadar Güvenlik Güncelleştirmeler almaya devam eder. Örneğin bkz. Windows 10 için Genişletilmiş Güvenlik Güncelleştirmeler (ESU) programı

Not

• Windows 10 Enterprise LTSC, tek başına SKU olarak veya bir Windows Enterprise E3 aboneliğinin parçası olarak satın alınabilir.

• Windows IoT Enterprise LTSC doğrudan bir OEM'den veya tek başına SKU olarak Satıcı Lisansı aracılığıyla satın alınabilir.

Cihaz önyüklemeye ve normal şekilde çalışmaya devam eder. Ancak, artık Windows önyükleme yöneticisi güncelleştirmeleri veya Güvenli Önyükleme için gelecekteki güvenlik düzeltmelerini almayacak ve cihazın güvenliğini tehlikeye atacaktır.

Güvenli Önyükleme sertifikaları, üretici yazılımının önyükleme yöneticileri, seçenek ROM'ları (üretici yazılımı sürücüleri) ve diğer üretici yazılımı tabanlı yazılımlar gibi kritik bileşenlerin güvenilir olduğunu ve üzerinde oynanmadığını doğrulamasını sağlar. Microsoft, bu sertifikaları, güvenli önyükleme güncelleştirmelerinin yanı sıra, güvenilmesi gereken önyükleme yöneticilerini ve diğer bileşenleri imzalamak için kullanır. Eski sertifikaların süresi dolduğunda, yeni bileşenleri veya güncelleştirmeleri imzalamak için artık kullanılamazlar.

Güvenli Önyükleme devre dışı bırakılmış cihazlar, üretici yazılımında yeni Güvenli Önyükleme sertifikalarını almaz. Sonuç olarak, Güvenli Önyükleme korumaları uygulanmadığından önyükleme kümeleri gibi önyükleme düzeyi kötü amaçlı yazılımlara karşı savunmasız kalırlar. 

Güvenilirlik tabanlı dağıtım aracılığıyla toplu güncelleştirmeler alan veya tanılama verilerinin etkinleştirildiği Denetimli Özellik Dağıtımı'na (CFR) kaydedilenler gibi uygun cihazlar için Microsoft tüm geçerli sertifikaları güncelleştirmeye çalışır. Ancak, bu güncelleştirmeler bir garanti olarak değil, bir yardım olarak sağlanır. BT yöneticileri, Microsoft'un otomatik CFR'sini ve belgelenmiş diğer dağıtım yöntemlerini kullanarak tüm filolarının güncelleştirildiğinden emin olmaya devam eder.

Sertifikalar 13 Mayıs 2025, toplu güncelleştirmeler (LCU) ve sonraki sürümlere dahil edildi. Ancak, bunlar otomatik olarak uygulanmaz ek adımlar gereklidir. Dağıtım kılavuzu için bkz. https://aka.ms/getsecureboot.

İki olası yol vardır: 

• Bilgisayar Microsoft tarafından paylaşılan tanılama verileriyle yönetiliyorsa ve işletim sistemi destekleniyorsa, Microsoft güncelleştirmeyi dener.

• Cihaz müşteri tarafından yönetiliyorsa veya bir BT yöneticisi tarafından yönetiliyorsa BT departmanı, Windows Güvenli Önyükleme sertifikası süre sonu ve CA güncelleştirmelerinde Microsoft yönergelerine göre güncelleştirmeleri güvenli bir şekilde alabilen doğrulanmış bilgisayar kümesine güncelleştirmeleri uygulayabilir.

Bu adımların OEM'lerden üretici yazılımı güncelleştirmesine gerek kalmadan çoğu müşteriyi ele almaları beklenir. Ancak, cihaz üretici yazılımındaki bilinen veya bilinmeyen sorunlar nedeniyle güncelleştirmelerin uygulanmadığı bazı durumlar olacaktır. Bu gibi durumlarda üretici yazılımı güncelleştirmeleri ile ilgili OEM yönergelerini izleyin. 

Not Yukarıdaki işlem, Güvenli Önyükleme Etkin Değişkenlerini işletim sistemi aracılığıyla uygular. Güvenli Önyükleme Üretici Yazılımı Varsayılan değerleri, OEM tarafından yayımlanan Üretici Yazılımında korunur. Oem, Üretici Yazılımı varsayılanlarını yeni sertifikalara dönüştürecek bir güncelleştirme yayınlamadığı sürece Güvenli Önyükleme yapılandırmasını değiştirmemek veya güncelleştirmemektir.

 Sertifikaların süresi dolarsa Güvenli Önyükleme korumasının düzeyi düşürülmüş olur. Sistem, Windows 11 gibi daha yeni bir işletim sisteminin gereksinimlerini karşılıyorsa, Windows 11 daha yeni bir işletim sistemi sürümüne yükseltmek mümkün olacaktır.  

Windows 10 LTSC cihazlarınızda Güvenli Önyükleme etkinleştirilmemişse, bunlar yeni Güvenli Önyükleme sertifikaları için geçerli dağıtıma dahil değildir. Windows 11 LTSC'ye yükseltmeye başladığınızda, yeni 2023 sertifikalarının dahil edildiğinden emin olmak için ilgili belirli geçiş adımlarını izlemeniz gerekir.

Sertifikaları yalnızca desteklenen Windows işletim sistemi sürümleri alır. 

Sanal ortamda çalışan Windows için, Yeni sertifikaları Güvenli Önyükleme üretici yazılımı değişkenlerine eklemek için iki yöntem vardır: 

• Sanal ortamın oluşturucusu (AWS, Azure, Hyper-V, VMware vb.) ortam için bir güncelleştirme sağlayabilir ve yeni sertifikaları sanallaştırılmış üretici yazılımına ekleyebilir. Bu, yeni sanallaştırılmış cihazlar için işe yarayacaktı.

• Vm'de uzun süreli çalışan Windows için, sanallaştırılmış üretici yazılımı Güvenli Önyükleme güncelleştirmelerini destekliyorsa güncelleştirmeler diğer cihazlar gibi Windows aracılığıyla da uygulanabilir.

Bu Müşteri/BT tarafından yönetilen ortamlar genellikle Microsoft'un yeni özellikleri güvenle ve güvenle kullanıma sunmaları için yeterli tanılama verilerine sahip değildir. Buna ek olarak, BT departmanları genellikle iç araçlar ve iş akışlarıyla uyumluluk, kararlılık ve uyumluluk sağlamak için güncelleştirme zamanlaması ve içeriği üzerinde tam denetime sahip olmasını tercih eder. Birçok kurumsal cihaz, CFR tarafından ima edilen dış erişimin veya yönetimin istenmeyen veya yasak olabileceği hassas veya kısıtlanmış ortamlarda da çalışır.

Windows zaten 2023 imzalı önyükleme yöneticisini kullanıyorsa ancak üretici yazılımı Windows UEFI CA 2023 sertifikasını içermeyen varsayılanlara sıfırlanırsa, Güvenli Önyükleme önyükleme işlemini engeller. 

Bunu düzeltmek için kurtarma uygulamasını kullanarak 2023 sertifikasını üretici yazılımının db'sine yeniden uygulamanız gerekir. Bu işlem, kurtarma USB'sini oluşturup eksik sertifikayı geri yüklemek için etkilenen cihazı bu USB'den önyükleyerek gerçekleştirilir. 

Adım adım yönergeler için Bkz. Microsoft'un Windows yükleme medyasını güncelleştirmeye yönelik resmi kılavuzu.