Güvenli Önyükleme güncelleştirme işlemi hakkında sık sorulan sorular

Güvenli Önyükleme sertifikalarının süresi dolduktan sonra, daha yeni 2023 sertifikalarını almamış cihazlar normal bir şekilde başlatılmaya ve çalışmaya devam eder ve standart Windows güncelleştirmeleri yüklenmeye devam eder. Ancak, bu cihazlar artık Windows Önyükleme Yöneticisi güncelleştirmeleri, Güvenli Önyükleme veritabanları, iptal listeleri veya yeni bulunan önyükleme düzeyi güvenlik açıkları için azaltmalar da dahil olmak üzere erken önyükleme işlemi için yeni güvenlik korumaları alamayacaktır. 

Zaman içinde bu, cihazın yeni ortaya çıkan tehditlere karşı korumasını sınırlar ve BitLocker sağlamlaştırma veya üçüncü taraf önyükleme yükleyicileri gibi Güvenli Önyükleme güveni kullanan senaryoları etkileyebilir. Çoğu Windows cihazı güncelleştirilmiş sertifikaları otomatik olarak alır ve birçok OEM gerektiğinde üretici yazılımı güncelleştirmeleri sağlamış olur. Cihazınızı bu güncelleştirmelerle güncel tutmak, Güvenli Önyükleme'nin sağlamak üzere tasarlandığı tüm güvenlik korumalarını almaya devam etmesini sağlar.

Güvenli Önyükleme sertifikalarını Haziran 2026 sona erme tarihinden önce güncelleştirmek en iyisidir. 

Cihazınız Microsoft tarafından yönetiliyorsa ve tanılama verilerini Microsoft ile paylaşıyorsa, Microsoft çoğu durumda Güvenli Önyükleme sertifikalarını otomatik olarak güncelleştirmeye çalışır. Microsoft, Güvenli Önyükleme'yi güncelleştirmek için ellerinden geleni yapacak olsa da, güncelleştirmenin uygulanacağı garanti edilmediği ve müşteri eylemine ihtiyaç duyacağı bazı durumlar olacaktır. Müşteri nihai olarak Güvenli Önyükleme sertifikalarını güncelleştirmekle sorumludur. 

Tanılama verilerinin etkinleştirildiği Microsoft tarafından yönetilen cihazların güncelleştirmeleri almayabileceği durumlara örnek olarak şunlar verilebilir:

• Microsoft Güvenli Önyükleme güncelleştirmeleri yalnızca Windows'un bazı destek içi sürümleri için geçerlidir.

• Cihazınızda etkinleştirilen tanılama verileri kuruluşunuzdaki bir güvenlik duvarı tarafından engellenebilir ve Microsoft'a ulaşmayabilir.

• Cihazdaki üretici yazılımında bir sorun olabilir.

Not "Microsoft tarafından yönetiliyor" olmak ne anlama gelir? Sistem tanılama verilerini paylaşır ve Microsoft Cloud veya Intune tarafından yönetilir. 

Cihazınız Tanılama verilerini Microsoft ile paylaşmıyorsa ve kuruluşunuzun BT departmanı veya müşteri tarafından yönetiliyorsa, BT departmanı Windows Güvenli Önyükleme sertifikası süre sonu ve CA güncelleştirmelerinde Microsoft'un yönergelerini izleyerek sistemleri güncelleştirebilir.

Bilgisayar Microsoft tarafından yönetiliyorsa Güvenli Önyükleme sertifikaları Windows Update aracılığıyla güncelleştirilir.  

Bilgisayar kuruluşunuz veya işletme BT yöneticiniz tarafından yönetiliyorsa, BT departmanının Windows Güvenli Önyükleme sertifikası süre sonu ve CA güncelleştirmeleri yönergelerini kullanarak sistemi güncelleştirme yöntemleri vardır. 

Windows 10 Desteği 14 Ekim 2025'te sona erer. Daha fazla bilgi için bkz. Windows 10 desteği 14 Ekim 2025'te sona eriyor. 

Bu tarihten sonra Güvenlik Güncelleştirmeler almaya devam etmek için Windows 10 kalan müşteriler şunlara kaydolabilir: 

• Windows 10 Genişletilmiş Güvenlik Güncelleştirmeler (ESU) Programı, bkz. Genişletilmiş Güvenlik Güncelleştirmeler (ESU) Programı Windows 10

• Windows 10'nin desteklenen bir LTSC sürümüne sahipseniz, LTSC süre sonu tarihine kadar Güvenlik Güncelleştirmeler almaya devam eder. Örneğin bkz. Windows 10 için Genişletilmiş Güvenlik Güncelleştirmeler (ESU) programı

Not

• Windows 10 Enterprise LTSC, tek başına SKU olarak veya bir Windows Enterprise E3 aboneliğinin parçası olarak satın alınabilir.

• Windows IoT Enterprise LTSC doğrudan bir OEM'den veya tek başına SKU olarak Satıcı Lisansı aracılığıyla satın alınabilir.

Güvenli Önyükleme sertifikaları, üretici yazılımının önyükleme yöneticileri, seçenek ROM'ları (üretici yazılımı sürücüleri) ve diğer üretici yazılımı tabanlı yazılımlar gibi kritik bileşenlerin güvenilir olduğunu ve üzerinde oynanmadığını doğrulamasını sağlar. Microsoft, bu sertifikaları, güvenli önyükleme güncelleştirmelerinin yanı sıra, güvenilmesi gereken önyükleme yöneticilerini ve diğer bileşenleri imzalamak için kullanır. Eski sertifikaların süresi dolduğunda, yeni bileşenleri veya güncelleştirmeleri imzalamak için artık kullanılamazlar.

Güvenli Önyükleme devre dışı bırakılmış cihazlar, üretici yazılımında yeni Güvenli Önyükleme sertifikalarını almaz. Sonuç olarak, Güvenli Önyükleme korumaları uygulanmadığından önyükleme kümeleri gibi önyükleme düzeyi kötü amaçlı yazılımlara karşı savunmasız kalırlar. 

Güvenilirlik tabanlı dağıtım aracılığıyla toplu güncelleştirmeler alan veya tanılama verilerinin etkinleştirildiği Denetimli Özellik Dağıtımı'na (CFR) kaydedilenler gibi uygun cihazlar için Microsoft tüm geçerli sertifikaları güncelleştirmeye çalışır. Ancak, bu güncelleştirmeler bir garanti olarak değil, bir yardım olarak sağlanır. BT yöneticileri, Microsoft'un otomatik CFR'sini ve belgelenmiş diğer dağıtım yöntemlerini kullanarak tüm filolarının güncelleştirildiğinden emin olmaya devam eder.

Sertifikalar 13 Mayıs 2025, toplu güncelleştirmeler (LCU) ve sonraki sürümlere dahil edildi. Ancak, bunlar otomatik olarak uygulanmaz ek adımlar gereklidir. Dağıtım kılavuzu için bkz. https://aka.ms/getsecureboot.

Farklı amaçlara hizmet ederler.

Üretici yazılımı güncelleştirmeleri, üretici yazılımında depolanan varsayılan Güvenli Önyükleme değişkenlerini güncelleştirebilir. Yazılım varsayılanları bu senaryoda hangi sertifikaların geri yükleneceğini belirlediğinden, Güvenli Önyükleme ayarları daha sonra varsayılanlara sıfırlanırsa bu öncelikli olarak yararlıdır.

Windows, normal önyükleme sırasında zorunlu kılınan etkin Güvenli Önyükleme değişkenlerine değişiklikler uygular. Bu etkin değişkenler, üretici yazılımının önyükleme bileşenlerini doğrulamak için kullandığı ve Windows'un gelecekteki Güvenli Önyükleme korumalarını sunmak için kullandığı değişkenlerdir.

Uygulamada, Etkin Güvenli Önyükleme yapılandırmasını güncel tutmak Windows'un sorumluluğundadır. Üretici yazılımı güncelleştirmeleri, varsayılan değerlerin de güncelleştirilmesini sağlamaya yardımcı olur ve bu da gelecekte Güvenli Önyükleme sıfırlanırsa veya yeniden başlatıldığında riski azaltır.

Yöneticiler etkin Güvenli Önyükleme değişkenlerinin güncelleştirildiğinden emin olmalı ve üretici yazılımı güncelleştirmelerinin kullanılabilir olup olmadığına bakılmaksızın dağıtım durumunu izlemelidir.

İki olası yol vardır: 

• Bilgisayar Microsoft tarafından paylaşılan tanılama verileriyle yönetiliyorsa ve işletim sistemi destekleniyorsa, Microsoft güncelleştirmeyi dener.

• Cihaz müşteri tarafından yönetiliyorsa veya bir BT yöneticisi tarafından yönetiliyorsa BT departmanı, Windows Güvenli Önyükleme sertifikası süre sonu ve CA güncelleştirmelerinde Microsoft yönergelerine göre güncelleştirmeleri güvenli bir şekilde alabilen doğrulanmış bilgisayar kümesine güncelleştirmeleri uygulayabilir.

Bu adımların OEM'lerden üretici yazılımı güncelleştirmesine gerek kalmadan çoğu müşteriyi ele almaları beklenir. Ancak, cihaz üretici yazılımındaki bilinen veya bilinmeyen sorunlar nedeniyle güncelleştirmelerin uygulanmadığı bazı durumlar olacaktır. Bu gibi durumlarda üretici yazılımı güncelleştirmeleri ile ilgili OEM yönergelerini izleyin. 

Not Yukarıdaki işlem, Güvenli Önyükleme Etkin Değişkenlerini işletim sistemi aracılığıyla uygular. Güvenli Önyükleme Üretici Yazılımı Varsayılan değerleri, OEM tarafından yayımlanan Üretici Yazılımında korunur. Oem, Üretici Yazılımı varsayılanlarını yeni sertifikalara dönüştürecek bir güncelleştirme yayınlamadığı sürece Güvenli Önyükleme yapılandırmasını değiştirmemek veya güncelleştirmemektir.

 Sertifikaların süresi dolarsa Güvenli Önyükleme korumasının düzeyi düşürülmüş olur. Sistem, Windows 11 gibi daha yeni bir işletim sisteminin gereksinimlerini karşılıyorsa, Windows 11 daha yeni bir işletim sistemi sürümüne yükseltmek mümkün olacaktır.  

Windows 10 LTSC cihazlarınızda Güvenli Önyükleme etkinleştirilmemişse, bunlar yeni Güvenli Önyükleme sertifikaları için geçerli dağıtıma dahil değildir. Windows 11 LTSC'ye yükseltmeye başladığınızda, yeni 2023 sertifikalarının dahil edildiğinden emin olmak için ilgili belirli geçiş adımlarını izlemeniz gerekir.

Sertifikaları yalnızca desteklenen Windows işletim sistemi sürümleri alır. 

Sanal ortamda çalışan Windows için, Yeni sertifikaları Güvenli Önyükleme üretici yazılımı değişkenlerine eklemek için iki yöntem vardır: 

• Sanal ortamın oluşturucusu (AWS, Azure, Hyper-V, VMware vb.) ortam için bir güncelleştirme sağlayabilir ve yeni sertifikaları sanallaştırılmış üretici yazılımına ekleyebilir. Bu, yeni sanallaştırılmış cihazlar için işe yarayacaktı.

• Vm'de uzun süreli çalışan Windows için, sanallaştırılmış üretici yazılımı Güvenli Önyükleme güncelleştirmelerini destekliyorsa güncelleştirmeler diğer cihazlar gibi Windows aracılığıyla da uygulanabilir.

Bu Müşteri/BT tarafından yönetilen ortamlar genellikle Microsoft'un yeni özellikleri güvenle ve güvenle kullanıma sunmaları için yeterli tanılama verilerine sahip değildir. Buna ek olarak, BT departmanları genellikle iç araçlar ve iş akışlarıyla uyumluluk, kararlılık ve uyumluluk sağlamak için güncelleştirme zamanlaması ve içeriği üzerinde tam denetime sahip olmasını tercih eder. Birçok kurumsal cihaz, CFR tarafından ima edilen dış erişimin veya yönetimin istenmeyen veya yasak olabileceği hassas veya kısıtlanmış ortamlarda da çalışır.

Windows zaten 2023 imzalı önyükleme yöneticisini kullanıyorsa ancak üretici yazılımı Windows UEFI CA 2023 sertifikasını içermeyen varsayılanlara sıfırlanırsa, Güvenli Önyükleme önyükleme işlemini engeller. 

Bunu düzeltmek için kurtarma uygulamasını kullanarak 2023 sertifikasını üretici yazılımının db'sine yeniden uygulamanız gerekir. Bu işlem, kurtarma USB'sini oluşturup eksik sertifikayı geri yüklemek için etkilenen cihazı bu USB'den önyükleyerek gerçekleştirilir. 

Adım adım yönergeler için Bkz. Microsoft'un Windows yükleme medyasını güncelleştirmeye yönelik resmi kılavuzu. 

​​​​​​​Evet. Yeni Güvenli Önyükleme sertifikalarını içeren toplu güncelleştirmeler, mevcut sertifikaların süresi dolmuş olsa bile yine de uygulanabilir. Cihaz Windows'u önyükleyebilir ve güncelleştirmeleri yükleyebilirse, güncelleştirilmiş sertifikalar yayımlanan dağıtım kılavuzuna uyularak üretici yazılımına yazılabilir. Çoğu cihaz bu güncelleştirmeleri otomatik olarak alır, ancak bazı sistemler ek üretici yazılımı güncelleştirmeleri gerektirebilir.