Примітка.
- Дата початкової публікації: 26 червня 2025 р.
- Ідентифікатор бази знань: 5062710
Журнал змін
| Змінення дати | Змінити опис |
|---|---|
| 18 травня 2026 р. |
|
| 5 травня 2026 р. |
|
| 3 лютого 2026 р. |
|
| 10 листопада 2025 р. | Виправлено дві помилки в розділі "Новий сертифікат":
|
Що таке безпечне завантаження?
Безпечне завантаження – це функція безпеки в мікропрограмі на основі інтерфейсу UEFI, яка допомагає забезпечити запуск тільки надійного програмного забезпечення під час послідовності завантаження (запуску) пристрою. Принцип його дії полягає в перевірці цифрового підпису програмного забезпечення на відповідність набору надійних цифрових сертифікатів (також відомих як центр сертифікації), що зберігаються в мікропрограмі пристрою. Як галузевий стандарт, UEFI Secure Boot визначає, як мікропрограма платформи керує сертифікатами, автентифікує мікропрограму та як операційна система (ОС) взаємодіє з цим процесом. Докладніші відомості про інтерфейс UEFI та безпечне завантаження див. в статті "Безпечне завантаження".
Безпечне завантаження вперше було представлено в Windows 8 році для захисту від загрози шкідливого програмного забезпечення перед завантаженням (також відомої як bootkit). В рамках ініціалізації платформи безпечне завантаження автентифікує модулі мікропрограми перед виконанням. Ці модулі включають драйвери мікропрограм інтерфейсу UEFI (наприклад, ПЗУ Option), завантажувальні пристрої та програми. Завершальним кроком процесу безпечного завантаження є перевірка мікропрограмою того, чи безпечно завантаження довіряє завантажувачу. Потім прошивка передає управління завантажувачу, який в свою чергу перевіряє, завантажується в пам'ять і запускає ОС Windows.
Безпечне завантаження визначає надійний код за допомогою політики мікропрограми, установленої під час виробництва. Зміни цієї політики, наприклад додавання або відкликання сертифікатів, контролюються ієрархією ключів. Ця ієрархія починається з ключа платформи (PK), який зазвичай належить виробнику обладнання, за ним іде ключ реєстрації ключа (KEK) (також відомий як ключ обміну ключами), який може включати Microsoft KEK та інші KEK від виробника. Дозволена база даних підписів (DB) і скасована база даних підписів (DBX) визначають, який код може виконуватися в середовищі UEFI перед запуском ОС. База даних містить сертифікати, якими керують корпорація Майкрософт і виробник обладнання, у той час як DBX оновлюється корпорацією Майкрософт з останніми відкликаннями. Будь-яка сутність із KEK може оновлювати базу даних і DBX.
Вплив завершення терміну дії сертифіката безпечного завантаження
Корпорація Майкрософт оновлює сертифікати безпечного завантаження, випущені в 2011 році, щоб забезпечити перевірку надійного програмного забезпечення для пристроїв Windows. Термін дії цих старих сертифікатів спливає в червні 2026 р. Пристрої, які не отримали нові сертифікати 2023 року, продовжать запускатися та працювати нормально, а стандартні оновлення Windows продовжуватимуть інсталюватися. Проте, ці пристрої більше не зможуть отримувати нові засоби захисту безпеки для процесу раннього завантаження, включно з оновленнями Диспетчера завантаження Windows, баз даних безпечного завантаження, списків відкликаних або засобів захисту від нещодавно виявлених вразливостей рівня завантаження.
З часом це обмежує захист пристрою від нових загроз і може вплинути на сценарії, які покладаються на довіру безпечного завантаження, наприклад посилення BitLocker або сторонні завантажувачі. Більшість пристроїв Windows автоматично отримають оновлені сертифікати, а багато виробників оригінального обладнання надають оновлення мікропрограм за потреби. Оновлення пристрою в актуальному стані гарантують, що він і надалі отримуватиме повний набір засобів захисту, які забезпечує функція безпечного завантаження.
Сертифікати безпечного завантаження Windows, термін дії яких завершується у 2026 р.
З того часу, як у Windows з'явилася підтримка безпечного завантаження, усі пристрої на базі Windows мають однаковий набір сертифікатів Microsoft у KEK і DB. Термін дії цих оригінальних сертифікатів скоро завершиться, і це вплине на пристрій, якщо на ньому є будь-яка з версій сертифікатів у списку. Щоб і надалі використовувати Windows і отримувати регулярні оновлення для конфігурації безпечного завантаження, потрібно оновити ці сертифікати.
Термінологія
- КЕК: ключ реєстрації ключа
- ЦА: Центр сертифікації
- БД: База даних підписів безпечного завантаження
- DBX: База даних відкликаних підписів безпечного завантаження
| Сертифікат, термін дії якого завершується | Дата завершення терміну чинності | Новий сертифікат | Розташування зберігання | Мета |
|---|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | 24 червня 2026 р. | Microsoft Corporation KEK 2K CA 2023 | Зберігається в KEK | Підписи оновлюються для баз даних і DBX. |
| Microsoft Windows Production PCA 2011 | 19 жовтня 2026 р. | Windows UEFI CA 2023 | Зберігається в базі даних | Використовується для підпису завантажувача Windows. |
| Microsoft UEFI CA 2011*** | 27 червня 2026 р. | Microsoft UEFI CA 2023 | Зберігається в базі даних | Підписи сторонніх завантажувачів і додатків EFI. |
| Microsoft UEFI CA 2011*** | 27 червня 2026 р. | Microsoft Option ROM UEFI CA 2023 | Зберігається в базі даних | Знаки сторонніх постачальників ПЗУ |
Примітка.
*Під час оновлення сертифіката корпорації Microsoft UEFI CA 2011 два сертифікати відокремлюють підпис завантажувача від опції підписування ПЗУ. Це дає змогу точніше контролювати довіру до системи. Наприклад, системи, яким потрібно довіряти опційним ПЗУ, можуть додати Microsoft Option ROM UEFI CA 2023, не додаючи довіри стороннім завантажувачам.
Корпорація Майкрософт випустила оновлені сертифікати, щоб забезпечити безперервність захисту від безпечного завантаження на пристроях Windows. Корпорація Майкрософт керуватиме процесом оновлення цих нових сертифікатів для значної частини пристроїв Windows. Крім того, ми запропонуємо докладні інструкції для організацій, які керують оновленнями своїх пристроїв.
Заклик до дії
Можливо, вам доведеться вжити заходів, щоб забезпечити захист пристрою Windows після завершення терміну дії сертифікатів у 2026 р. Як базу даних безпечного завантаження UEFI, так і KEK необхідно оновити відповідними новими версіями сертифікатів 2023 року. Додаткові відомості про нові сертифікати див. у посібнику зі створення та керування ключами безпечного завантаження Windows.
Ваші дії залежать від типу пристрою Windows. Виберіть у меню ліворуч тип пристрою та дії, які потрібно виконати.
Ресурси служби підтримки клієнтів корпорації Майкрософт
Щоб звернутися до служби підтримки Microsoft, див.:
"Підтримка від Microsoft ", а потім виберіть пункт "Windows".
підтримки бізнесу , а потім клацніть " Створити ", щоб створити новий запит на підтримку.
Створений запит на підтримку повинен мати такий вигляд: