Запитання й відповіді щодо процесу оновлення безпечного завантаження

Застосовується до
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Примітка.

  • Дата початкової публікації: 15 вересня 2025 р.
  • Ідентифікатор бази знань: 5068008
Журнал змін
Змінення дати Змінити опис
23 лютого 2026 р.
  • Додано новий розділ поширених запитань і відповідей у розділі "Загальні запитання й відповіді про безпечне завантаження"
9 лютого 2026 р.
  • Додано новий розділ поширених запитань у розділі "Запитання й відповіді про безпечне завантаження систем під керуванням ІТ-відділу"
3 лютого 2026 р.
  • Переміщено "Q4" до "Q1" у розділі "Загальні запитання й відповіді про безпечне завантаження" та оновлено вміст.
12 січня 2026 р.
  • Покращено поведінку, коли термін дії сертифікатів завершується за 4 квартал.

Загальні запитання й відповіді про безпечне завантаження

Q1. Що станеться, якщо мій пристрій не отримає нові сертифікати безпечного завантаження до завершення терміну дії старих?

Після завершення терміну дії сертифікатів безпечного завантаження пристрої, які не отримали нові сертифікати 2023 року, продовжать запускатися та працювати нормально, а стандартні оновлення Windows продовжуватимуть інсталюватися. Проте, ці пристрої більше не зможуть отримувати нові засоби захисту безпеки для процесу раннього завантаження, включно з оновленнями Диспетчера завантаження Windows, баз даних безпечного завантаження, списків відкликаних або засобів захисту від нещодавно виявлених вразливостей рівня завантаження.

З часом це обмежує захист пристрою від нових загроз і може вплинути на сценарії, які покладаються на довіру безпечного завантаження, наприклад посилення BitLocker або сторонні завантажувачі. Більшість пристроїв Windows отримають оновлені сертифікати автоматично, і багато виробників оригінального обладнання надають оновлення мікропрограм за потреби. Оновлення пристрою в актуальному стані гарантують, що він і надалі отримуватиме повний набір засобів захисту, які забезпечує функція безпечного завантаження.

Q2: Коли потрібно оновлювати сертифікати безпечного завантаження?

Радимо оновити сертифікати безпечного завантаження задовго до дати завершення терміну дії в червні 2026 р.

Якщо ваш пристрій працює під керуванням корпорації Майкрософт і він надає їй діагностичні дані, у більшості випадків корпорація Майкрософт намагатиметься оновити сертифікати безпечного завантаження автоматично. Хоча корпорація Майкрософт докладатиме всіх зусиль, щоб оновити систему безпечного завантаження, у деяких ситуаціях застосування оновлення може бути негарантовано, і знадобляться дії з боку клієнта. Клієнт несе повну відповідальність за оновлення сертифікатів безпечного завантаження.

Нижче наведено приклади випадків, коли пристрої, керовані корпорацією Майкрософт з увімкнутими діагностичними даними, можуть не отримувати оновлення.

  • Оновлення функції безпечного завантаження Microsoft застосовуються лише до деяких версій Windows, які зараз підтримуються.
  • Можливо, діагностичні дані, увімкнуті на вашому пристрої, заблоковано брандмауером в організації, і вони не надходять до корпорації Майкрософт.
  • Можливо, виникла проблема з мікропрограмою на пристрої.

Примітка Що означає «Під керуванням Майкрософт»? Система надає спільний доступ до діагностичних даних, і нею керує Microsoft Cloud або Intune.

Якщо ваш пристрій не надає корпорації Майкрософт діагностичні дані, але ним керує ІТ-відділ вашої організації або клієнт, ІТ-відділ може оновити системи, дотримуючись вказівок корпорації Майкрософт щодо завершення терміну дії сертифікатів безпечного завантаження Windows і оновлень центру сертифікації.

Q3. Як оновлюються сертифікати безпечного завантаження?

Якщо комп'ютер працює під керуванням корпорації Майкрософт, сертифікати безпечного завантаження оновлюються через Windows Update.

Якщо комп'ютером керує ІТ-адміністратор вашої організації або компанії, ІТ-відділ має методи оновлення системи, використовуючи вказівки з терміну дії сертифіката безпечного завантаження Windows і оновлення центру сертифікації.

Запитання 4. Що станеться з Windows 10 системами після подовженого оновлення системи безпеки (ESU) від 14 жовтня 2025 р.?

Windows 10Підтримка Windows 10 завершується 14 жовтня 2025 р. Докладні відомості див. в Windows 10 підтримка завершується 14 жовтня 2025 р.

Щоб і надалі отримувати Оновлення безпеки після цієї дати, клієнти, які залишилися на Windows 10, можуть зареєструватися в наведеному нижче розташуванні.

Примітка.

  • Windows 10 EnterpriseWindows 10 Enterprise LTSC можна придбати як окремий обліковий номер або в рамках передплати на Windows Enterprise E3.
  • Windows IoT Enterprise LTSC можна придбати безпосередньо у виробника оригінального обладнання або за допомогою ліцензії постачальника як окремий обліковий номер.
Q5: Як використовуються сертифікати безпечного завантаження?

Сертифікати безпечного завантаження дають змогу мікропрограмі перевірити, чи критично важливі компоненти, наприклад диспетчери завантаження, додаткові ПЗУ (драйвери мікропрограми) та інше програмне забезпечення на основі мікропрограм, є надійними та не підроблені. Корпорація Майкрософт використовує ці сертифікати для підписування диспетчерів завантаження та інших компонентів, яким слід довіряти, а також оновлень безпечного завантаження. Коли термін дії старих сертифікатів завершиться, за ними більше не можна буде підписувати нові компоненти або оновлення.

Q6: Як це вплине на пристрої з вимкненим безпечним завантаженням?

Пристрої з вимкненою функцією безпечного завантаження не отримають нові сертифікати безпечного завантаження в мікропрограмі. Як наслідок, вони залишатимуться вразливими для зловмисного програмного забезпечення на рівні завантаження, наприклад буткітів, оскільки захист від безпечного завантаження не застосовується.

Q7: Чи буде корпорація Майкрософт оновлювати всі сертифікати безпечного завантаження, включно з сертифікатами KEK та DB?

На пристроях, які відповідають вимогам (наприклад, які отримали сукупний пакет оновлень через розгортання на основі достовірності або зареєстровані в рамках керованого розгортання функцій (CFR) з увімкнутими діагностичними даними, корпорація Майкрософт спробує оновити всі відповідні сертифікати. Однак ці оновлення надаються як допомога, а не гарантія. ІТ-адміністратори, як і раніше, несуть відповідальність за оновлення всього свого автопарку з використанням автоматизованого CFR корпорації Майкрософт та інших документально підтверджених методів розгортання.

Q8: Коли були випущені оновлені сертифікати безпечного завантаження 2023 року?

Сертифікати включено до сукупних оновлень від 13 травня 2025 р. (LCU) і пізніших версій. Проте вони не застосовуються автоматично, для цього необхідно виконати додаткові дії. Указівки з розгортання див. в https://aka.ms/getsecureboot.

Q9: Яка різниця між оновленнями мікропрограми та оновленнями Windows під час застосування сертифікатів безпечного завантаження?

Вони служать різним цілям.

Оновлення мікропрограми можуть оновити змінні безпечного завантаження за замовчуванням, що зберігаються в мікропрограмі. Це може допомогти, якщо пізніше настройки безпечного завантаження буде скинуто до значень за замовчуванням, оскільки сертифікати, які буде відновлено в такому випадку, залежать від параметрів мікропрограми.

Windows застосовує зміни до активних змінних безпечного завантаження, які застосовуються під час звичайного завантаження. Ці активні змінні – це те, що мікропрограма використовує для перевірки компонентів завантаження та на які Windows покладається для забезпечення майбутнього захисту безпечного завантаження.

На практиці Windows відповідає за актуальність конфігурації активного безпечного завантаження. Оновлення мікропрограм також допомагають забезпечити оновлення значень за замовчуванням, що знижує ризик скидання або повторної ініціалізації безпечного завантаження в майбутньому.

Адміністратори мають забезпечувати оновлення активних змінних безпечного завантаження та відстежувати стан розгортання незалежно від доступності оновлень мікропрограм.

Запитання й відповіді про безпечне завантаження під керуванням клієнтів/ІТ-фахівців системи

Запитання 1. Що можна зробити, щоб зберегти функціональність безпечного завантаження на старих комп'ютерах, керованих ІТ-спеціалістами, які, можливо, не отримають оновлення мікропрограм від виробника оригінального обладнання?

Є два можливі шляхи:

Очікується, що ці кроки будуть призначені для більшості користувачів, яким не потрібно буде оновлювати мікропрограму від виробників оригінального обладнання. Однак у деяких випадках оновлення не застосовуються через відомі або невідомі проблеми в мікропрограмі пристрою. У таких випадках дотримуйтеся рекомендацій виробника оригінального обладнання щодо оновлення мікропрограм.

Примітка Наведений вище процес застосовує активні змінні безпечного завантаження через ОС. Стандартні значення мікропрограми безпечного завантаження зберігаються в мікропрограмі, випущеній виробником оригінального обладнання. Рекомендується не змінювати й не оновлювати конфігурацію безпечного завантаження, якщо виробник обладнання не випустив оновлення, щоб змінити стандартні стандартні сертифікати мікропрограми.

Q2: Якщо на комп'ютері минув термін дії сертифікатів безпечного завантаження, чи можна буде інсталювати нову версію Windows?

Якщо термін дії сертифікатів завершується, втрачається захист від безпечного завантаження. Якщо система відповідає вимогам для новішої ОС, наприклад, Windows 11Windows 11, можна буде оновитися до новішої версії ОС Windows 11Windows 11.

Q3. Що станеться під час оновлення комп'ютера Windows 10 LTSC без увімкненого безпечного завантаження для Windows 11 LTSC після закінчення терміну дії сертифіката?

Якщо безпечне завантаження не ввімкнуто на ваших пристроях Windows 10 LTSC, вони не включаються в поточне розгортання нових сертифікатів безпечного завантаження. Коли ви починаєте оновлення до Windows 11Windows 11 LTSC, вам потрібно буде виконати певні кроки з перенесення, актуальні на той момент, щоб забезпечити включення нових сертифікатів 2023 року.

Q4. Чи отримають версії Windows, які більше не підтримуються, оновлені сертифікати?

Сертифікати отримають лише підтримувані версії ОС Windows.

Q5: Як віртуалізовані середовища працюють з оновленнями сертифікатів безпечного завантаження?

Для Windows, що працює у віртуальному середовищі, нові сертифікати можна додати до змінних мікропрограми безпечного завантаження двома способами:

  • Творець віртуального середовища (AWS, AzureAzure, Hyper-V, VMware і т.д.) може надати оновлення середовища і включити нові сертифікати в віртуалізовану прошивку. Це спрацює для нових віртуалізованих пристроїв.
  • Якщо ОС Windows довго працює на віртуальній машині, оновлення можна застосовувати через Windows, як і на будь-яких інших пристроях, якщо віртуалізована мікропрограма підтримує оновлення безпечного завантаження.
Запитання 6. Чому корпорація Майкрософт не може розгорнути автоматизоване розгортання в моєму корпоративному або ІТ-парку за допомогою керованого розгортання функцій (CFR), який використовується в системах під керуванням Microsoft?

У цих середовищах, керованих клієнтами або ІТ-відділеннями, часто не вистачає діагностичних даних, щоб корпорація Майкрософт могла впевнено та безпечно розгортати нові функції. Крім того, ІТ-відділи зазвичай мають повний контроль над часом оновлення та вмістом, щоб забезпечити відповідність, стабільність і сумісність із внутрішніми засобами та робочими циклами. Багато корпоративних пристроїв також працюють у чутливих середовищах або середовищах з обмеженим доступом, де зовнішній доступ або керування, що мається на увазі CFR, може бути небажаним або забороненим.

Q7: Мій пристрій перестав завантажуватися після скидання мікропрограми до налаштувань за замовчуванням — що сталося і як це виправити?

Якщо Windows уже використовує диспетчер завантаження з підписом 2023, але мікропрограму скинуто до стандартних параметрів, які не включають сертифікат Windows UEFI CA 2023, безпечне завантаження заблокує процес завантаження.

Щоб виправити це, потрібно повторно застосувати сертифікат 2023 року до бази даних прошивки за допомогою програми відновлення. Для цього потрібно створити USB-носій для відновлення, а потім завантажити відповідний пристрій із цього USB-носія для відновлення відсутнього сертифіката.

Покрокові вказівки див. в офіційному посібнику корпорації Майкрософт з оновлення носія інсталяції Windows.

Q8: Якщо термін дії сертифікатів безпечного завантаження на моєму пристрої вже минув, чи можу я отримати оновлені сертифікати?

Так. Сукупні пакети оновлень, які містять нові сертифікати безпечного завантаження, можна застосовувати, навіть якщо минув термін дії наявних сертифікатів. Якщо пристрій може завантажувати Windows та інсталювати оновлення, оновлені сертифікати можна записати на мікропрограму, дотримуючись опублікованих інструкцій із розгортання. Більшість пристроїв отримають ці оновлення автоматично, але для деяких систем можуть знадобитися додаткові оновлення мікропрограм.