Запитання й відповіді про процес оновлення безпечного завантаження

Після завершення терміну дії сертифікатів безпечного завантаження пристрої, які ще не отримали нові сертифікати 2023, і надалі запускатимуться та працюватимуть нормально, а стандартні оновлення Windows будуть і надалі інсталюватися. Однак ці пристрої більше не зможуть отримувати нові засоби захисту для процесу раннього завантаження, зокрема оновлення диспетчера завантаження Windows, бази даних безпечного завантаження, списки відкликань або послаблення ризиків для нових виявлених вразливостей рівня завантаження. 

З часом це обмежує захист пристрою від нових загроз і може впливати на сценарії, які залежать від довіри безпечного завантаження, наприклад, апаратне забезпечення BitLocker або завантажувачі сторонніх виробників. Більшість пристроїв Windows отримають оновлені сертифікати автоматично, а багато виробників оригінального обладнання за потреби надали оновлення мікропрограм. Підтримання актуальності пристрою за допомогою цих оновлень гарантує, що він зможе й надалі отримувати повний набір засобів захисту, які призначено для безпечного завантаження.

Радимо оновити сертифікати безпечного завантаження до дати завершення терміну дії за червень 2026 року. 

Якщо ваш пристрій керує корпорація Майкрософт і обмінюється діагностичними даними з корпорацією Майкрософт, корпорація Майкрософт спробує автоматично оновити сертифікати безпечного завантаження в більшості випадків. Хоча корпорація Майкрософт зробить все можливе, щоб оновити безпечне завантаження, у деяких випадках оновлення не гарантовано застосовуватиметься та потребуватиме дій клієнтів. Клієнт у кінцевому підсумку несе відповідальність за оновлення сертифікатів безпечного завантаження. 

Приклади ситуацій, коли пристрої, керовані корпорацією Майкрософт із увімкнутими діагностичними даними, можуть не отримувати оновлення:

• Оновлення microsoft Secure Boot застосовуються лише до деяких версій Windows, які підтримуються.

• Діагностичні дані, увімкнуті на вашому пристрої, може бути заблоковано брандмауером у вашій організації та не зв'язок із корпорацією Майкрософт.

• Можливо, сталася помилка мікропрограми на пристрої.

Нотатка Що означає "Керувати корпорацією Майкрософт"? Система надає спільний доступ до діагностичних даних і керується Microsoft Cloud або Intune. 

Якщо ваш пристрій не надає доступ до діагностичних даних корпорації Майкрософт і ним керує ІТ-відділ вашої організації або клієнт, ІТ-відділ може оновити системи, дотримуючись інструкцій корпорації Майкрософт у статті Завершення терміну дії сертифіката безпечного завантаження Windows і оновлення центру сертифікації.

Якщо комп'ютером керує корпорація Майкрософт, сертифікати безпечного завантаження оновлюються через Windows Update.  

Якщо комп'ютером керує ваша організація або бізнес-ІТ-адміністратор, ІТ-відділ може оновити систему за допомогою вказівок із завершення терміну дії сертифіката безпечного завантаження Windows і оновлень центру сертифікації. 

підтримка Windows 10 завершується 14 жовтня 2025 р. Докладні відомості див. в статті Windows 10 завершення підтримки 14 жовтня 2025 р. 

Щоб і надалі отримувати Оновлення безпеки після цієї дати, клієнти, що залишилися на Windows 10 можуть зареєструватися: 

• Програму розширеної безпеки Оновлення (ESU) Windows 10 див. в статті програма Windows 10 розширеного захисту Оновлення (ESU)

• Або якщо ви маєте підтримувану версію LTSC Windows 10, вона й надалі отримуватиме Оновлення безпеки до дати завершення терміну дії LTSC. Наприклад, див. статтю Програма розширеного Оновлення захисту (ESU) для Windows 10

Примітка

• Windows 10 Enterprise LTSC можна придбати окремо або в рамках передплати на Windows Enterprise E3.

• Windows IoT Enterprise LTSC можна придбати безпосередньо в виробника оригінального обладнання або за ліцензією постачальника як окремий обліковий номер.

Сертифікати безпечного завантаження дають змогу переконатися, що критичні компоненти, як-от диспетчери завантаження, ПЗУ (драйвери мікропрограм) та інше програмне забезпечення на базі мікропрограм, надійні та не підроблені. Корпорація Майкрософт використовує ці сертифікати, щоб підписувати диспетчери завантаження та інші компоненти, яким слід довіряти, а також оновлення безпечного завантаження. Після завершення терміну дії старіших сертифікатів їх більше не можна використовувати для підписання нових компонентів або оновлень.

Пристрої з вимкнутим безпечним завантаженням не отримають нові сертифікати безпечного завантаження в мікропрограмі. Як наслідок, вони залишатимуться вразливими до зловмисних програм на рівні завантаження, наприклад буткітів, оскільки захист від безпечного завантаження не застосовується. 

Для відповідних пристроїв, наприклад тих, які отримують сукупні оновлення за допомогою довірчого розгортання або зареєстровані в керованому розгортанні функцій (CFR) з увімкненими діагностичними даними, корпорація Майкрософт намагатиметься оновити всі відповідні сертифікати. Однак ці оновлення надаються як допомога, а не гарантія. ІТ-адміністратори несуть відповідальність за забезпечення оновлення всього свого флоту за допомогою автоматизованого CFR корпорації Майкрософт та інших задокументованих методів розгортання.

Сертифікати було включено до сукупних оновлень (LCU) і пізніших версій від 13 травня 2025 року. Однак вони не застосовуються автоматично, додаткові дії обов'язкові. Докладні відомості про розгортання див. в статті https://aka.ms/getsecureboot.

Вони служать різним цілям.

Оновлення мікропрограми можуть оновлювати стандартні змінні безпечного завантаження, що зберігаються в мікропрограмі. Це в першу чергу корисно, якщо настройки безпечного завантаження пізніше скидаються до значень за замовчуванням, оскільки за замовчуванням мікропрограми визначають, які сертифікати відновлюються в цьому сценарії.

Windows застосовує зміни до активних змінних безпечного завантаження, які застосовуються під час звичайного завантаження. Ці активні змінні – це те, що мікропрограма використовує для перевірки компонентів завантаження, а також те, на що windows спирається, щоб забезпечити майбутній захист від безпечного завантаження.

На практиці Windows несе відповідальність за збереження активної конфігурації безпечного завантаження. Оновлення мікропрограм допомагають забезпечити оновлення значень за замовчуванням, що знижує ризик скидання або повторного завантаження в майбутньому.

Адміністратори повинні переконатися, що активні змінні безпечного завантаження оновлюються та відстежують стан розгортання незалежно від того, чи доступні оновлення мікропрограм.

Є два можливих шляхи: 

• Якщо комп'ютером керує корпорація Майкрософт зі спільними діагностичними даними та ця ОС підтримується, корпорація Майкрософт спробує оновити систему.

• Якщо ІТ-адміністратор керує пристроєм або керує ним, ІТ-відділ може застосовувати оновлення на перевіреному наборі комп'ютерів, які можуть безпечно приймати оновлення відповідно до інструкцій Корпорації Майкрософт у статті Завершення терміну дії сертифіката безпечного завантаження Windows і оновлення ca.

Очікується, що ці кроки будуть призначені для більшості клієнтів без необхідності оновлення мікропрограм від виробника оригінального обладнання. Однак у деяких випадках оновлення не застосовуються через відомі або невідомі проблеми в мікропрограмі пристрою. У таких випадках дотримуйтеся вказівок виробника оригінального обладнання щодо оновлень мікропрограм. 

Нотатка Вищезазначений процес застосовує активні змінні безпечного завантаження через ОС. Стандартні значення мікропрограми безпечного завантаження зберігаються в мікропрограмі, яка випускається виробником оригінального обладнання. Рекомендації полягає в тому, щоб не змінювати або оновлювати конфігурацію безпечного завантаження, якщо виробник оригінального обладнання не випустив оновлення, щоб змінити стандартні параметри мікропрограми на нові сертифікати.

 Якщо термін дії сертифікатів завершиться, захист від безпечного завантаження обмежено. Якщо система відповідає вимогам для новішої ОС, наприклад Windows 11, можна буде оновити операційну систему до новішої версії Windows 11.  

Якщо безпечне завантаження не ввімкнуто на пристроях Windows 10 LTSC, їх не включено до поточного розгортання для нових сертифікатів безпечного завантаження. Коли ви почнете оновлення до Windows 11 LTSC, вам потрібно буде виконати певні кроки перенесення, які потрібно виконати в цей час, щоб переконатися, що нові сертифікати 2023 включені.

Сертифікати отримуватимуть лише підтримувані версії ОС Windows. 

Для Windows, запущеної у віртуальному середовищі, є два способи додавання нових сертифікатів до змінних мікропрограм безпечного завантаження: 

• Автор віртуального середовища (AWS, Azure, Hyper-V, VMware тощо) може надати оновлення для середовища та включити нові сертифікати в віртуалізовану мікропрограму. Це дасть змогу використовувати нові віртуалізовані пристрої.

• Для Windows, яка працює в довгостроковій перспективі у ВМ, оновлення можна застосовувати через Windows, як і будь-які інші пристрої, якщо віртуалізована мікропрограма підтримує оновлення безпечного завантаження.

У цих середовищах, керованих клієнтами або ІТ-відділами, часто бракує достатніх діагностичних даних для корпорації Майкрософт, щоб впевнено та безпечно розгортати нові функції. Крім того, ІТ-відділи зазвичай віддають перевагу підтримці повного контролю за часом оновлення та вмістом, щоб забезпечити відповідність, стабільність і сумісність із внутрішніми інструментами та робочими циклами. Багато корпоративних пристроїв також працюють у чутливих або обмежених середовищах, де зовнішній доступ або керування, що маються на увазі CFR, можуть бути небажаними або забороненими.

Якщо Windows уже використовує диспетчер завантаження з підписом 2023, але мікропрограма скидається до стандартних параметрів, які не включають сертифікат Windows UEFI CA 2023, безпечне завантаження заблокує процес завантаження. 

Щоб виправити це, потрібно повторно застосувати сертифікат 2023 до бази даних мікропрограми за допомогою програми відновлення. Це робиться шляхом створення USB-носія для відновлення, а потім завантаження відповідного пристрою з цього USB для відновлення відсутнього сертифіката. 

Покрокові вказівки див. в офіційних інструкціях корпорації Майкрософт щодо оновлення інсталяції медіавмісту Windows. 

​​​​​​​Так. Сукупні оновлення, які містять нові сертифікати безпечного завантаження, можна застосовувати, навіть якщо термін дії наявних сертифікатів минув. Якщо пристрій може завантажувати Windows та інсталювати оновлення, оновлені сертифікати можна записати на мікропрограму, виконавши вказівки з опублікованого розгортання. Більшість пристроїв отримуватимуть ці оновлення автоматично, але для деяких систем можуть знадобитися додаткові оновлення мікропрограм.