Застосовується до
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Вихідна дата публікації: 26 червня 2025 р.

Ідентифікатор KB: 5062710

Що таке безпечне завантаження?

Безпечне завантаження – це функція безпеки в мікропрограмі на основі інтерфейсу UEFI, яка забезпечує запуск лише надійного програмного забезпечення під час послідовності завантаження (запуску) пристрою. Він працює, перевіряючи цифровий підпис програмного забезпечення перед завантаженням на наявність набору надійних цифрових сертифікатів (також відомих як центр сертифікації або центр сертифікації), що зберігаються в мікропрограмі пристрою. Як галузевий стандарт, UEFI Secure Boot визначає, як мікропрограма платформи керує сертифікатами, автентифікує мікропрограму та як інтерфейси операційної системи (ОС) з цим процесом. Докладні відомості про UEFI та безпечне завантаження див. в статті Безпечне завантаження.

Безпечне завантаження було вперше представлено в Windows 8 для захисту від нових зловмисних програм перед завантаженням (також відомих як загроза буткіту) на той час. У рамках ініціалізації платформи secure Boot автентифікує модулі мікропрограми перед виконанням. До цих модулів належать драйвери мікропрограм UEFI (наприклад, Option ROMs), завантажувачі та програми. На останньому кроці процесу безпечного завантаження мікропрограма перевіряє, чи надійне завантаження надійне. Потім мікропрограма передає керування завантажувачу, який, у свою чергу, перевіряє, завантажується в пам'ять і запускає ОС Windows.

Безпечне завантаження визначає надійний код за допомогою політики мікропрограми, встановленої під час виробництва. Зміни в цій політиці, наприклад додавання або відкликання сертифікатів, контролюються ієрархією ключів. Ця ієрархія починається з ключа платформи (PK), який зазвичай належить виробнику обладнання, а потім ключом реєстрації ключа (KEK) (також відомий як ключ ключа Exchange), який може включати кек Microsoft та інші кекси OEM. База даних дозволених підписів (DB) і заборонена база даних підписів (DBX) визначають, який код можна запустити в середовищі UEFI перед запуском ОС. База даних містить сертифікати, якими керують корпорація Майкрософт і виробник оригінального обладнання, а DBX оновлюється корпорацією Майкрософт із останніми відкликаннями. Будь-яка сутність із KEK може оновити бази даних і DBX.

Термін дії сертифікатів безпечного завантаження Windows завершується у 2026 р.

Оскільки Windows представила підтримку безпечного завантаження, усі пристрої на основі Windows несли однаковий набір сертифікатів Microsoft у KEK і DB. Ці оригінальні сертифікати наблизяться до дати завершення терміну дії, і ваш пристрій впливає, якщо він має будь-яку з перелічених версій сертифіката. Щоб продовжити роботу Windows і отримувати регулярні оновлення для конфігурації безпечного завантаження, потрібно оновити ці сертифікати.

Термінологія

  • КЕК: Ключ реєстрації ключа

  • Ca: Центр сертифікації

  • ДБ: База даних підписів безпечного завантаження

  • DBX: Захищене завантаження відкликаної бази даних підписів

Сертифікат, термін дії якого завершується

Дата завершення дії

Новий сертифікат

Збереження розташування

Мета

Microsoft Corporation KEK CA 2011

Червень 2026 р.

Microsoft Corporation KEK CA 2023

Зберігається в KEK

Підписує оновлення для DB та DBX.

Microsoft Windows Production PCA 2011

Жовтень 2026 р.

Windows UEFI CA 2023

Зберігається в БД

Використовується для підписання завантажувача Windows.

Microsoft UEFI CA 2011*

Червень 2026 р.

Microsoft UEFI CA 2023

Зберігається в БД

Підписує сторонні завантажувачі та програми EFI.

Microsoft UEFI CA 2011*

Червень 2026 р.

Microsoft Option ROM CA 2023

Зберігається в БД

Підписує сторонній параметр ПЗУ

*Під час поновлення сертифіката UEFI CA 2011 корпорації Майкрософт два сертифікати відокремлюють підпис завантажувача від параметра підпису ROM. Це дає змогу ефективніше контролювати системну довіру. Наприклад, системи, яким потрібно довіряти варіант ПЗУ, можуть додати Microsoft Option ROM UEFI CA 2023, не додаючи довіри для сторонніх завантажувачів.

Корпорація Майкрософт видала оновлені сертифікати для забезпечення безперервної роботи захисту від безпечного завантаження на пристроях Windows. Корпорація Майкрософт керуватиме процесом оновлення цих нових сертифікатів на значній частині пристроїв Windows. Крім того, ми пропонуватимемо докладні вказівки для організацій, які керують власними оновленнями пристроїв.

Увага! Коли завершиться термін дії CAs 2011, пристрої Windows, які не мають нових сертифікатів 2023, більше не можуть отримувати виправлення системи безпеки для компонентів попереднього завантаження, що компрометує безпеку завантаження Windows.

Заклик до дії

Можливо, знадобиться вжити заходів, щоб гарантувати безпеку пристрою Windows після завершення терміну дії сертифікатів у 2026 році. Потрібно оновити бази даних безпечного завантаження UEFI та KEK відповідними новими версіями сертифікатів 2023 року. Докладні відомості про нові сертифікати див. в статті Створення ключа завантаження Windows і Керування ними

Увага! Без оновлень пристрої Windows із підтримкою безпечного завантаження ризикують не отримувати оновлення системи безпеки або довіряти новим завантажувачам, що поставить під загрозу як справність, так і безпеку.

Дії залежать від типу пристрою Windows. Виберіть із меню ліворуч тип пристрою та певні дії, які потрібно виконати.  

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей