Запитання й відповіді про процес оновлення безпечного завантаження

Радимо оновити сертифікати безпечного завантаження до дати завершення терміну дії за червень 2026 року. 

Якщо ваш пристрій керує корпорація Майкрософт і обмінюється діагностичними даними з корпорацією Майкрософт, корпорація Майкрософт спробує автоматично оновити сертифікати безпечного завантаження в більшості випадків. Хоча корпорація Майкрософт зробить все можливе, щоб оновити безпечне завантаження, можуть виникати певні ситуації, коли оновлення не гарантовано застосовуватиметься та потребуватиме дій клієнта. Клієнт зрештою несе відповідальність за оновлення сертифікатів безпечного завантаження. 

У деяких прикладах ситуації, коли керовані пристроями з діагностичними даними, до яких надано спільний доступ, не оновлюються: 

• Оновлення захищеного завантаження Microsoft працюють лише в деяких версіях Windows, які підтримуються.

• Діагностичні дані, увімкнуті на вашому пристрої, може бути заблоковано брандмауером у вашій організації та не зв'язок із корпорацією Майкрософт.

• Можливо, сталася помилка мікропрограми на пристрої.

Нотатка Що означає "Керувати корпорацією Майкрософт"? Система надає спільний доступ до діагностичних даних і керується Microsoft Cloud або Intune. 

Якщо ваш пристрій не надає доступ до діагностичних даних корпорації Майкрософт і ним керує ІТ-відділ вашої організації або клієнт, ІТ-відділ може оновити системи, дотримуючись інструкцій корпорації Майкрософт у статті Завершення терміну дії сертифіката безпечного завантаження Windows і оновлення центру сертифікації.

Якщо комп'ютером керує корпорація Майкрософт, сертифікати безпечного завантаження оновлюються через Windows Update.  

Якщо комп'ютером керує ваша організація або бізнес-ІТ-адміністратор, ІТ-відділ може оновити систему за допомогою вказівок із завершення терміну дії сертифіката безпечного завантаження Windows і оновлень центру сертифікації. 

підтримка Windows 10 завершується 14 жовтня 2025 р. Докладні відомості див. в статті Windows 10 завершення підтримки 14 жовтня 2025 р. 

Щоб і надалі отримувати Оновлення безпеки після цієї дати, клієнти, що залишилися на Windows 10 можуть зареєструватися: 

• Програму розширеної безпеки Оновлення (ESU) Windows 10 див. в статті програма Windows 10 розширеного захисту Оновлення (ESU)

• Або якщо ви маєте підтримувану версію LTSC Windows 10, вона й надалі отримуватиме Оновлення безпеки до дати завершення терміну дії LTSC. Наприклад, див. статтю Програма розширеного Оновлення захисту (ESU) для Windows 10

Примітка

• Windows 10 Enterprise LTSC можна придбати окремо або в рамках передплати на Windows Enterprise E3.

• Windows IoT Enterprise LTSC можна придбати безпосередньо в виробника оригінального обладнання або за ліцензією постачальника як окремий обліковий номер.

Пристрій продовжуватиме завантажуватися та працюватиме нормально. Однак він більше не отримуватиме майбутні виправлення системи безпеки для оновлень диспетчера завантаження Windows або безпечного завантаження, що ставить під загрозу безпеку пристрою.

Сертифікати безпечного завантаження дають змогу переконатися, що критичні компоненти, як-от диспетчери завантаження, ПЗУ (драйвери мікропрограм) та інше програмне забезпечення на базі мікропрограм, надійні та не підроблені. Корпорація Майкрософт використовує ці сертифікати, щоб підписувати диспетчери завантаження та інші компоненти, яким слід довіряти, а також оновлення безпечного завантаження. Після завершення терміну дії старіших сертифікатів їх більше не можна використовувати для підписання нових компонентів або оновлень.

Пристрої з вимкнутим безпечним завантаженням не отримають нові сертифікати безпечного завантаження в мікропрограмі. Як наслідок, вони залишатимуться вразливими до зловмисних програм на рівні завантаження, наприклад буткітів, оскільки захист від безпечного завантаження не застосовується. 

Для відповідних пристроїв, наприклад тих, які отримують сукупні оновлення за допомогою довірчого розгортання або зареєстровані в керованому розгортанні функцій (CFR) з увімкненими діагностичними даними, корпорація Майкрософт намагатиметься оновити всі відповідні сертифікати. Однак ці оновлення надаються як допомога, а не гарантія. ІТ-адміністратори несуть відповідальність за забезпечення оновлення всього свого флоту за допомогою автоматизованого CFR корпорації Майкрософт та інших задокументованих методів розгортання.

Сертифікати було включено до сукупних оновлень (LCU) і пізніших версій від 13 травня 2025 року. Однак вони не застосовуються автоматично, додаткові дії обов'язкові. Докладні відомості про розгортання див. в статті https://aka.ms/getsecureboot.

Є два можливих шляхи: 

• Якщо комп'ютером керує корпорація Майкрософт зі спільними діагностичними даними та ця ОС підтримується, корпорація Майкрософт спробує оновити систему.

• Якщо ІТ-адміністратор керує пристроєм або керує ним, ІТ-відділ може застосовувати оновлення на перевіреному наборі комп'ютерів, які можуть безпечно приймати оновлення відповідно до інструкцій Корпорації Майкрософт у статті Завершення терміну дії сертифіката безпечного завантаження Windows і оновлення ca.

Очікується, що ці кроки будуть призначені для більшості клієнтів без необхідності оновлення мікропрограм від виробника оригінального обладнання. Однак у деяких випадках оновлення не застосовуються через відомі або невідомі проблеми в мікропрограмі пристрою. У таких випадках дотримуйтеся вказівок виробника оригінального обладнання щодо оновлень мікропрограм. 

Нотатка Вищезазначений процес застосовує активні змінні безпечного завантаження через ОС. Стандартні значення мікропрограми безпечного завантаження зберігаються в мікропрограмі, яка випускається виробником оригінального обладнання. Рекомендації полягає в тому, щоб не змінювати або оновлювати конфігурацію безпечного завантаження, якщо виробник оригінального обладнання не випустив оновлення, щоб змінити стандартні параметри мікропрограми на нові сертифікати.

 Якщо термін дії сертифікатів завершиться, захист від безпечного завантаження обмежено. Якщо система відповідає вимогам для новішої ОС, наприклад Windows 11, можна буде оновити операційну систему до новішої версії Windows 11.  

Якщо безпечне завантаження не ввімкнуто на пристроях Windows 10 LTSC, їх не включено до поточного розгортання для нових сертифікатів безпечного завантаження. Коли ви почнете оновлення до Windows 11 LTSC, вам потрібно буде виконати певні кроки перенесення, які потрібно виконати в цей час, щоб переконатися, що нові сертифікати 2023 включені.

Сертифікати отримуватимуть лише підтримувані версії ОС Windows. 

Для Windows, запущеної у віртуальному середовищі, є два способи додавання нових сертифікатів до змінних мікропрограм безпечного завантаження: 

• Автор віртуального середовища (AWS, Azure, Hyper-V, VMware тощо) може надати оновлення для середовища та включити нові сертифікати в віртуалізовану мікропрограму. Це дасть змогу використовувати нові віртуалізовані пристрої.

• Для Windows, яка працює в довгостроковій перспективі у ВМ, оновлення можна застосовувати через Windows, як і будь-які інші пристрої, якщо віртуалізована мікропрограма підтримує оновлення безпечного завантаження.

У цих середовищах, керованих клієнтами або ІТ-відділами, часто бракує достатніх діагностичних даних для корпорації Майкрософт, щоб впевнено та безпечно розгортати нові функції. Крім того, ІТ-відділи зазвичай віддають перевагу підтримці повного контролю за часом оновлення та вмістом, щоб забезпечити відповідність, стабільність і сумісність із внутрішніми інструментами та робочими циклами. Багато корпоративних пристроїв також працюють у чутливих або обмежених середовищах, де зовнішній доступ або керування, що маються на увазі CFR, можуть бути небажаними або забороненими.

Якщо Windows уже використовує диспетчер завантаження з підписом 2023, але мікропрограма скидається до стандартних параметрів, які не включають сертифікат Windows UEFI CA 2023, безпечне завантаження заблокує процес завантаження. 

Щоб виправити це, потрібно повторно застосувати сертифікат 2023 до бази даних мікропрограми за допомогою програми відновлення. Це робиться шляхом створення USB-носія для відновлення, а потім завантаження відповідного пристрою з цього USB для відновлення відсутнього сертифіката. 

Покрокові вказівки див. в офіційних інструкціях корпорації Майкрософт щодо оновлення інсталяції медіавмісту Windows.