Запитання й відповіді про процес оновлення безпечного завантаження

Радимо оновити сертифікати безпечного завантаження до дати завершення терміну дії за червень 2026 року. 

Якщо ваш пристрій керує корпорація Майкрософт і обмінюється діагностичними даними з корпорацією Майкрософт, корпорація Майкрософт спробує автоматично оновити сертифікати безпечного завантаження в більшості випадків. Хоча корпорація Майкрософт зробить все можливе, щоб оновити безпечне завантаження, можуть виникати певні ситуації, коли оновлення не гарантовано застосовуватиметься та потребуватиме дій клієнта. Клієнт зрештою несе відповідальність за оновлення сертифікатів безпечного завантаження. 

У деяких прикладах ситуації, коли керовані пристроями з діагностичними даними, до яких надано спільний доступ, не оновлюються: 

• Оновлення захищеного завантаження Microsoft працюють лише в деяких версіях Windows, які підтримуються.

• Діагностичні дані, увімкнуті на вашому пристрої, може бути заблоковано брандмауером у вашій організації та не зв'язок із корпорацією Майкрософт.

• Можливо, сталася помилка мікропрограми на пристрої.

Нотатка Що означає "Керувати корпорацією Майкрософт"? Система надає спільний доступ до діагностичних даних і керується Microsoft Cloud або Intune. 

Якщо ваш пристрій не надає доступ до діагностичних даних корпорації Майкрософт і ним керує ІТ-відділ вашої організації або клієнт, ІТ-відділ може оновити системи, дотримуючись інструкцій корпорації Майкрософт у статті Завершення терміну дії сертифіката безпечного завантаження Windows і оновлення центру сертифікації.

Якщо комп'ютером керує корпорація Майкрософт, сертифікати безпечного завантаження оновлюються через Windows Update.  

Якщо комп'ютером керує ваша організація або бізнес-ІТ-адміністратор, ІТ-відділ може оновити систему за допомогою вказівок із завершення терміну дії сертифіката безпечного завантаження Windows і оновлень центру сертифікації. 

Комп'ютер усе одно запускає Windows у звичайному режимі, навіть якщо сертифікати безпечного завантаження не оновлюються.  
Зрештою комп'ютер припинить отримувати певні оновлення системи безпеки Windows від корпорації Майкрософт, зокрема диспетчер завантаження та оновлення системи безпеки компонента безпечного завантаження. Це поставить пристрій під загрозу BootKits, який може отримати повний контроль над комп'ютером.

підтримка Windows 10 завершується 14 жовтня 2025 р. Докладні відомості див. в статті Windows 10 завершення підтримки 14 жовтня 2025 р. 

Щоб і надалі отримувати Оновлення безпеки після цієї дати, клієнти, що залишилися на Windows 10 можуть зареєструватися: 

• Програму розширеної безпеки Оновлення (ESU) Windows 10 див. в статті програма Windows 10 розширеного захисту Оновлення (ESU)

• Або якщо ви маєте підтримувану версію LTSC Windows 10, вона й надалі отримуватиме Оновлення безпеки до дати завершення терміну дії LTSC. Наприклад, див. статтю Програма розширеного Оновлення захисту (ESU) для Windows 10

Примітка

• Windows 10 Enterprise LTSC можна придбати окремо або в рамках передплати на Windows Enterprise E3.

• Windows IoT Enterprise LTSC можна придбати безпосередньо в виробника оригінального обладнання або за ліцензією постачальника як окремий обліковий номер.

Є два можливих шляхи: 

• Якщо комп'ютером керує корпорація Майкрософт зі спільними діагностичними даними та ця ОС підтримується, корпорація Майкрософт спробує оновити систему.

• Якщо ІТ-адміністратор керує пристроєм або керує ним, ІТ-відділ може застосовувати оновлення на перевіреному наборі комп'ютерів, які можуть безпечно приймати оновлення відповідно до інструкцій Корпорації Майкрософт у статті Завершення терміну дії сертифіката безпечного завантаження Windows і оновлення ca.

Очікується, що ці кроки будуть призначені для більшості клієнтів без необхідності оновлення мікропрограм від виробника оригінального обладнання. Однак у деяких випадках оновлення не застосовуються через відомі або невідомі проблеми в мікропрограмі пристрою. У таких випадках дотримуйтеся вказівок виробника оригінального обладнання щодо оновлень мікропрограм. 

Нотатка Вищезазначений процес застосовує активні змінні безпечного завантаження через ОС. Стандартні значення мікропрограми безпечного завантаження зберігаються в мікропрограмі, яка випускається виробником оригінального обладнання. Рекомендації полягає в тому, щоб не змінювати або оновлювати конфігурацію безпечного завантаження, якщо виробник оригінального обладнання не випустив оновлення, щоб змінити стандартні параметри мікропрограми на нові сертифікати.

 Якщо термін дії сертифікатів завершиться, захист від безпечного завантаження обмежено. Якщо система відповідає вимогам для новішої ОС, наприклад Windows 11, можна буде оновити операційну систему до новішої версії Windows 11.  

Якщо безпечне завантаження не ввімкнуто на пристроях Windows 10 LTSC, їх не включено до поточного розгортання для нових сертифікатів безпечного завантаження. Коли ви почнете оновлення до Windows 11 LTSC, вам потрібно буде виконати певні кроки перенесення, які потрібно виконати в цей час, щоб переконатися, що нові сертифікати 2023 включені.

Сертифікати отримуватимуть лише підтримувані версії ОС Windows. 

Після завершення терміну дії сертифікатів пристрій продовжуватиме завантаження без змін, однак пристрій припинить отримувати оновлення системи безпеки для диспетчера завантаження та компонентів безпечного завантаження. Це поставить під загрозу "bootkit" шкідливе програмне забезпечення всього пристрою, яке може вплинути на всі аспекти безпеки на пристрої.

Для Windows, запущеної у віртуальному середовищі, є два способи додавання нових сертифікатів до змінних мікропрограм безпечного завантаження: 

• Автор віртуального середовища (AWS, Azure, Hyper-V, VMware тощо) може надати оновлення для навколишнього середовища та включити нові сертифікати в віртуалізовану мікропрограму. Це дасть змогу використовувати нові віртуалізовані пристрої.

• Для Windows, яка працює в довгостроковій перспективі у ВМ, оновлення можна застосовувати через Windows, як і будь-які інші пристрої, якщо віртуалізована мікропрограма підтримує оновлення безпечного завантаження.

У цих середовищах, керованих клієнтами або ІТ-відділами, часто бракує достатніх діагностичних даних для корпорації Майкрософт, щоб впевнено та безпечно розгортати нові функції. Крім того, ІТ-відділи зазвичай віддають перевагу підтримці повного контролю за часом оновлення та вмістом, щоб забезпечити відповідність, стабільність і сумісність із внутрішніми інструментами та робочими циклами. Багато корпоративних пристроїв також працюють у чутливих або обмежених середовищах, де зовнішній доступ або керування, що маються на увазі CFR, можуть бути небажаними або забороненими.

Якщо Windows уже використовує диспетчер завантаження з підписом 2023, але мікропрограма скидається до стандартних параметрів, які не включають сертифікат Windows UEFI CA 2023, безпечне завантаження заблокує процес завантаження. 

Щоб виправити це, потрібно повторно застосувати сертифікат 2023 до бази даних мікропрограми за допомогою програми відновлення. Це робиться шляхом створення USB-носія для відновлення, а потім завантаження відповідного пристрою з цього USB для відновлення відсутнього сертифіката. 

Покрокові вказівки див. в офіційних інструкціях корпорації Майкрософт щодо оновлення інсталяції медіавмісту Windows.