Microsoft объявила о масштабном обновлении инфраструктуры доверия Secure Boot — системы, обеспечивающей безопасный запуск Windows.
Причина — истечение срока действия сертификатов, на которых построена цепочка доверия между UEFI, загрузчиком и системой.
Старые ключи перестанут работать в июне 2026 года, и без обновления устройства могут потерять возможность получать апдейты и проверять подлинность загрузочных компонентов.
Он работает на базе UEFI и использует криптографические сертификаты для проверки подлинности драйверов, загрузчиков и прошивок.
Система опирается на три базы:
Без их замены возможны:
Исключение — Copilot+ ПК, которые выйдут уже с новыми ключами.
Особое внимание следует уделить системам с отключённым Secure Boot и изолированным (air-gapped) контурам — для них обновление придётся выполнять вручную.
Если устройство управляется Microsoft и отправляет диагностические данные, Microsoft в большинстве случаев выполнит обновление автоматически.
Однако в некоторых сценариях обновление может не сработать — и ответственность ложится на администратора.
Сценарии, когда автоматическое обновление может не сработать:
Чтобы продолжать получать обновления безопасности, организации могут:
Если устройство соответствует требованиям для обновления, можно перейти на более новую версию Windows (например, Windows 11), где механизм Secure Boot будет работать с новыми сертификатами.
При обновлении до Windows 11 LTSC потребуется выполнить процедуры миграции, чтобы включить и интегрировать новые сертификаты 2023 года.
Решение: вручную восстановить сертификаты 2023 через режим восстановления, используя загрузочный USB с инструментом восстановления, который добавляет недостающие ключи в встроенное ПО.
Полезные ссылки
Источники:
Причина — истечение срока действия сертификатов, на которых построена цепочка доверия между UEFI, загрузчиком и системой.
Старые ключи перестанут работать в июне 2026 года, и без обновления устройства могут потерять возможность получать апдейты и проверять подлинность загрузочных компонентов.
Что такое Secure Boot
Secure Boot предотвращает запуск вредоносных компонентов на ранних этапах загрузки.Он работает на базе UEFI и использует криптографические сертификаты для проверки подлинности драйверов, загрузчиков и прошивок.
Система опирается на три базы:
- KEK — разрешает обновления сертификатов.
- DB (Allowed) — доверенные подписи.
- DBX (Forbidden) — заблокированные подписи.
Почему обновление важно
Старые сертификаты Secure Boot, выданные в 2011 году, утратят силу летом 2026-го.Без их замены возможны:
- сбои при установке обновлений безопасности,
- невозможность запуска компонентов, подписанных новыми ключами,
- риск уязвимостей уровня загрузчика (например, BlackLotus Bootkit).
Какие сертификаты меняются
| Старый сертификат | Новый сертификат | Назначение | Истекает |
|---|---|---|---|
| Microsoft KEK CA 2011 | Microsoft KEK 2K CA 2023 | Подпись обновлений DB/DBX | Июнь 2026 |
| Microsoft UEFI CA 2011 | Microsoft UEFI CA 2023 | Подпись драйверов и компонентов UEFI | Июнь 2026 |
| Windows Production PCA 2011 | Windows UEFI CA 2023 | Подпись загрузчика Windows | Октябрь 2026 |
Кого затронет обновление
Все устройства и серверы под Windows 10, 11, Server 2012–2025, включая виртуальные машины.Исключение — Copilot+ ПК, которые выйдут уже с новыми ключами.
Особое внимание следует уделить системам с отключённым Secure Boot и изолированным (air-gapped) контурам — для них обновление придётся выполнять вручную.
Что нужно сделать
- Убедиться, что устройство получает обновления напрямую от Microsoft (Windows Update, MDM, Intune, Configuration Manager).
- Обновить прошивку UEFI до последней версии.
- Не отключать Secure Boot — при его выключении новые ключи не применятся.
- Следить за публикацией новых пакетов обновлений сертификатов и загрузчика.
Что будет, если ничего не делать
После июня 2026 года устройства:- перестанут доверять новым загрузочным компонентам,
- не смогут устанавливать апдейты Secure Boot,
- а после октября 2026-го могут столкнуться с ошибками при старте Windows.
Часто задаваемые вопросы об обновлении Secure Boot
(Применимо к Windows 10, 11 и поддерживаемым редакциям серверных систем)В1. Когда нужно обновлять сертификаты Secure Boot?
Сертификаты следует обновлять задолго до июня 2026 года.Если устройство управляется Microsoft и отправляет диагностические данные, Microsoft в большинстве случаев выполнит обновление автоматически.
Однако в некоторых сценариях обновление может не сработать — и ответственность ложится на администратора.
Сценарии, когда автоматическое обновление может не сработать:
- версия Windows, не поддерживающая механизмы обновления Secure Boot;
- организация блокирует отправку диагностических данных (например, через брандмауэр);
- проблемы с прошивкой устройства (UEFI) или аппаратной платформой.
В2. Как именно обновляются сертификаты Secure Boot?
- На устройствах, управляемых Microsoft, обновления идут через компонент Центра обновления Windows.
- В организациях под контролем ИТ-отдела — администраторы внедряют обновления самостоятельно согласно официальным инструкциям.
В3. Что с Windows 10 после окончания её поддержки (ESU)?
Поддержка стандартной Windows 10 завершится 14 октября 2025 года.Чтобы продолжать получать обновления безопасности, организации могут:
- воспользоваться программой Windows 10 ESU (Extended Security Updates);
- если используется версия LTSC (Long-Term Servicing Channel) — она будет поддерживаться до установленной для неё даты окончания.
Дополнительные вопросы по управляемым и ИТ-системам
Вопрос 1. Что делать, если устройства под управлением ИТ не обновляют прошивку от производителя?
В таких случаях есть два пути:- Если устройство управляется Microsoft с включенными диагностическими данными — Microsoft попытается обновить сертификаты автоматически.
- Если устройство администрируется локально — ИТ-отдел может применить обновления вручную на тестовых устройствах.
Вопрос 2. Если сертификаты уже истекли, можно ли обновить Windows?
С истекшими сертификатами защита Secure Boot будет ослаблена.Если устройство соответствует требованиям для обновления, можно перейти на более новую версию Windows (например, Windows 11), где механизм Secure Boot будет работать с новыми сертификатами.
Вопрос 3. Что делать с системами LTSC, у которых Secure Boot был отключён?
Такие устройства не участвуют в текущем развертывании сертификатов.При обновлении до Windows 11 LTSC потребуется выполнить процедуры миграции, чтобы включить и интегрировать новые сертификаты 2023 года.
Вопрос 4. Получат ли обновлённые сертификаты версии Windows, которые уже не поддерживаются?
Нет — такие обновления будут доступны только для поддерживаемых версий ОС Windows.Вопрос 5. Что с виртуальными машинами: как они обновляют Secure Boot?
Есть два варианта:- Платформа виртуализации (например, AWS, Azure, Hyper-V, VMware) может выпустить обновлённое виртуальное встроенное ПО (UEFI) с новыми сертификатами.
- Если виртуальное ПО поддерживает обновление через ОС, сертификаты могут обновляться как на обычных системах.
Вопрос 6. Почему Microsoft не может обновить сертификаты через CFR (Component Framework Deployment) в корпоративном окружении?
- В таких окружениях часто отсутствуют диагностические данные, необходимые для безопасного развертывания обновлений.
- Администраторы обычно сохраняют контроль над обновлениями, чтобы обеспечить стабильность и совместимость с внутренними системами.
- В конфиденциальных или ограниченных средах внешнее управление может быть нежелательным или запрещённым.
Вопрос 7. Что делать, если система перестала загружаться после сброса встроенного ПО до заводских настроек?
Если система уже перешла на загрузчик, подписанный новым сертификатом (2023), а встроенное ПО вернулось к старым сертификатам по умолчанию, Secure Boot заблокирует загрузку.Решение: вручную восстановить сертификаты 2023 через режим восстановления, используя загрузочный USB с инструментом восстановления, который добавляет недостающие ключи в встроенное ПО.
Полезные ссылки
- Ручное обновление сертификатов Secure Boot в Windows
- Регистрация Windows 10 в ESU (Consumer ESU Enrollment)
Источники:
Последнее редактирование:
