Последние обновления Windows заменяют истекающие сертификаты Secure Boot
Корпорация Microsoft начала автоматически заменять истекающие сертификаты Secure Boot на поддерживаемых системах Windows 11, версия 24H2 и Windows 11, версия 25H2.
| ОС Windows | Сборка | Версия | Канал | Обновление | ISO-образы | Доступно |
|---|---|---|---|---|---|---|
| Windows 11 | 26200.7623 | 25H2 | Stable | KB5074109 | ISO (UUP) | 2026-01-13 |
| Windows 11 | 26100.7623 | 24H2 | Stable | KB5074109 | ISO (UUP) | 2026-01-13 |
Secure Boot или «Безопасная загрузка» — это функция безопасности, которая предотвращает запуск вредоносного ПО (например, руткитов) на этапе загрузки системы. Она гарантирует, что на устройствах с прошивкой UEFI при запуске системы используются и загружаются исключительно доверенные загрузчики. Для этого цифровая подпись ПО проверяется по набору доверенных цифровых сертификатов, хранящихся в прошивке устройства.
Текущее объявление последовало за предупреждениями, которое Microsoft направила ИТ-администраторам в сентябре и ноябре, призвав их заранее обновить сертификаты безопасности, используемые для проверки прошивки UEFI, до момента их истечения.
Microsoft сообщила:
Сертификаты Secure Boot, применяемые на большинстве устройств с Windows, начнут истекать с июня 2026 года. Если не обновить их вовремя, это может повлиять на возможность безопасной загрузки отдельных пользовательских и корпоративных устройств.
Начиная с данного обновления, ежемесячные качественные обновления Windows будут включать набор данных, позволяющий с высокой точностью определить устройства, которые подходят для автоматического получения новых сертификатов Secure Boot. Новые сертификаты будут устанавливаться только после того, как устройство продемонстрирует достаточное количество успешных сигналов обновления, что обеспечивает безопасное и поэтапное развертывание.
Системным администраторам, которые хотят сохранить работоспособность Secure Boot и обеспечить безопасность конечных устройств, рекомендуется установить новые сертификаты до того, как старые истекут этим летом.
Если этого не сделать, возможна потеря защиты Windows Boot Manager и Secure Boot, поскольку обновления безопасности для компонентов, работающих до загрузки ОС, больше не будут предоставляться устройствам с включенным Secure Boot.
Microsoft поясняет:
Без обновлений устройства Windows с включенным Secure Boot рискуют перестать получать обновления безопасности или доверять новым загрузчикам, что негативно скажется как на обслуживаемости системы, так и на ее уровне безопасности.
| Истекающий сертификат | Дата истечения | Новый сертификат | Место хранения | Назначение |
|---|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | Июнь 2026 | Microsoft Corporation KEK 2K CA 2023 | KEK | Подписывает обновления DB и DBX |
| Microsoft Windows Production PCA 2011 | Октябрь 2026 | Windows UEFI CA 2023 | DB | Используется для подписи загрузчика Windows |
| Microsoft UEFI CA 2011* | Июнь 2026 | Microsoft UEFI CA 2023 | DB | Подписывает сторонние загрузчики и EFI-приложения |
| Microsoft UEFI CA 2011* | Июнь 2026 | Microsoft Option ROM UEFI CA 2023 | DB | Подписывает сторонние Option ROM |
Термины
- KEK: ключ регистрации ключей (Key Enrollment Key)
- CA: центр сертификации (Certificate Authority)
- DB: база подписей Secure Boot (Secure Boot Signature Database)
- DBX: база отозванных подписей Secure Boot (Secure Boot Revoked Signature Database)
Хотя Microsoft будет автоматически обновлять подходящие устройства через Центр обновления Windows (Windows Update), организации также могут развернуть сертификаты Secure Boot вручную с использованием ключей реестра, системы конфигурации Windows (Windows Configuration System, WinCS) и параметров групповой политики.
Согласно руководству Microsoft по Secure Boot, администраторам рекомендуется сначала провести инвентаризацию парка устройств, проверить статус Secure Boot с помощью команд PowerShell или ключей реестра, а затем установить обновления прошивки от производителей оборудования, прежде чем переходить к установке обновленных сертификатов от Microsoft.
Последние статьи #Windows
• Последние обновления Windows заменяют истекающие сертификаты Secure Boot
• Как установить Windows 11 ARM на Mac с процессорами Apple
• Обновление KB5074107 (Build 28000.1450) для Windows 11, версия 26H1
• «Вторник Патчей», январь 2026: Microsoft исправила 114 проблем безопасности, включая три уязвимости «нулевого дня»
• Обновление KB5073455 (Build 22631.6491) для Windows 11, версия 23H2
• Обновление KB5073724 (Build 19045.6809) для Windows 10, версия 22H2 (ESU)