Время для одной из ключевых архитектур безопасности современных ПК постепенно истекает. В июне 2026 года оригинальные сертификаты Secure Boot, использовавшиеся в экосистеме Windows с 2011 года, официально прекратят своё действие. Чтобы миллионы компьютеров внезапно не оказались уязвимыми или вовсе не перестали загружаться, Microsoft сейчас проводит масштабный переход на новые сертификаты Secure Boot образца 2023 года.
Поскольку этот процесс напрямую затрагивает UEFI-прошивку материнской платы, он считается крайне чувствительным и требует осторожного подхода. Чтобы прояснить ситуацию и ответить на вопросы пользователей, Microsoft провела подробную AMA-сессию («Ask Microsoft Anything») в марте 2026 года. В обсуждении приняли участие ведущий инженер по безопасности Арден Уайт (Arden White), главный архитектор программного обеспечения Скотт Шелл (Scott Shell) и руководитель инженерной группы Ричард Пауэлл (Richard Powell).
В AMA-сессии Microsoft подробно объяснила, как работает обновление Secure Boot, что произойдёт в случае игнорирования дедлайна 2026 года и как компаниям следует обрабатывать нестандартные сценарии. В рамках обсуждения были разобраны практически все ключевые вопросы, связанные с переходом на новые сертификаты Secure Boot.
Краткая сводка
- Если проигнорировать крайний срок обновления сертификатов Secure Boot в июне 2026 года, компьютеры под управлением Windows 11 продолжат нормально загружаться и работать.
- При этом уровень безопасности системы со временем снизится, поскольку Microsoft прекратит поставку критически важных обновлений загрузочной цепочки и списков отзыва вредоносных загрузчиков DBX.
- Проверить состояние Secure Boot можно через приложение «Безопасность Windows».
Что такое Secure Boot и почему Microsoft меняет сертификаты?
Secure Boot – это стандарт безопасности, разработанный участниками индустрии ПК, который гарантирует, что устройство загружается только с использованием ПО, доверенного производителем оборудования (OEM).
При запуске компьютера прошивка проверяет криптографическую подпись каждого компонента загрузочной цепочки, включая драйверы UEFI-прошивки (Option ROM), EFI-приложения и Диспетчер загрузки ОС. Работа системы основана на иерархии ключей:
- PK (Platform Key) – ключ платформы, принадлежащий OEM-производителю. Он управляет доступом к KEK.
- KEK (Key Exchange Key) – ключ обмена ключами, используемый для обновления баз данных подписей.
- DB (Signature Database) – база доверенных подписей, содержащая сертификаты, которым разрешено загружать Windows Boot Manager, включая сертификаты Microsoft образца 2011 и новые сертификаты 2023 года.
- DBX (Revoked Signature Database) – база отозванных подписей, фактически чёрный список скомпрометированных сертификатов. Например, если обнаруживается вредоносное ПО вроде загрузочного буткита BlackLotus, его подпись добавляется именно туда.
Оригинальные сертификаты Secure Boot образца 2011 года приближаются к окончанию срока действия своих криптографических подписей в 2026 году. Microsoft необходимо внедрить в прошивку новые сертификаты 2023 года, заменить Windows Boot Manager на версию, подписанную новыми ключами, а затем постепенно отказаться от доверия к старым сертификатам.
В рамках этого перехода Microsoft уже подтвердила, что новая папка Secure Boot в Windows 11 не является ошибкой, и удалять её не нужно. Эта папка используется системой для хранения криптографических файлов перед их записью в прошивку материнской платы.
C:\Windows\SecureBoot\ExampleRolloutScripts
Старое оборудование и отключённый Secure Boot могут заблокировать обновление
Одним из первых вопросов во время AMA-сессии стала поддержка старого оборудования. Microsoft объяснила, что произойдёт, если попытаться принудительно установить обновление через реестр на устройстве, которое всё ещё использует Legacy BIOS. Главный вопрос заключался в том, сможет ли механизм обновления автоматически распознать такие системы и пропустить их.
По словам Скотта Шелла, процесс обновления действительно способен корректно определять подобные конфигурации. Если компьютер использует классический Legacy BIOS, то он физически не поддерживает Secure Boot. В таком случае система получает значения SecureBootCapable = False и SecureBootEnabled = False, из-за чего Windows полностью пропускает попытку обновления. Если устройство использует Compatibility Support Module (CSM) для эмуляции Legacy BIOS, но при этом поддерживает UEFI и Secure Boot, обновление продолжит устанавливаться в обычном режиме без ошибок.
Ещё один распространённый сценарий связан с попыткой обновить сертификаты Secure Boot, когда сама функция отключена в BIOS.
Microsoft намеренно прерывает процесс обновления, если Secure Boot выключен, из-за крайне неоднородной экосистемы UEFI-прошивок. Некоторые материнские платы способны обновлять сертификаты даже при отключённом Secure Boot, тогда как другие могут повредить загрузочную цепочку или неожиданно изменить сертификаты после повторного включения функции. Чтобы избежать вывода системы из строя, Microsoft требует, чтобы Secure Boot был активен во время обновления. Если устройство отказывается загружать Windows при включённом Secure Boot, пользователю придётся сначала устранить проблемы с настройками BIOS. Чаще всего это связано с несовместимостью схем разметки диска MBR и GPT. Только после этого система сможет получить сертификаты Secure Boot образца 2023 года.
Процесс обновления учитывает BitLocker, но требует нескольких перезагрузок
Обновление прошивки считается рискованной операцией, поэтому Microsoft внедряет новый механизм поэтапно через Controlled Feature Rollouts (CFR) и накопительные обновления Latest Cumulative Updates (LCU).
Пользователи уже заметили, что установка обновления сопровождается необычным поведением системы при перезагрузке. Один из участников AMA рассказал, что после принудительного запуска запланированной задачи сервер самостоятельно перезагрузился несколько раз подряд, прежде чем процесс завершился. Пользователь спросил Microsoft, означает ли это, что при каждом обновлении потребуется серия последовательных перезагрузок сервера.
Ричард Пауэлл подтвердил, что после установки обновлений Windows 11 действительно может перезагружаться несколько раз подряд, и это не является признаком неисправности ПК. Такое поведение связано с переходом на Secure Boot 2023. Запись новых данных в прошивку требует нескольких этапов: одна перезагрузка необходима для подготовки сертификатов, вторая – для их применения на уровне прошивки, а следующая – для загрузки нового загрузчика, подписанного уже новыми ключами. В автоматическом режиме Windows старается скрыть эту последовательность на ранних этапах загрузки, однако при ручном запуске процесса многочисленные перезагрузки становятся хорошо заметны.
Это также вызвало вопросы о шифровании и необходимости временно отключать BitLocker во время обновления.
Microsoft заявила, что приостанавливать BitLocker не требуется. Скотт Шелл пояснил, что процесс обновления полностью учитывает работу BitLocker. Во время процедуры система автоматически повторно привязывает ключи BitLocker и Virtual Secure Mode (VSM), благодаря чему такие функции, как Windows Hello, продолжают работать корректно после перезагрузок без риска блокировки пользователя.
При этом некоторые пользователи сообщили, что после установки отдельных драйверов система запрашивала ключ восстановления BitLocker при следующем запуске, и они поинтересовались, считается ли такое поведение нормальным.
Обычные обновления драйверов не затрагивают цепочку Secure Boot. Однако обновления прошивки, распространяемые через Центр обновления Windows и изменяющие Platform Key (PK) или Key Exchange Key (KEK), могут повлиять на параметры защиты BitLocker. В нормальных условиях система не должна запрашивать ключ восстановления BitLocker, однако в сложных корпоративных средах подобные изменения иногда могут срабатывать как потенциальная угроза безопасности и вызывать запрос ключа восстановления.
Из-за особенностей работы прошивки у администраторов может возникнуть вопрос, насколько безопасно массово применять политику «Enable Secure Boot Certificate Updates» сразу ко всем устройствам.
Microsoft настоятельно не рекомендует делать это без предварительного тестирования. Компания признала, что обновления Secure Boot 2023 в Windows 11 вызывают сбои на некоторых компьютерах, что также указывает на более широкие проблемы совместимости прошивок. Поскольку Microsoft физически не может протестировать миллионы различных вариантов материнских плат и UEFI-прошивок, массовое развёртывание обновления без проверки может привести к нарушениям работы устройств и простою сотрудников. Компания рекомендует ИТ-администраторам сначала протестировать обновление на ограниченном наборе конкретных моделей оборудования, используемых в инфраструктуре компании, и только после этого включать политику принудительно для всех систем.
Ограничения корпоративного развёртывания требуют тщательного планирования PXE и Boot Manager
Для корпоративных инфраструктур, где тысячи устройств управляются через Microsoft Endpoint Configuration Manager (SCCM), критически важную роль играют сценарии сетевой загрузки через Preboot Execution Environment (PXE).
Один из системных администраторов сообщил, что PXE-загрузка перестала работать после отзыва сертификата Secure Boot 2011 года, поскольку файл boot.wim не содержал новый сертификат 2023 года. В связи с этим был задан вопрос: получит ли boot.wim сертификат 2023 года автоматически, и могут ли сертификаты 2011 и 2023 годов одновременно существовать внутри одного boot.wim.
Скотт Шелл объяснил, что проблема связана с фундаментальным ограничением самого протокола PXE – он способен предоставлять клиентскому устройству только один Boot Manager. По этой причине использование нескольких Boot Manager в одном boot.wim одновременно не сработает. Microsoft пока не обновляет стандартный boot.wim до сертификатов 2023 года, поскольку преждевременный переход может нарушить сетевую загрузку огромного количества ПК, прошивка которых ещё не получила новые сертификаты. Однако после того как весь парк устройств компании будет полностью переведён на сертификаты 2023 года, администраторы смогут вручную смонтировать boot.wim с помощью инструментов DISM и заменить Boot Manager раньше официального графика Microsoft.
Ещё один технически сложный вопрос касался отката прошивки. У Microsoft спросили, можно ли считать, что обновление firmware SVN (Security Version Number) фактически сводится к добавлению новых SVN в базу DBX, и достаточно ли очистки DBX для отключения механизма защиты от отката в тестовых сценариях.
Компания подтвердила, что это действительно так. Механизм SVN предназначен для предотвращения отката системы к более старым и уязвимым версиям Boot Manager – именно подобные методы используются в атаках вроде BlackLotus. Новые версии Boot Manager, подписанные сертификатами Secure Boot 2023 года, самостоятельно проверяют наличие отзыва через механизм SVN. Для полноценной защиты системы сертификат образца 2011 года должен быть удалён или отозван через базу DBX. В тестовых сценариях очистка DBX действительно снимает защиту от отката, что снова позволяет запускать старые версии Boot Manager.
Кроме того, Microsoft прокомментировала вопрос пользовательских модификаций Secure Boot. Шелл подтвердил, что компания смягчила строгую проверку фирменного «Owner GUID» Microsoft в цифровых подписях. Это изменение было необходимо, чтобы избежать проблем с BitLocker на сильно модифицированных корпоративных системах.
Как проверить актуальность сертификатов Secure Boot
Контроль того, какие устройства уже получили обновление, а какие – нет, стал одной из самых сложных задач в процессе перехода на Secure Boot 2023. В апрельском обновлении Windows 11 Microsoft добавила возможность проверять состояние новых сертификатов прямо в интерфейсе системы.
Для этого необходимо открыть Безопасность Windows > Безопасность устройства и прокрутить страницу до раздела «Secure Boot». Если рядом отображается зелёная отметка, это означает, что система полностью готова к переходу. В таком состоянии Windows показывает, что Secure Boot включён, а все необходимые сертификаты уже установлены. Это означает, что устройство соответствует требованиям и готово к окончанию срока действия старых сертификатов в июне 2026 года.
Если приложение «Безопасность Windows» показывает «жёлтое» или «красное» предупреждение, пользователю следует внимательно выполнить инструкции, отображаемые в интерфейсе приложения.
Корпоративным клиентам необходима централизованная информация по всему парку устройств. В инфраструктурах, где компании не используют Intune или AutoPatch, ИТ-специалистам требуются альтернативные инструменты для инвентаризации систем и формирования отчётов о соответствии требованиям. Для этого Microsoft предоставляет специальные PowerShell-скрипты через портал aka.ms/GetSecureBoot, предназначенный для ИТ-администраторов.
Кроме того, Windows записывает подробную информацию о процессе обновления в приложение «Просмотр событий» через источник событий TPM WMI. Эти данные можно собирать с помощью стандартных систем мониторинга и использовать для создания собственных аналитических панелей, например в Power BI.
Один из администраторов, использовавших Intune, сообщил о непонятной ошибке. После развёртывания remediation-пакета через Intune в системе появился Event ID 1801, указывающий, что сертификаты доступны, но ещё не применены, а параметр BucketConfidenceLevel отображал значение «Need more data». Пользователь спросил, требуется ли в такой ситуации дополнительное вмешательство администратора.
Такое состояние означает, что система уже загрузила сертификаты, однако телеметрический «bucket» для конкретной модели оборудования ещё не достиг необходимого уровня доверия, при котором запускается автоматическая установка. Microsoft пояснила, что если подобная ситуация наблюдается на значительной части корпоративного парка устройств, администраторам следует вручную протестировать обновление хотя бы на одном из ПК. Если ручная установка проходит успешно, можно принудительно обойти механизм confidence bucket и развернуть обновление через параметры реестра. Кроме того, Event ID 1801 иногда может означать, что система просто ожидает перезагрузки для повторной привязки ключей BitLocker.
Пользователи также поинтересовались стратегией развёртывания Microsoft и сроками установки новых сертификатов. В частности, был задан вопрос, сколько времени может потребоваться для обновления сертификатов в случае, если оставить процесс на усмотрение Latest Cumulative Update (LCU) с автоматическим определением высокого уровня доверия, по сравнению с принудительным включением параметров Controlled Feature Rollout (CFR).
Microsoft использует механизм CFR для постепенного тестирования оборудования. После того как конкретная модель материнской платы подтверждает стабильную работу без сбоев, она попадает в категорию устройств с «высоким уровнем доверия» и получает широкое распространение обновления через LCU. Если полагаться исключительно на Latest Cumulative Update (LCU), процесс обновления сертификатов будет происходить медленнее, однако Microsoft отмечает, что скорость постепенно увеличивается по мере накопления телеметрических данных.
В примечаниях к обновлениям Windows также упоминается использование дополнительных данных для определения устройств с высоким уровнем доверия. Этот механизм полностью зависит от глобальной диагностической телеметрии Windows. При этом Microsoft уточняет, что отправка телеметрии не является обязательным условием для получения обновления – система может использовать данные, собранные с других устройств с аналогичным оборудованием. Если речь идёт о редкой или сильно модифицированной конфигурации ПК, включение диагностических данных становится единственным способом сообщить Microsoft, что обновление успешно установилось и не вызвало проблем. После этого такое устройство может быть помечено как безопасное для дальнейшего массового развёртывания.
Windows Server и Hyper-V требуют отдельных действий вручную
В отличие от клиентских ПК, которые постоянно подключены к интернету и отправляют большой объём телеметрии, серверные системы обычно работают в изолированных средах.
Дополнительные сложности возникают и в виртуализированных инфраструктурах. Некоторые администраторы заметили, что устройства под управлением Hyper-V с установленными обновлениями за март 2026 года показывают разные статусы Secure Boot. Например, часть виртуальных машин на Windows Server 2019 отображала значение capable=0, тогда как другие системы с тем же уровнем обновлений показывали capable=2.
Арден Уайт объяснил, что проблема связана с устаревшим ключом реестра. Microsoft ранее обнаружила ошибку Hyper-V, затрагивающую обновление Key Exchange Key (KEK) на виртуальных машинах, работающих без перезапуска длительное время. Для устранения проблемы компания выпустила двухэтапное исправление. Во-первых, мартовские обновления необходимо установить на сервер Hyper-V Host, чтобы включить поддержку обновления KEK. Во-вторых, обновления должны быть установлены и внутри гостевой виртуальной машины, чтобы система получила KEK, подписанный Hyper-V PK, необходимый для применения обновления. Если обновить только одну сторону виртуализированной среды – либо хост, либо гостевую систему – процесс обновления Secure Boot может зависнуть и не завершиться.
Для более новых серверных ОС ситуация также требует отдельного внимания. Windows Server 2025 не получает автоматическое соответствие требованиям Secure Boot 2023 ни при чистой установке, ни после обновления с Server 2022. Windows Server 2025 использует ту же базу соответствия, что и Windows Server 2022. При этом серверные версии Windows не участвуют в автоматизированной программе Controlled Feature Rollout (CFR), которая применяется для потребительских ПК на Windows 11. Поскольку серверные системы считаются критически важной инфраструктурой, Microsoft требует от администраторов выполнять обновление сертификатов вручную с использованием специальных команд PowerShell.
Игнорирование обновления приведёт к постоянному снижению уровня безопасности после июня 2026 года
Из-за сложности процесса многие пользователи задаются вопросом, продолжат ли их устройства нормально загружаться, если полностью проигнорировать обновление и ничего не делать.
Microsoft заявляет, что ПК не превратится в «кирпич» и не перестанет работать. Однако система перейдёт в состояние постоянного снижения уровня безопасности. Если на устройстве отсутствует сертификат DB образца 2023 года, ПК физически не сможет запускать новые версии Windows Boot Manager. В результате Microsoft прекратит поставку обновлений безопасности для критически важных компонентов загрузочной цепочки. Кроме того, система больше не сможет получать новые списки отзыва DBX, из-за чего устройство останется постоянно уязвимым перед будущими вариантами загрузочных буткитов и другого вредоносного ПО, атакующего процесс загрузки Windows.
Отсутствие обновлений затронет и будущие функциональные обновления Windows. Microsoft подтвердила, что со временем для установки новых версий ОС потребуется, чтобы EFI-раздел был подписан сертификатом Secure Boot образца 2023 года. При этом предстоящее обновление Windows 11 26H2 всё ещё будет устанавливаться в обычном режиме. Однако в дальнейшем, если устройство не получит новые сертификаты, установщик Windows будет намеренно прерывать процесс обновления, чтобы не допустить перевода системы в неработоспособное состояние.
Именно поэтому Windows 11 теперь отображает предупреждения о состоянии сертификатов Secure Boot – система заранее уведомляет пользователей о потенциальных проблемах, которые в будущем могут заблокировать установку новых версий Windows.
Microsoft подчеркнула, что крайне важно, чтобы система начала загружаться с доверием к сертификатам Secure Boot 2023 года ещё до наступления дедлайна. Компания объяснила, что именно поэтому Windows 11 постепенно получает обновление Secure Boot Allowed Key Exchange Key (KEK) на всё большем количестве устройств. После истечения срока действия сертификатов 2011 года Microsoft больше не сможет криптографически подписывать новые обновления с использованием старого KEK. Если к этому моменту система не перейдёт на цепочку загрузки с сертификатами 2023 года, устройство навсегда потеряет возможность получать обновления безопасности для загрузочной цепочки.
В завершение обсуждения один из пользователей спросил Microsoft, насколько долго будут действовать сертификаты Secure Boot 2023 года и придётся ли в будущем повторять весь этот процесс заново.
Корневой сертификат, выпускающий новые ключи Secure Boot 2023 года, действует до 2038 года, что обеспечивает им чуть более десяти лет жизненного цикла. Однако Скотт Шелл отметил, что индустрию уже ожидает следующий крупный переход – внедрение постквантовой криптографии, которое должно начаться к 2030 году.
Существующее оборудование, получающее сертификаты 2023 года сегодня, сможет использовать их до конца своего срока службы. Однако новое оборудование, выпускаемое в 2030-х годах, будет поставляться уже с совершенно новыми сертификатами, основанными на постквантовой криптографии. По мере приближения июня 2026 года Microsoft рекомендует проверить, применены ли на устройствах новые сертификаты Secure Boot 2023, чтобы инфраструктура и данные оставались защищёнными от угроз следующего поколения.