Microsoft объявила, что срок действия исходных сертификатов безопасной загрузки, выпущенных в 2011 году, истечет в июне 2026 года. Эта функция безопасности проверяет целостность программного обеспечения во время запуска компьютера и предотвращает запуск ненадежного кода. Устройства, которые не получат новые сертификаты 2023 до истечения крайнего срока, продолжат загружаться и работать нормально, но потеряют возможность получать будущие обновления для процесса начальной загрузки.
Secure Boot присутствует практически на всех компьютерах, выпущенных с 2011 года, с предустановленной Windows 10 или 11. Он действует как механизм доверия, основанный на цифровых сертификатах, хранящихся в прошивке UEFI. Срок действия в первую очередь затрагивает сертификаты Microsoft Corporation KEK CA 2011 и Microsoft UEFI CA 2011 в июне, а Microsoft Windows Production PCA 2011 — в октябре 2026 года.
Что происходит после истечения срока действия старых сертификатов
Затронутые компьютеры поддерживают базовую функциональность без немедленных перебоев. Стандартные обновления Windows продолжают устанавливаться нормально. Однако специальные средства защиты от угроз на начальном этапе загрузки больше не обновляются.
Сюда входят исправления уязвимостей в цепочке загрузки и обновления списков разрешенных и отозванных сигнатур. Microsoft описывает этот процесс как одну из крупнейших скоординированных операций по обеспечению безопасности в экосистеме Windows.
Обновления уже разрабатываются Microsoft и производителями.
Компания начала внедрять новые сертификаты 2023 года посредством ежемесячных обновлений Windows. Поддерживаемые устройства Windows во многих случаях получают эти изменения автоматически. Производители оборудования (OEM) выпускают дополнительные обновления прошивки для обеспечения полной совместимости.
Компьютеры, выпущенные после 2024 года, как правило, уже включают обновленные сертификаты в прошивку. Для более старых моделей сочетание обновлений Windows и производителя позволяет решить проблему в большинстве ситуаций.
Как проверить и применить необходимые обновления
Пользователи могут проверять состояние сертификатов с помощью команд PowerShell или проверок редактора реестра. Microsoft предоставила подробные руководства по мониторингу и развертыванию в домашних и корпоративных средах.
В бизнес-сценариях ИТ-администраторы управляют процессом с помощью собственных инструментов. Рекомендуется устанавливать обновления как можно скорее, чтобы избежать ухудшения состояния безопасности после июня 2026 года.
Влияние на функции, зависящие от безопасной загрузки
Такие функции, как улучшения BitLocker и целостность кода при загрузке, зависят от целостности цепочки доверия. Сторонние загрузчики и дополнительные компоненты также могут быть затронуты, если им требуются доверенные обновления.
Отключение безопасной загрузки является возможной альтернативой, но требует ключа восстановления для дисков, зашифрованных BitLocker. Microsoft подчеркивает, что поддержание активности этой функции необходимо для защиты от руткитов и вредоносных программ при загрузке.
Рекомендуемая подготовка для пользователей и компаний
Регулярно устанавливайте все ожидающие обновления Windows. Проверьте, предлагает ли производитель вашего ПК последние обновления прошивки. Следите за официальными сообщениями Microsoft по этой теме, чтобы получить конкретные рекомендации.
Переход представляет собой запланированное обновление корней доверия после более чем 15 лет. Новые сертификаты продлили срок действия до 2038 года и усилили общую безопасность системы.
