Предстоящее обновление сертификатов безопасности Secure Boot: что нужно знать пользователям Windows
Компания Microsoft начинает масштабный процесс обновления сертификатов в системе Secure Boot. Эти изменения затронут как рядовых пользователей, так и IT-администраторов, работающих с клиентскими устройствами и серверными системами. Старые сертификаты, выпущенные 15 лет назад, постепенно теряют актуальность, а их срок действия начнет истекать в июне. Для поддержания высокого уровня защиты при загрузке операционной системы необходимо обеспечить установку новых цифровых подписей.
Содержание
Что такое Secure Boot и зачем это нужно
Secure Boot — это механизм безопасности, проверяющий цифровую подпись всех программных компонентов прошивки в момент запуска компьютера. Если подпись не соответствует доверенному источнику, система блокирует загрузку. Процесс происходит на аппаратном уровне еще до старта операционной системы. Эта технология является частью стандарта UEFI, пришедшего на смену устаревшему BIOS, и стала обязательным требованием для всех устройств с Windows 11.
Детали обновления сертификатов
В 2023 году Microsoft выпустила обновленные сертификаты, которые призваны заменить версии 2011 года. Большинство компьютеров, произведенных после 2025 года, уже содержат актуальные данные. Однако устройства, выпущенные в период с 2012 по 2024 год, все еще зависят от старых сертификатов, срок действия которых завершается в этом году:
- Microsoft Corp. KEK CA 2011 — отвечает за изменения в базе данных защищенной загрузки (срок истекает 27 июня).
- Microsoft UEFI CA 2011 — подтверждает подлинность сторонних драйверов при загрузке (срок истекает 27 июня).
- Microsoft Windows Production PCA 2011 — подписывает загрузчик самой Windows (срок истекает 19 октября).
Последствия отсутствия обновлений
Если устройство не получит новые сертификаты, операционная система продолжит функционировать, но компьютер перестанет получать критические обновления безопасности для процесса загрузки. Это приведет к невозможности обновления списков отзыва вредоносного ПО и базы данных Secure Boot, что делает систему уязвимой для угроз, действующих на уровне загрузчика. В долгосрочной перспективе могут возникнуть проблемы с совместимостью нового оборудования, прошивок и программного обеспечения.
Как происходит обновление
Для большинства домашних и офисных компьютеров, где управление обновлениями осуществляется автоматически через службы Microsoft, процесс пройдет без участия пользователя в рамках ежемесячных обновлений. В ряде случаев может потребоваться установка отдельного обновления прошивки (BIOS/UEFI) от производителя оборудования (HP, Dell, Lenovo и другие), чтобы система могла корректно записать новые сертификаты в хранилище материнской платы.
Корпоративные среды требуют внимания со стороны системных администраторов. Microsoft подготовила подробные руководства для ИТ-специалистов, включая инструкции по развертыванию, мониторингу состояния системы и устранению возможных неполадок.
Проверка готовности устройства
Владельцы компьютеров с поддерживаемыми версиями ОС могут проверить статус безопасности в разделе Безопасность Windows — Безопасность устройства — Безопасная загрузка. Там отображается информация о том, установлены ли необходимые обновления и требуется ли вмешательство пользователя.
Стоит учитывать, что начиная с апрельского обновления безопасности 2026 года, на некоторых устройствах может потребоваться дополнительная перезагрузка. Это штатное поведение системы, необходимое для применения нового диспетчера загрузки после внесения изменений в прошивку материнской платы.
* — деятельность компании запрещена на территории РФ
