Безопасная загрузка Windows 2026: Microsoft выпускает последнее предупреждение об истекающих сертификатах

Компания Microsoft уже начала распространять замену цепочки сертификатов Secure Boot, которая понадобится Windows после того, как срок действия оригинальных сертификатов 2011 года истечет в июне 2026 года. Notebookcheck недавно рассказывал о предупреждении Microsoft и сигналы о раннем развертывании, появившиеся в последних накопительных обновлениях, но следующий этап в меньшей степени связан с Windows и в большей - с готовностью прошивки.

Если прошивка UEFI Вашего ПК не готова принять и сохранить новые сертификаты 2023 года, Windows Update может попытаться выполнить передачу, но при этом устройство окажется в состоянии, которое Microsoft называет ухудшенной безопасности, когда будущие обновления безопасности, связанные с загрузкой, могут быть применены не полностью.

Что же на самом деле истекает и когда?

Долгосрочная программа Microsoft Secure Boot начиная с 2011 года, истекает в конце июня 2026 года, а затем в 2026 году истекают дополнительные сроки действия. Информация, представленная компанией Dell является одним из наиболее четких публичных графиков, в котором первый сертификат 2011 года истекает 24 июня 2026 года (Microsoft Corporation KEK CA 2011), а затем 27 июня 2026 года (Microsoft Corporation UEFI CA 2011)), а срок действия еще одного сертификата ключа истекает 19 октября 2026 года (Microsoft Windows Production PCA 2011).

Практически, все производители сходятся в одном: системы должны продолжать загружаться, но устройства, которые не перейдут на цепочку сертификатов 2023 года, могут потерять возможность получать будущие обновления загрузчика и Secure Boot, откуда и происходит формулировка "ухудшение безопасности".

Со стороны Microsoft: Windows может предоставить новую цепочку доверия, но только если прошивка будет сотрудничать

Ключевой технический инструмент уже есть в поддерживаемых сборках Windows. В документе KB5036210 от Microsoft отмечается что обновления Windows, выпущенные 13 февраля 2024 года и позже, включают возможность применения сертификата Windows UEFI CA 2023 к базе данных разрешенных подписей (db) UEFI Secure Boot, и что обновление db необходимо для получения будущих обновлений загрузчика через ежемесячные обновления.

Microsoft также утверждает, что "большинство персональных устройств Windows" должны получать новые сертификаты автоматически через управляемые Microsoft обновления, но прямо предупреждает, что для корректного применения новых сертификатов на некоторых устройствах может потребоваться обновление встроенного ПО от производителя.

К чему приходят OEM-производители: Активные ключи против ключей по умолчанию, и почему сброс может Вас подкосить

Здесь политика производителя в отношении встроенного ПО имеет большее значение, чем это представляют себе большинство домашних пользователей. В FAQ по переходу на Secure Boot от Dell проводится различие между базой данных Active Secure Boot (то, что система действительно применяет при загрузке, и то, что обычно изменяет Windows Update) и базой данных Default Secure Boot (заводской набор, обычно обновляемый через перепрошивку BIOS). Dell также предупреждает, что некоторые действия с микропрограммой, например, включение "режима экспертных клавиш", могут стереть активные переменные, полученные от Windows Update, если база данных Default не была обновлена соответствующим образом.

В том же документе Dell также описывается "стратегия двойного сертификата", в которой говорится, что Dell начала поставлять сертификаты 2011 и 2023 годов на новые платформы в конце 2024 года и распространила этот подход на поддерживаемые платформы, поставляемые с заводов, к концу 2025 года.

В собственном руководстве Lenovo для коммерческих ПК исправление аналогичным образом описывается как обновление BIOS, которое добавляет сертификаты 2023 в переменные Secure Boot по умолчанию, при этом иногда требуются дополнительные действия для активации переменных 2023 в системах, которые еще не были предварительно настроены. В нем также отмечается, что восстановление BitLocker является потенциальным побочным эффектом, поэтому резервное копирование ключей восстановления перед изменением прошивки остается хорошей практикой.

В рекомендации HP также говорится, что компания работает с Microsoft над подготовкой продуктов HP с поддержкой Secure Boot https://support.hp.com/us-en/document/ish_13070353-13070429-16 к новым сертификатам и предупреждает, что истечение срока действия сертификата может помешать системам получать обновления безопасности, связанные с Secure Boot и Windows Boot Manager, что увеличит подверженность угрозам типа bootkit.

Проблема DIY и игровых материнских плат: иногда приходится "устанавливать ключи по умолчанию" самостоятельно

ASUS - один из немногих производителей, ориентированных на потребителей, который опубликовал подробное пошаговое руководство по этому переходу, в том числе о том, как подтвердить наличие новых записей 2023 в прошивке и что делать, если их нет.

В своем FAQ по поддержке https://www.asus.com/support/faq/1055903/aSUS описывает управление ключами UEFI Secure Boot и проверку того, что KEK включает "Microsoft Corporation KEK 2K CA 2023" и что db включает "Windows UEFI CA 2023" (наряду с другими записями Microsoft 2023 года). В нем также описаны такие шаги по исправлению ситуации, как "Установить ключи безопасной загрузки по умолчанию" или "Восстановить заводские ключи" после обновления BIOS, что фактически заново заполняет базы данных ключей из стандартного хранилища прошивки.

Именно этот пробел сильнее всего бьет по системам DIY: Windows может поставить обновления, но прошивка материнской платы может потребовать ручного вмешательства, прежде чем новые ключи станут полностью доступны и активны.

Как проверить готовность с помощью официальных сигналов Microsoft

Для IT-парков, управляемых ИТ-специалистами, в руководстве Microsoft Secure Boot описаны конкретные показатели, которые Вы можете отслеживать.

Microsoft утверждает, что успешное развертывание можно подтвердить, проверив записи системного журнала событий Windows на наличие Event ID 1808, а неудачи в применении обновленных сертификатов связаны с Event ID 1801. В этом же руководстве также упоминается ключ реестра UEFICA2023Status который в конечном итоге должен иметь значение "Обновлен", и отмечает, что ключ UEFICA2023Error не должен существовать, если не ожидается ошибка.

В руководстве также прямо рекомендуется применять обновления встроенного программного обеспечения OEM перед обновлениями Windows, связанными с Secure Boot, если в Вашей организации были выявлены проблемы или OEM-производитель рекомендует обновить BIOS, что еще раз подтверждает общую мысль: сторона Windows - это только половина истории.

Крайний случай "зомби" в Windows 10 все еще реален

Наконец, обновление сертификатов - это еще одна точка давления на приверженцев Windows 10. В собственной документации Microsoft по поддержке говорится, что поддержка Windows 10 заканчивается 14 октября 2025 года, и Microsoft позиционирует Windows 10 Extended Security Updates (ESU) как платный способ продолжения получения обновлений безопасности после этой даты.

Руководство Microsoft по Secure Boot также повторяет, что устройства на неподдерживаемых версиях Windows не получают обновлений Windows, поэтому Secure Boot фактически связана с переходом на поддерживаемый путь обслуживания (или ESU для Windows 10, где это применимо).