«Несколько раз перезагрузите систему». Microsoft внесет изменения в Windows на следующей неделе
NewsMakerMicrosoft назвала дедлайн для обновления сертификатов в Windows 11.
Microsoft предупредила владельцев Windows 11 : если до июня 2026 года компьютер не перейдет на новые сертификаты безопасной загрузки, система не перестанет включаться, но постепенно потеряет важную защиту от вредоносных программ, которые атакуют устройство еще до запуска Windows. Чтобы прояснить ситуацию, Microsoft недавно провела подробную сессию вопросов и ответов, которую осветило издание Windows Latest.
Проблема связана с Secure Boot, или безопасной загрузкой. Этот механизм проверяет, можно ли доверять программам, которые запускаются вместе с компьютером. Проверка идет еще до старта Windows, поэтому Secure Boot помогает блокировать загрузочные вредоносные программы вроде BlackLotus .
Старые сертификаты Secure Boot, которые использовались на компьютерах с Windows с 2011 года, истекают в июне 2026 года. Microsoft уже несколько лет переводит устройства на новые сертификаты 2023 года. Компания объяснила детали перехода во время сессии вопросов и ответов с инженерами Microsoft.
Главный вывод для обычных пользователей простой. Компьютер с Windows 11 не превратится в «кирпич», если владелец проигнорирует срок. Система продолжит запускаться и работать. Но безопасность загрузки ухудшится, потому что Microsoft перестанет отправлять для такого устройства критические обновления компонентов загрузки и новые списки отозванных подписей, которые нужны для блокировки опасных загрузчиков.
Проверить состояние Secure Boot можно в приложении «Безопасность Windows». Нужно открыть раздел «Безопасность устройства» и найти пункт «Безопасная загрузка». Зеленый значок означает, что все в порядке. Желтое или красное предупреждает и требует действий, которые Windows покажет рядом с сообщением.
Microsoft отдельно предупредила, что обновление сертификатов проходит осторожно, потому что затрагивает микропрограмму UEFI на материнской плате. На некоторых устройствах процедура может потребовать несколько перезагрузок. В компании пояснили, что такое поведение нормально: сначала Windows подготавливает сертификаты, затем микропрограмма применяет изменения, после чего система загружает новый загрузчик.
Пользователям не нужно вручную отключать BitLocker перед обновлением. По словам Microsoft, процесс учитывает, что диск зашифрован, и заново привязывает ключи, чтобы Windows Hello и другие защищенные функции продолжили работать после перезагрузок. Проблемы возможны в сложных корпоративных средах или при обновлениях микропрограммы, которые меняют ключи платформы.
На старых компьютерах с обычной BIOS обновление не запустится, потому что такие устройства не поддерживают Secure Boot физически. Если компьютер использует UEFI, но безопасная загрузка отключена в настройках, Microsoft тоже не станет применять новые сертификаты автоматически. Компания сделала такую защиту из-за различий между прошивками материнских плат: некоторые платы корректно обновляют сертификаты при отключенной функции, а другие могут сломать загрузку.
Для организаций Microsoft советует не включать обновление сразу на всем парке компьютеров. Лучше сначала проверить несколько моделей оборудования, потому что в мире слишком много вариантов материнских плат и прошивок. Администраторы могут отслеживать состояние сертификатов через журналы Windows, PowerShell-сценарии Microsoft и средства управления устройствами.
Отдельные сложности ждут компании, которые используют сетевую загрузку PXE. Microsoft пояснила, что такой сценарий не позволяет одновременно предлагать клиентскому устройству два загрузчика. Поэтому организациям придется планировать переход и обновлять загрузочные образы только после того, как нужные компьютеры уже получили сертификаты 2023 года.
Серверам тоже потребуется больше ручной работы. В отличие от обычных компьютеров с Windows 11, Windows Server не участвует в автоматическом поэтапном развертывании Secure Boot через стандартный механизм Microsoft. Администраторам серверов придется применять сертификаты вручную с помощью команд PowerShell.
Microsoft также предупредила, что будущие крупные обновления Windows со временем начнут требовать загрузочные компоненты, подписанные сертификатами 2023 года. Ближайшее обновление Windows 11 26H2 еще должно устанавливаться без такого требования, но позже установщик будет останавливать обновление, чтобы не оставить устройство в нерабочем состоянии.
Новые сертификаты рассчитаны больше чем на десятилетие: корневой сертификат для цепочки 2023 года действует до 2038 года. При этом Microsoft уже смотрит дальше, поскольку в 2030-х годах новое оборудование должно перейти на сертификаты с учетом постквантовой криптографии. Для нынешних пользователей главный совет проще: заранее проверить Secure Boot в Windows и не откладывать обновление до последнего момента.
Microsoft предупредила владельцев Windows 11 : если до июня 2026 года компьютер не перейдет на новые сертификаты безопасной загрузки, система не перестанет включаться, но постепенно потеряет важную защиту от вредоносных программ, которые атакуют устройство еще до запуска Windows. Чтобы прояснить ситуацию, Microsoft недавно провела подробную сессию вопросов и ответов, которую осветило издание Windows Latest.
Проблема связана с Secure Boot, или безопасной загрузкой. Этот механизм проверяет, можно ли доверять программам, которые запускаются вместе с компьютером. Проверка идет еще до старта Windows, поэтому Secure Boot помогает блокировать загрузочные вредоносные программы вроде BlackLotus .
Старые сертификаты Secure Boot, которые использовались на компьютерах с Windows с 2011 года, истекают в июне 2026 года. Microsoft уже несколько лет переводит устройства на новые сертификаты 2023 года. Компания объяснила детали перехода во время сессии вопросов и ответов с инженерами Microsoft.
Главный вывод для обычных пользователей простой. Компьютер с Windows 11 не превратится в «кирпич», если владелец проигнорирует срок. Система продолжит запускаться и работать. Но безопасность загрузки ухудшится, потому что Microsoft перестанет отправлять для такого устройства критические обновления компонентов загрузки и новые списки отозванных подписей, которые нужны для блокировки опасных загрузчиков.
Проверить состояние Secure Boot можно в приложении «Безопасность Windows». Нужно открыть раздел «Безопасность устройства» и найти пункт «Безопасная загрузка». Зеленый значок означает, что все в порядке. Желтое или красное предупреждает и требует действий, которые Windows покажет рядом с сообщением.
Microsoft отдельно предупредила, что обновление сертификатов проходит осторожно, потому что затрагивает микропрограмму UEFI на материнской плате. На некоторых устройствах процедура может потребовать несколько перезагрузок. В компании пояснили, что такое поведение нормально: сначала Windows подготавливает сертификаты, затем микропрограмма применяет изменения, после чего система загружает новый загрузчик.
Пользователям не нужно вручную отключать BitLocker перед обновлением. По словам Microsoft, процесс учитывает, что диск зашифрован, и заново привязывает ключи, чтобы Windows Hello и другие защищенные функции продолжили работать после перезагрузок. Проблемы возможны в сложных корпоративных средах или при обновлениях микропрограммы, которые меняют ключи платформы.
На старых компьютерах с обычной BIOS обновление не запустится, потому что такие устройства не поддерживают Secure Boot физически. Если компьютер использует UEFI, но безопасная загрузка отключена в настройках, Microsoft тоже не станет применять новые сертификаты автоматически. Компания сделала такую защиту из-за различий между прошивками материнских плат: некоторые платы корректно обновляют сертификаты при отключенной функции, а другие могут сломать загрузку.
Для организаций Microsoft советует не включать обновление сразу на всем парке компьютеров. Лучше сначала проверить несколько моделей оборудования, потому что в мире слишком много вариантов материнских плат и прошивок. Администраторы могут отслеживать состояние сертификатов через журналы Windows, PowerShell-сценарии Microsoft и средства управления устройствами.
Отдельные сложности ждут компании, которые используют сетевую загрузку PXE. Microsoft пояснила, что такой сценарий не позволяет одновременно предлагать клиентскому устройству два загрузчика. Поэтому организациям придется планировать переход и обновлять загрузочные образы только после того, как нужные компьютеры уже получили сертификаты 2023 года.
Серверам тоже потребуется больше ручной работы. В отличие от обычных компьютеров с Windows 11, Windows Server не участвует в автоматическом поэтапном развертывании Secure Boot через стандартный механизм Microsoft. Администраторам серверов придется применять сертификаты вручную с помощью команд PowerShell.
Microsoft также предупредила, что будущие крупные обновления Windows со временем начнут требовать загрузочные компоненты, подписанные сертификатами 2023 года. Ближайшее обновление Windows 11 26H2 еще должно устанавливаться без такого требования, но позже установщик будет останавливать обновление, чтобы не оставить устройство в нерабочем состоянии.
Новые сертификаты рассчитаны больше чем на десятилетие: корневой сертификат для цепочки 2023 года действует до 2038 года. При этом Microsoft уже смотрит дальше, поскольку в 2030-х годах новое оборудование должно перейти на сертификаты с учетом постквантовой криптографии. Для нынешних пользователей главный совет проще: заранее проверить Secure Boot в Windows и не откладывать обновление до последнего момента.