Все, что вам нужно знать о сертификатах безопасной загрузки Windows
Срок действия сертификатов безопасной загрузки Windows истекает, и срок их действия истечет в июне 2026 года. Microsoft уже несколько месяцев готовит замену, которую она согласовала с производителями компьютеров, материнских плат и поставщиками прошивок, ответственными за унифицированный расширяемый интерфейс прошивки или UEFI.
На прошлой неделе Microsoft обновила приложение «Безопасность Windows», добавив в него индикатор состояния, который поможет проверить установку новых сертификатов и устранить возникающие проблемы. Хотя большинство новых компьютеров должны получать их без вмешательства пользователя на устройствах с включенными автоматическими обновлениями в Центре обновления Windows, есть и другие случаи, в которых ранее требовались обновления BIOS и другие предварительные условия, о которых следует знать. противодействовать критическим ошибкам, о которых также сообщалось.
Важность сертификатов безопасной загрузки Windows
Microsoft предложила эту систему безопасной загрузки Windows пятнадцать лет назад, когда материнские платы нового поколения дебютировали с прошивкой UEFI для замены старых BIOS. Вначале возникли серьезные разногласия по поводу того, что эта безопасная загрузка препятствовала установке систем, альтернативных Windows, таких как GNU/Linux. Microsoft обвинили в продвижении этой функции уже не из соображений безопасности, а по коммерческим соображениям. Однако позже он сотрудничал с Linux Foundation, чтобы выпустить официальную систему безопасной загрузки Microsoft для Linux, которая позволяла устанавливать любой дистрибутив.
Кроме того, производителям материнских плат было разрешено включить возможность его отключения. Однако их использование было практически обязательным в системах Windows и определенно обязательным для Windows 11 в рамках одного из спорных изменений в требованиях к оборудованию, внесенных последней системой Microsoft.
Помимо всего прочего, следует сказать, что безопасная загрузка — это ключевая функция безопасности, которая предотвращает запуск вредоносного программного обеспечения во время загрузки системы. Здесь следует помнить, что существуют вредоносные экземпляры, которые загружаются в память перед загрузкой системы и перед запуском установленного антивируса, поэтому последний не может его обнаружить или удалить и, следовательно, его опасность.
Для эффективной работы эта система безопасности должна обеспечивать загрузку только доверенных загрузчиков на компьютеры с прошивкой UEFI и, таким образом, запускать только надежное программное обеспечение с цифровой подписью. Это достигается путем сравнения цифровой подписи программного обеспечения с набором доверенных цифровых сертификатов, хранящихся в прошивке устройства.
Срок годности оригинальных сертификатов, представленных в 2011 году, истекает по пятнадцатилетнему графику и истекает в июне 2026 года. С этого момента и даже несмотря на загрузку компьютера, не обновленные системы останутся в пониженном режиме безопасности, что ограничивает их способность получать будущую защиту на уровне загрузки, или может быть просто программное или аппаратное обеспечение, которое не может быть запущено. Или даже компьютер не загружается по этой причине и вызывает сбои, подобные следующему, от которого уже пострадали некоторые компьютеры.
На кого влияет окончание действия сертификатов
Сертификаты безопасной загрузки Windows распространяются на все текущие активные версии, от Windows Server до клиентских версий для предприятий, потребителей и образовательных учреждений. Включены машины с Windows 11, а также машины, управляемые Windows 10, но в этом случае обновление можно будет выполнить только в системах, в которых активирована программа расширенной безопасности (ESU).
Microsoft начала выпуск новых сертификатов несколько месяцев назад и предупредила о ситуации, особенно с учетом компьютеров, управляемых организациями, которые потребуют дополнительных действий со стороны ИТ-администраторов. Некоторые специализированные системы, такие как серверы или устройства Интернета вещей, могут проходить различные процессы обновления и должны оцениваться как часть планирования развертывания.
В сценариях, когда устройства не могут быть надежно проверены с помощью этого подхода, организации должны планировать развертывание и мониторинг новых сертификатов с использованием руководства ИТ-администратора и существующих инструментов администрирования.
Новый индикатор состояния
С апреля этого года эта функция появится в приложении Windows Security, где компания добавит индикатор состояния безопасной загрузки в разделе Безопасность устройства > Безопасная загрузка. Приложение покажет, получало ли устройство эти обновления, каков его текущий статус и нужно ли выполнять какие-либо действия.
Для этого индикатор состояния отобразит один из трех цветовых значков. Зеленый цвет указывает на то, что ваш компьютер был обновлен. Желтый цвет означает, что у Microsoft есть рекомендация по безопасности, которая может указывать вам установить обновление прошивки для получения новых сертификатов.
Третий, красный значок, указывает на то, что данный компьютер не может получить новые сертификаты безопасной загрузки. Как описывает Microsoft, этот статус появляется только после обнаружения уязвимости системы безопасности, влияющей на процесс загрузки, которую невозможно исправить на устройствах, которые еще не получили обновленные сертификаты. Это может произойти уже в июне 2026 года, когда истечет срок действия некоторых из текущих сертификатов безопасной загрузки.
Что нам нужно сделать
Для большинства конечных компьютеров, потребительских и корпоративных компьютеров, которые позволяют Microsoft управлять обновлениями своего ПК, новые сертификаты будут автоматически устанавливаться в процессе ежемесячного обновления Windows без каких-либо дополнительных действий, необходимых для этого. На последних новых компьютерах, начиная с 2024 года, с предустановленной Windows 11, сертификаты, вероятно, уже были загружены.
В остальном; ситуационный контроль. Microsoft также отобразит в новом индикаторе состояния подробное сообщение с рекомендациями пользователям о том, что они могут сделать для устранения возникающих проблем, которые могут включать обновление операционной системы Windows, обращение к производителю устройств или обновление BIOS материнских плат.
Напомним, наконец, что новые сертификаты безопасной загрузки Windows можно будет установить только на компьютерах с Windows 11 (активные версии 25H2 и 24H2), а также Windows 10, если они активировали официальную расширенную программу безопасности или ESU.
* Включает образы, созданные искусственным интеллектом.
Редактор: AndreyEx
