Microsoft выпустила предупреждение о безопасной загрузке в 2026 году — что это значит для безопасности Windows.

Срок действия базовых сертификатов безопасности, лежащих в основе функции Windows Secure Boot, впервые представленной более десяти лет назад, истекает в середине 2026 года, что побудило Microsoft и крупных производителей ПК ускорить процесс обновления в глобальной экосистеме Windows.

Сертификаты, первоначально созданные во время разработки Windows 8 в 2011 году, истекут в июне и октябре 2026 года. Хотя истечение срока действия не означает, что миллионы ПК внезапно перестанут работать, устройства, которые не получат обновленные сертификаты, могут постепенно столкнуться с растущими ограничениями безопасности и проблемами совместимости с более новыми операционными системами, микропрограммами и оборудованием.

Представители Microsoft описывают этот переход как «обновление» инфраструктуры доверия, обеспечивающей безопасность процесса загрузки Windows. Аналитики отрасли говорят, что это одно из самых значительных внутренних изменений в безопасности Windows с тех пор, как функция Secure Boot стала обязательной в Windows 11 в 2021 году.

Функция безопасности, появившаяся в эпоху Windows 8.

Функция Secure Boot была представлена ​​вместе с Windows 8 в рамках перехода Microsoft на UEFI (Unified Extensible Firmware Interface), заменив устаревшую систему BIOS, использовавшуюся в ПК на протяжении десятилетий. Эта функция была разработана для предотвращения руткитов и вредоносных программ на уровне загрузки, гарантируя, что систему могут запускать только доверенные загрузчики с цифровой подписью.

В то время функция Secure Boot была необязательной. С выходом Windows 10 её использование расширилось, но только в Windows 11 Secure Boot стала официальным системным требованием.

Сертификаты, созданные в 2011 году и используемые для проверки загрузчиков с помощью так называемой цепочки доверия «Windows UEFI CA 2011», оставались неизменными более десяти лет. Теперь Microsoft переходит на обновленные сертификаты 2023 года, отражающие современные криптографические стандарты и развивающиеся модели угроз.

По словам Нуно Косты, руководителя программ в подразделении Microsoft Windows Servicing and Delivery, системы, которые не обновятся до истечения срока действия обновления, «продолжат нормально функционировать», но перейдут в то, что Microsoft называет «состоянием сниженной безопасности».

Что произойдет, если не обновить?

Риск возникает постепенно, а не мгновенно.

Если компьютер не получит новые сертификаты до истечения срока их действия:

• Она по-прежнему будет загружаться и запускать существующее программное обеспечение.
• Возможно, система не сможет установить новые средства защиты на уровне загрузки.
• В конечном итоге это может привести к сбою при установке или загрузке более новых операционных систем.
• В будущем программное обеспечение, оборудование или инструменты, зависящие от Secure Boot, могут перестать загружаться.

Исследователи в области безопасности отмечают, что наибольшую обеспокоенность вызывает возможность обновления программного обеспечения. Технология Secure Boot использует списки отзыва сертификатов для блокировки скомпрометированных загрузчиков. Если устройство больше не может принимать обновления этих списков отзыва, вновь обнаруженные уязвимости могут остаться неустраненными на уровне прошивки.

«Речь идёт не о том, чтобы машины вышли из строя за одну ночь, — сказал один ИТ-консультант, знакомый с процессом внедрения. — Речь идёт о долгосрочной ремонтопригодности и доверии. Если ваш якорь доверия к прошивке истекает и не обновляется, вы, по сути, замираете во времени».

Почему перемены происходят именно сейчас?

Срок действия сертификатов определяется при их создании. Сертификаты 2011 года были выданы со сроком действия около 15 лет — это была стандартная практика на тот момент.

Microsoft годами готовила OEM-партнеров к этому. Крупные производители, включая Dell, HP, Lenovo, ASUS и саму Microsoft, опубликовали рекомендации или обновления прошивки для поддерживаемых систем.

В устройствах, выпущенных с 2024 года, и почти во всех системах, поставленных в 2025 году, уже встроены новые сертификаты Secure Boot 2023 года.

Основная проблема заключается в более старых системах, особенно в тех, которые изначально поставлялись с Windows 8 или Windows 10.

Как будет обновляться большинство персональных компьютеров

Для подавляющего большинства пользователей, использующих поддерживаемые версии Windows с включенной функцией Secure Boot, переход произойдет автоматически через Центр обновления Windows.

В системах на базе UEFI данные Secure Boot хранятся в энергонезависимой оперативной памяти (NVRAM), небольшой области памяти микропрограммного обеспечения, которая сохраняется между загрузками. Windows может обновлять эти данные NVRAM без необходимости полной перезаписи BIOS.

Однако проблемы могут возникнуть, если:

• NVRAM заполнена или фрагментирована
• В прошивке обнаружены ошибки обновления.
• Безопасная загрузка отключена.
• В системе установлена ​​неподдерживаемая версия Windows.

Системы Linux, использующие LVFS (Linux Vendor Firmware Service), также могут получать обновления сертификатов через инструменты обновления прошивки, что отражает более широкое влияние на отрасль, выходящее за рамки сред, использующих только Windows.

Как проверить, обновлен ли ваш компьютер

Компания Microsoft рекомендует использовать PowerShell для проверки активности базы данных Secure Boot.

Чтобы проверить, использует ли ваш компьютер уже сертификаты 2023 года:

1. Откройте PowerShell или Терминал от имени администратора.
2. Выполните следующую команду:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023') 

Если возвращается значение True , значит, ваша система уже использует новый сертификат.

Чтобы проверить, встроены ли новые сертификаты в настройки прошивки по умолчанию:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')

Если возвращается значение True , обновленные сертификаты будут встроены в прошивку BIOS/UEFI.

В более старых системах при второй проверке может отобразиться значение «False», что означает, что обновление BIOS всё ещё может быть полезным.

Системы, наиболее подверженные риску

К системам, наиболее подверженным сбоям, относятся:

• Компьютеры застряли на неподдерживаемых версиях Windows.
• Устройства, не зарегистрированные в программе расширенных обновлений безопасности Windows 10 (ESU)
• Компьютеры с отключенной функцией безопасной загрузки.
• Системы, управляемые предприятием, с ограниченными политиками обновления.
• Более старые модели потребительских ноутбуков больше не получают обновления прошивки.

Пользователям Windows 10 необходимо зарегистрироваться в программе расширенных обновлений безопасности Microsoft, чтобы продолжать получать актуальные обновления после истечения сроков общей поддержки.

Администраторы предприятий сталкиваются с более сложной ситуацией. Организации часто управляют ключами безопасной загрузки вручную или развертывают собственные цепочки загрузки для виртуализации, шифрования дисков или обеспечения соответствия нормативным требованиям. В таких средах может потребоваться тестирование перед сменой сертификатов.

Вопросы, касающиеся BitLocker и сброса настроек.

В некоторых случаях пользователям может потребоваться сбросить ключи Secure Boot в BIOS, чтобы освободить место в NVRAM. Однако системы, использующие шифрование BitLocker, требуют особого внимания.

Сброс ключей Secure Boot может активировать режим восстановления BitLocker. Перед внесением изменений в прошивку пользователям следует убедиться, что у них есть ключ восстановления BitLocker.

В противном случае доступ к зашифрованным дискам может быть временно заблокирован.

Более масштабные отраслевые изменения

Обновление сертификата Secure Boot затрагивает не только компьютеры с Windows. UEFI Secure Boot широко используется на современных вычислительных устройствах, включая серверы и некоторые дистрибутивы Linux.

Эксперты по безопасности отмечают, что эта ротация отражает более широкую тенденцию в отрасли к сокращению жизненного цикла криптографических данных и более гибким моделям доверия. В условиях усложнения атак на уровне встроенного ПО возможность отзыва и замены скомпрометированных компонентов загрузки становится критически важной.

Истечение срока действия также подчеркивает, насколько многоуровневой стала современная система безопасности ПК. От модулей TPM до контролируемой загрузки и безопасности на основе виртуализации, Windows теперь полагается на цепочку доверия, которая начинается еще до загрузки операционной системы.

Долгосрочные перспективы

Для большинства потребителей в июне 2026 года ничего кардинального не произойдёт. Системы, прошедшие полное обновление, должны перейти на новую систему незаметно.

Однако устройства, которые не обновляются, могут постепенно отставать — они могут потерять возможность использовать более новые операционные системы, получать средства защиты на уровне загрузки или корректно взаимодействовать с современным оборудованием.

Как написал Коста в уведомлении Microsoft, обновление сертификата «гарантирует, что будущие инновации в аппаратном обеспечении, микропрограммном обеспечении и операционных системах смогут и дальше основываться на безопасном, соответствующем отраслевым стандартам процессе загрузки».

На практике это напоминание о том, что даже невидимые компоненты вычислительной системы — такие как сертификаты микропрограммного обеспечения, созданные 15 лет назад, — имеют жизненные циклы, которые в конечном итоге требуют внимания.

Для пользователей наиболее безопасный вариант прост: обновляйте Windows, устанавливайте обновления прошивки по мере их доступности и убедитесь, что функция Secure Boot остается включенной.

В ближайшие месяцы ИТ-отделам, возможно, потребуется проводить аудиторские проверки, подтверждать обновления и тщательно координировать работу всего парка устройств.

В любом случае, время неумолимо бежит к июню.