Срок действия сертификата Windows Secure Boot и обновления сертификатов
С тех пор как Windows начала поддерживать Secure Boot, большинство устройств Windows использовали серию сертификатов Microsoft в базе данных UEFI Secure Boot. Эти ранние сертификаты начнут постепенно истекать с 2026 года. Для поддержания безопасности загрузки и целостности цепочки доверия системы необходимо обновить сертификаты до версии Microsoft 2023 года.
Если в Вашей системе в настоящее время включен Secure Boot, пожалуйста, убедитесь, что эти сертификаты обновлены до того, как они истекут в середине 2026 года.
Microsoft рекомендует завершить обновление сертификатов Secure Boot через обновление Windows
Для большинства пользователей необходимые обновления будут автоматически доставлены через обновления Windows, и не потребуется никаких действий со стороны пользователя.
Можно проверить, были ли обновления успешно получены, с помощью приложения Безопасность Windows, как описано в статус обновления сертификата Secure Boot в приложении Безопасность Windows.
Когда [Windows Update] включен и система активировала Secure Boot (пожалуйста, узнайте больше о том, как включить Secure Boot), поддерживаемые устройства Windows автоматически загрузят и применят новые сертификаты Secure Boot и новый Boot Manager в нужное время.
Новое обновление базы данных Secure Boot распространяется поэтапно на устройства с включенным Secure Boot начиная с 2024 года и автоматически завершает обновление устройства до истечения срока действия сертификата в июне 2026 года.
[Включите обновление Windows для получения новых сертификатов]

Вопрос 1: Как проверить статус UEFI Secure Boot?
Ответ 1: Пожалуйста, выполните следующие шаги:
- В строке поиска Windows введите Безопасность Windows.

- Выберите [Безопасность устройства] в левом меню. В разделе [Secure boot] Вы увидите индикатор состояния. Значок Secure boot отмечен зеленым, желтым или красным значком, каждый из которых отображает текущее состояние Secure boot на Вашей системе.

Вопрос 2: Что делать, если значок Secure boot желтый или красный?
Ответ 2: Пожалуйста, ознакомьтесь с шагами решения, описанными в статье: Устранение неисправностей — значок Secure Boot отображает желтый или красный значок.
Вопрос 3: Что произойдет, если мое устройство не получит новый сертификат Secure Boot до истечения срока действия старого сертификата?
Ответ 3: После истечения срока действия сертификата Secure Boot устройства, которые еще не получили новый сертификат 2023 года, все равно смогут запускаться и работать нормально, стандартные обновления Windows продолжат устанавливаться. Однако такие устройства не смогут получить новые средства безопасности на ранних этапах загрузки, включая обновление администраторов загрузки Windows, базы Secure Boot, списков отзыва или меры по устранению новых уязвимостей на этапе загрузки.
Со временем это ограничивает защиту устройства от новых угроз и может повлиять на сценарии, зависящие от Secure Boot, такие как усиление BitLocker или сторонние загрузчики. Большинство устройств Windows автоматически получат обновленные сертификаты, а многие производители OEM также предоставят обновления прошивки при необходимости. Постоянное обновление устройства помогает обеспечить получение полного комплекса защиты, предусмотренного для безопасной загрузки.
Вопрос 4: Какие последствия могут возникнуть при отключении Secure Boot на устройстве?
Ответ 4: Устройства с отключенным Secure Boot не получат новые сертификаты Secure Boot в прошивке. Поэтому они останутся уязвимыми перед вредоносным ПО на уровне загрузки (например, bootkits), так как защита Secure Boot не будет применяться.
Вопрос 5: После сброса прошивки до заводских настроек устройство перестало загружаться — что произошло? Как это исправить?
Ответ 5: Если Windows уже использовал подписанный загрузочный менеджер 2023 года, но прошивка была сброшена до значения по умолчанию, которое не включает сертификат Windows UEFI CA 2023, Secure boot заблокирует процесс загрузки.
Вы можете ознакомиться с часто задаваемыми вопросами:
[Ноутбук] Устранение неполадок — ошибка нарушения Secure Boot при запуске
Вопрос 6: Если сертификат Secure Boot моего устройства истек, могу ли я получить обновленный сертификат?
Ответ 6: Да. Даже если существующие учетные данные истекли, накопительные обновления, содержащие новые учетные данные Secure boot, все равно могут быть применены. Если устройство может запустить Windows и установить обновления, обновленные учетные данные могут быть записаны в прошивку согласно опубликованным рекомендациям по внедрению. Большинство устройств автоматически получают эти обновления, но для некоторых систем могут потребоваться дополнительные обновления прошивки.
Вопрос 7: Как проверить статус UEFI Secure Boot Keys?
Ответ 7: Пожалуйста, ознакомьтесь со следующими шагами:
- Введите PowerShell в строке поиска Windows.
В результатах поиска нажмите на значок Windows PowerShell и выберите Запуск от имени администратора.
- Убедитесь, что Key Exchange Key (KEK) включает "Microsoft Corporation KEK 2K CA 2023"
Введите [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Если появится True, значит, это включает "Microsoft Corporation KEK 2K CA 2023"
- Убедитесь, что Signature Databases (DB) включает "Windows UEFI CA 2023"
Введите [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Если появится True, значит, это включает "Windows UEFI CA 2023"
- Убедитесь, что Signature Databases (DB) включает "Microsoft UEFI CA 2023"
Введите [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
Если появится True, значит, это включает "Microsoft UEFI CA 2023"
Вопрос 8: Что делать, если я обнаружил сообщение об ошибке TPM WMI (ID события: 1801) в Просмотре событий?
Ответ 8: Причина этой ошибки заключается в том, что учетные данные Безопасной Загрузки были обновлены, но еще не применены к прошивке устройства.
Пожалуйста, сначала выполните обновление Windows, чтобы убедиться, что версия ОС — 26100.6725 или новее, а затем выполните шаги, описанные в Вопросе 2.
История обновлений Windows 11, версия 25H2.
Вопрос 9: Что делать, если я обнаружил сообщение об ошибке TPM WMI (ID события: 1802) в Просмотре событий?
Ответ 9: Причина этой ошибки заключается в том, что обновление загрузки намеренно заблокировано, поскольку устройство соответствует известным условиям прошивки или оборудования, что мешает безопасному завершению обновления.
Пожалуйста, сообщите о проблеме через сервисный центр ASUS.
Вопрос 10: Что делать, если я обнаружил сообщение об ошибке TPM WMI (ID события: 1803) в Просмотре событий?
Ответ 10: Причина этой ошибки заключается в том, что устройство не может найти Key Exchange Key (KEK), подписанный PK.
Пожалуйста, сообщите о проблеме через сервисный центр ASUS.
Справка:
Истечение срока действия сертификата Secure Boot Windows и обновления CA - Служба поддержки Microsoft
Статус обновления сертификата Secure Boot в приложении Безопасность Windows
Часто задаваемые вопросы о процессе обновления Secure Boot - Служба поддержки Microsoft
События обновления переменных Secure Boot DB и DBX - Служба поддержки Microsoft
История обновлений Windows 11, версия 25H2 - Служба поддержки Microsoft