Компания Microsoft недавно начала заменять истекающие сертификаты Secure Boot на соответствующих системах Windows 11 с версиями 24H2 и 25H2, о чем сообщает издание BleepingComputer.
Secure Boot — это важная функция безопасности, которая не позволяет вредоносному программному обеспечению запускаться при старте системы. Она является частью UEFI/BIOS Windows и сверяет цифровые подписи программного обеспечения с определенными ключами, хранящимися в системе.
Еще в ноябре Microsoft предупреждала, что сертификаты Secure Boot для большинства используемых на данный момент устройств Windows истекут в июне 2026 года. IT-администраторам, в частности, следует действовать заблаговременно, чтобы избежать проблем с затронутыми устройствами.
«Без обновлений устройства Windows с активированным Secure Boot рискуют не получать обновления безопасности или не доверять новым загрузчикам, что ставит под угрозу как ремонтопригодность, так и безопасность», — поясняет Microsoft.
Кого это затрагивает?
По данным Microsoft, в первую очередь под угрозой находятся устройства, произведенные до 2024 года. Более новые ПК с Windows уже оснащены актуальными сертификатами.
Кроме того, затронуты только те пользователи, чьи устройства загружаются в режиме Secure Boot. Если это не так, проблем не возникнет. Проверить, загружается ли ваш ПК с включенным Secure Boot, можно, нажав Win + R, введя «msinfo32» и проверив значение параметра «Состояние Secure Boot». Если там указано «Вкл.», значит, Secure Boot активен.
Что можно предпринять
Чтобы проверить статус используемого в данный момент сертификата, выполните следующие действия:
- Откройте Windows Powershell с правами администратора.
- Введите следующую команду: [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes)
- В лучшем случае вы должны увидеть как минимум один актуальный сертификат с временной меткой 2023 года, например, MicrosoftUEFICertificateAuthority_2023.cer
- Совет: С дополнением -match ‘Windows UEFI CA 2023’ вы можете также отфильтровать искомый сертификат и получить в ответ True или False.
Если же сертификаты устарели, высока вероятность возникновения проблем не позднее июня. Поэтому следует установить новые сертификаты заранее.
Если автоматическая установка не удалась, вы можете открыть редактор реестра Windows и проверить раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing. Параметр WindowsUEFICA2023Capable не должен иметь здесь значение 0, иначе сертификат недоступен.
По словам Microsoft, достаточно установки ряда обновлений качества Windows. Как только будет отправлено достаточное количество «сигналов об успешном обновлении», Microsoft сможет «обеспечить безопасное и постепенное развертывание». Также следует разрешить вашему ПК отправлять диагностические данные в Microsoft.
В качестве альтернативы компании могут получить сертификаты Secure Boot с помощью специальных ключей реестра или системы конфигурации Windows (WinCS). Более подробную информацию можно найти в официальном руководстве Microsoft.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Laura Pippig
