Корпорация Microsoft разъяснила, что произойдет с ПК на базе Windows 11, если сертификаты Secure Boot не будут обновлены до истечения их срока действия в июне 2026 года.
Secure Boot — это стандарт безопасности, разработанный индустрией ПК. Он гарантирует, что устройство загружается только с программным обеспечением, которому доверяет оригинальный производитель оборудования (OEM)..
Каждый раз при запуске ПК встроенное ПО проверяет криптографическую подпись каждого компонента загрузки, включая те, что привязаны к сертификатам, выпущенным в 2011 году. Только после прохождения этих проверок разрешается загрузка Диспетчера загрузки Windows.
Когда срок действия существующих сертификатов Secure Boot истечет, это затронет миллионы ПК с Windows. В некоторых случаях системы могут стать менее защищенными. В более крайних сценариях они могут вообще не загрузиться должным образом.
Чтобы предотвратить это, Microsoft начала развертывание новых сертификатов.
Новые сертификаты Secure Boot
Передача новых сертификатов Secure Boot 2023 года — это не простое обновление, поскольку они напрямую взаимодействуют с аппаратным обеспечением UEFI на материнской плате вашего компьютера.
«Microsoft должна перенести новые сертификаты 2023 года в прошивку, заменить диспетчер загрузки на версию, подписанную с использованием новых ключей, и, наконец, отозвать доверие к старым сертификатам», — объясняет Windows Latest.
Для этой цели Microsoft уже создала новую папку Secure Boot на ПК с Windows.
Что произойдет, если не обновить
Чтобы объяснить последствия, Microsoft организовала сессию вопросов и ответов Q&A session с ведущим инженером по безопасности Арденом Уайтом (Arden White), ведущим архитектором ПО Скоттом Шеллом (Scott Shell) и менеджером группы разработки Ричардом Пауэллом (Richard Powell). Windows Latest принял участие в сессии и подвел итоги. Согласно их отчету, последствия для ПК с Windows с устаревшими или просроченными сертификатами Secure Boot можно суммировать следующим образом:
«Если вы проигнорируете крайний срок сертификатов Secure Boot в июне 2026 года, ваши ПК с Windows 11, скорее всего, по-прежнему будут запускаться и работать нормально, но безопасность системы может быть необратимо скомпрометирована, поскольку Microsoft больше не будет предоставлять критически важные для загрузки обновления и списки запрещенных программ (DBX blocklists). Вы можете проверить статус Secure Boot в приложении Безопасность Windows».
Если вы не установили новый сертификат Secure Boot, ваш ПК не сможет запускать новейший Диспетчер загрузки Windows. Следовательно, Microsoft перестанет предоставлять обновления безопасности для критически важных для загрузки двоичных файлов. Кроме того, ваша система может перестать получать новые черные списки DBX, что потенциально оставит вас уязвимыми перед будущим вредоносным ПО типа загрузочных вирусов (bootkit). Вы также можете обнаружить, что будущие обновления функций Windows больше не будут устанавливаться.
Что следует иметь в виду
Очень старые компьютеры, которые по-прежнему используют BIOS вместо UEFI, как правило, не затронуты этой проблемой и не получат обновление. Microsoft также отмечает, что для ПК с Windows является нормальным перезагружаться несколько раз во время установки новых сертификатов Secure Boot. Существующее шифрование BitLocker отключать не нужно.
Новые сертификаты Secure Boot 2023 года действительны до 2038 года.
Как проверить статус вашего ПК с Windows
В настройках Windows перейдите в раздел Конфиденциальность и безопасность > Безопасность Windows > Безопасность устройства, чтобы проверить статус Secure Boot. Если под пунктом «Secure Boot» вы видите зеленый круг с белой галочкой, все в порядке. Ваш ПК готов к крайнему сроку в июне 2026 года.
Если вместо этого вы видите желтое или красное предупреждение, вам следует ознакомиться с дополнительной информацией.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Hans-Christian Dirscherl
