В течение последних нескольких месяцев мы сообщали о серьезном изменении в сертификатах Secure Boot, используемых в Windows 11, которые необходимы для безопасной загрузки системы. Microsoft неоднократно предупреждала, что ПК с Windows столкнутся с серьезными проблемами начиная с июня, если устаревшие сертификаты не будут обновлены вовремя.
Microsoft ответила на некоторые нерешенные вопросы о Secure Boot в материале Windows Latest и дала разъяснения по ряду моментов: 24 июня не следует рассматривать как «жесткий» крайний срок, после которого затронутые системы больше не смогут использовать Secure Boot. Вместо этого этот срок относится конкретно к предоставлению ключа обмена ключами (Key Exchange Key), который служит ключом безопасности для Secure Boot. Кроме того, существует второй ключ (DB Key), срок действия которого истекает только в октябре 2026 года.
Так что, если вы не получили все новые сертификаты Secure Boot к 24 июня, еще не все потеряно. Microsoft ожидает, что сможет продолжать предоставлять загрузочные менеджеры до октября, используя второй ключ.
«Нет конечной даты, когда реестровый ключ и обновление перестанут работать», — подтвердил Скотт Шелл, инженер-программист высшей категории в Microsoft.
Тем не менее, после июня будут действовать определенные ограничения для всех систем, которые не обновили Secure Boot. Например, ваша система больше не сможет загружать новые черные списки DBX (они содержат сигнатуры неисправных или опасных загрузчиков, которые могут нанести вред вашей системе и поэтому блокируются Windows).
Что, если вы не используете Secure Boot?
Microsoft ответила на еще один важный вопрос: что произойдет со всеми системами, у которых в настоящее время не включен Secure Boot, но которые могут захотеть использовать его в будущем?
Если Secure Boot отключен, Microsoft не может обновить необходимые сертификаты. Это не проблема, если Secure Boot остается отключенным (хотя для защиты вашего ПК от угроз рекомендуется использовать Secure Boot).
Шелл пояснил, что Microsoft обновит загрузочный менеджер на этих компьютерах до версии, подписанной для 2023 года. Таким образом, сам загрузочный менеджер готов к использованию, но по-прежнему требуются соответствующие сертификаты. Если они недоступны, компьютер может вообще не запуститься.
Поэтому перед первым включением Secure Boot каждый пользователь или системный администратор должен убедиться, что последние сертификаты сначала загружены вручную. Microsoft изложила точную процедуру для этого на этой странице поддержки.
Тем временем виртуальные машины, размещенные через облако Azure, которые используют либо «Secure Launch», либо «Trusted Launch», получат новые сертификаты автоматически. В этом случае вам больше ничего не нужно делать.
Есть ли различия между Windows 11 и Windows 10?
На вопрос о том, есть ли какие-либо различия между обновлениями Secure Boot для Windows 10 и Windows 11, Microsoft ответила отрицательно. Windows 10 продолжит получать соответствующие исправления безопасности в рамках расширенных обновлений безопасности до октября, и сертификаты Secure Boot включены в них.
Единственное отличие состоит в том, что некоторые старые системы поставлялись с отключенной по умолчанию функцией Secure Boot или работают в конфигурациях, которые не отправляют телеметрию в Microsoft. В этом случае вам потребуется предпринять дополнительные шаги для получения сертификатов.
Лучше всего использовать новый инструмент индикатора, чтобы проверить, обновлены ли сертификаты Secure Boot, а затем загрузить их вручную. Microsoft подчеркивает: чем раньше будут обновлены ваши сертификаты, тем лучше.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Laura Pippig
