В начале 2024 года компания Microsoft объявила о планах обновить ключи Secure Boot, поскольку в 2026 году им исполнится 15 лет, и они истекут. В связи с этим в июне прошлого года компания опубликовала график изменений.
На тот момент технологический гигант сообщил, что новые сертификаты будут устанавливаться на ПК пользователей через Центр обновления Windows, и фактически компания уже выпустила их с обновлениями Patch Tuesday за февраль 2026 года.
Это последние исправления для Windows, о которых вы можете прочитать здесь (Windows 11 KB5077181, KB5075941 | Windows 10: KB5075912). Microsoft заявляет, что новые сертификаты должны быть установлены до июня 2026 года.
В качестве руководства компания также опубликовала полезную статью поддержки, которая по сути представляет собой FAQ (часто задаваемые вопросы), призванный помочь пользователям и администраторам разобраться в сомнениях и вопросах, которые могут возникнуть у них относительно обновлений загрузочного менеджера.
Microsoft разместила эту статью в сентябре прошлого года, и, что несколько странно, Neowin заметил, что компания по какой-то непонятной причине удалила ключевую информацию с этой страницы. В более ранней версии статьи было несколько вопросов, отвечающих на то, что произойдет, если такие компоненты загрузки не будут обновлены вовремя, подчеркивая опасность невыполнения этого требования. В статье говорилось:
“В3: Что произойдет, если сертификаты Secure Boot не будут обновлены до истечения срока действия?
Компьютер по-прежнему будет нормально загружать Windows, даже если сертификаты Secure Boot не будут обновлены.
В конечном итоге компьютер перестанет получать определенные обновления безопасности Windows от Microsoft, включая обновления безопасности для Boot Manager и компонентов Secure Boot. Это подвергнет устройство риску заражения загрузочными наборами (BootKits), которые могут получить полный контроль над компьютером.”
И:
“В5: Что произойдет с устройством, на котором нет новых сертификатов после истечения срока действия старых?
После истечения срока действия сертификатов устройство продолжит загружаться без изменений, однако устройство перестанет получать обновления безопасности для загрузочного менеджера и компонентов Secure Boot. Это подвергнет все устройство риску вредоносного ПО типа «загрузочный набор» (bootkit), которое может затронуть все аспекты безопасности на устройстве.”
Эта информация имеет решающее значение для понимания того, почему обновления Secure Boot необходимы для системы, поскольку в противном случае они могут быть скомпрометированы загрузочными наборами, но, возможно, Microsoft посчитала эти разделы избыточными и удалила их из того самого FAQ, предназначенного для предоставления такой информации пользователям.
Хотя читатели Neowin и другие технически подкованные пользователи, вероятно, уже знают об этом, мы не должны ожидать, что все поймут, почему и как важны некоторые требования безопасности Windows 11, такие как Secure Boot и TPM.
К счастью, кто-то в штаб-квартире Microsoft заметил это, и информация была восстановлена. На этот раз представление даже улучшилось, поскольку описание было расширено, и фактически этот вопрос теперь стоит первым, что показывает, что компания из Редмонда осознала его значимость, так что честь и хвала Microsoft за это. Вот что гласит восстановленная информация:
“В1: Что произойдет, если мое устройство не получит новые сертификаты Secure Boot до истечения срока действия старых?
После истечения срока действия сертификатов Secure Boot устройства, которые не получили более новые сертификаты 2023 года, продолжат нормально запускаться и работать, и стандартные обновления Windows будут продолжать устанавливаться. Однако эти устройства больше не смогут получать новую защиту безопасности для раннего процесса загрузки, включая обновления для Windows Boot Manager, баз данных Secure Boot, списков отзыва или мер по устранению недавно обнаруженных уязвимостей на уровне загрузки.
С течением времени это ограничивает защиту устройства от возникающих угроз и может повлиять на сценарии, зависящие от доверия Secure Boot, такие как усиление BitLocker или загрузчики сторонних разработчиков. Большинство устройств Windows получат обновленные сертификаты автоматически, а многие производители оборудования (OEM) предоставили обновления прошивки при необходимости. Поддержание актуальности вашего устройства с помощью этих обновлений помогает гарантировать, что оно сможет продолжать получать полный набор защитных мер, для которых предназначен Secure Boot.”
Вы можете найти обновленный FAQ по исходной ссылке ниже на веб-сайте Microsoft.
Источник: Microsoft (ссылка1, ссылка2)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sayan Sen
