مايكروسوفت تستبدل شهادات التمهيد الآمن المنتهية الصلاحية على نظام التشغيل ويندوز 11 - جميع التفاصيل وكيفية تحديثها

• يمنع التمهيد الآمن البرامج الضارة منخفضة المستوى من اختراق عملية بدء تشغيل نظام التشغيل Windows 11.
• تنتهي صلاحية شهادات التمهيد الآمن الأصلية من مايكروسوفت لعام 2011 في يونيو 2026، وتمدد الشهادات الجديدة لعام 2023 الحماية حتى عام 2053.
• من المرجح أن الأجهزة التي تم شراؤها في عام 2024 وما بعده قد حصلت بالفعل على أحدث الشهادات. أما الأجهزة الأخرى، فتتلقى هذه الشهادات تدريجياً عبر تحديثات ويندوز.
• يمكنك التحقق من حالة الشهادة باستخدام PowerShell، وتحديث الشهادات يدويًا باستخدام تعديلات التسجيل والمهام المجدولة إذا لم تصل التحديثات تلقائيًا.

ستنتهي صلاحية شهادة وحدة التمهيد الآمن لجهاز الكمبيوتر الخاص بك في يونيو 2026. بدءًا من تحديث الأمان لشهر يناير 2026 ، بدأت مايكروسوفت في طرح تدريجي لشهادة جديدة ستسمح لجهاز الكمبيوتر الخاص بك بمواصلة التمهيد بشكل صحيح وتلقي تحديثات الأمان.

في نظام التشغيل ويندوز 11 ، تُعدّ ميزة التمهيد الآمن ميزة أمان متوفرة في واجهة البرامج الثابتة الموحدة القابلة للتوسيع (UEFI)، وهي تمنع التعديلات غير المصرح بها على ملفات النظام الأساسية أثناء بدء التشغيل. ونتيجةً لذلك، تضمن هذه الميزة تشغيل الجهاز باستخدام البرامج الموثوقة من قِبل الشركة المصنعة فقط.

بمعنى آخر، يساعد التمهيد الآمن في حماية أجهزتك من البرامج الضارة منخفضة المستوى (مثل برامج التمهيد وبرامج التجسس) التي يمكن أن تصيب عملية التمهيد وتسيطر على جهاز الكمبيوتر الخاص بك قبل تحميل نظام التشغيل وبرنامج مكافحة الفيروسات.

فهم شهادات التمهيد الآمن

كجزء من العملية، تستخدم هذه الميزة مفاتيح التشفير (المعروفة باسم سلطات الشهادات (CAs)) للتحقق من أن وحدات البرامج الثابتة تأتي من مصدر موثوق، مما يساعد على منع تشغيل البرامج الضارة خلال المراحل المبكرة من بدء تشغيل الجهاز.

لطالما كانت شهادات التمهيد الآمن لها تواريخ انتهاء صلاحية، لأنها تضمن استمرار حصول جهاز الكمبيوتر على التحديثات الأمنية وتشغيله بشكل صحيح. لذا، يجب تثبيت شهادات عام 2023 قبل أن تبدأ شهادات عام 2011 في الانتهاء في يونيو 2026.

إذا كان لديك جهاز تم شراؤه في عام 2024 (أو بعده)، فمن المحتمل أن تكون أحدث الشهادات مثبتة بالفعل. أما بالنسبة لبقية أجهزة الكمبيوتر، فإن مايكروسوفت بصدد طرح شهادات التمهيد الآمن الجديدة عبر تحديثات ويندوز.

في التحديث الأمني ​​"2026-01 (KB5074109) (26200.7623)"، الذي طُرح في 13 يناير 2026، أشارت الشركة العملاقة في مجال البرمجيات إلى أن التحديثات تتضمن الآن مجموعة فرعية من بيانات استهداف الأجهزة عالية الموثوقية، والتي تحدد الأجهزة المؤهلة لتلقي شهادات التمهيد الآمن الجديدة تلقائيًا. ولن تتلقى الأجهزة الشهادات الجديدة إلا بعد إظهار مؤشرات كافية على نجاح التحديث، مما يضمن نشرًا آمنًا وتدريجيًا.

هذا يعني أنك لست مضطرًا لاتخاذ أي خطوات يدوية لتحديث ميزة التمهيد الآمن ، باستثناء السماح للنظام بتلقي التحديثات باستمرار. على الأقل من الآن وحتى توفر تحديث الأمان في يونيو 2026.

تحقق من تاريخ انتهاء صلاحية شهادة التمهيد الآمن

بما أنك لن تتلقى إشعارًا يفيد بأن جهاز الكمبيوتر الخاص بك يتضمن الآن أحدث جهات إصدار الشهادات، فمن المهم التحقق مما إذا كان جهازك لا يزال بحاجة إلى تحديث.

لا يحتوي نظام التشغيل Windows 11 على أمر مدمج لعرض تاريخ انتهاء صلاحية البرامج الثابتة بصيغة قابلة للقراءة. مع ذلك، يمكنك التحقق مما إذا كانت لديك شهادات 2023 "المحدثة" (التي تحل محل الشهادات التي تنتهي صلاحيتها في 2026) باتباع الخطوات التالية:

افتح PowerShell (كمسؤول) وقم بتشغيل ما يلي:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• صحيح: لديك الشهادة الجديدة (صالحة حتى عام 2053).
• خطأ: من المحتمل أنك لا تزال تستخدم شهادة عام 2011 (التي تنتهي صلاحيتها في عام 2026).

التحقق من انتهاء صلاحية شهادة التمهيد الآمن باستخدام PowerShell / الصورة: ماورو هوكولاك

تعتمد جميع سلاسل التمهيد الآمن الحديثة تقريبًا على شهادات مايكروسوفت لعام 2011، والتي لها تواريخ انتهاء الصلاحية التالية :

• شركة مايكروسوفت KEK CA 2011 (24 يونيو 2026). 
• Microsoft Corporation UEFI CA 2011 (27 يونيو 2026).
• Microsoft Option ROM UEFI CA 2011 (27 يونيو 2026).
• مؤتمر مايكروسوفت ويندوز للإنتاج PCA 2011 (19 أكتوبر 2026).

للعلم، هذا ما تفعله كل شهادة:

• شهادة KEK: نقطة ارتكاز موثوقة تسمح بتحديث قواعد بيانات التوقيعات الخاصة بالتمهيد الآمن (DB/DBX).
• شهادات UEFI CA: ثق في توقيعات برامج الإقلاع ومكونات البرامج الثابتة (بما في ذلك تطبيقات EFI التابعة لجهات خارجية).
• Option ROM CA: يثق في وحدات Option ROM الخاصة بالبرامج الثابتة.
• Microsoft Windows Production PCA 2011: يضمن أن برنامج تحميل نظام التشغيل Windows والملفات الثنائية ذات الصلة موثوق بها بواسطة البرامج الثابتة في وضع التمهيد الآمن.

تحديث شهادات التمهيد الآمن على نظام التشغيل Windows 11

إذا كانت شهاداتك على وشك الانتهاء، فستقوم مايكروسوفت والشركة المصنعة لجهاز الكمبيوتر الخاص بك (OEM) تلقائيًا بتثبيت تحديثات البرامج الثابتة أو تحديثات "DBX" عبر تحديثات ويندوز أو تحديثات النظام لتسجيل شهادات المرجع المصدق الجديدة لعام 2023. ومع ذلك، يمكنك تحديث ميزة التمهيد الآمن يدويًا.

تحذير: قبل المتابعة، تأكد من حفظ مفتاح استعادة BitLocker وأن نظام BIOS (UEFI) لديك مُحدّث. إذا كان برنامج جهازك لا يدعم الشهادات الجديدة، فقد يتعذر تشغيل جهازك بعد التحديث. يُنصح أيضًا بإنشاء نسخة احتياطية كاملة من جهازك قبل المتابعة.

افتح PowerShell (كمسؤول) وقم بتشغيل ما يلي:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

يقوم هذا الأمر بتعيين مفتاح التسجيل الذي يوجه نظام التشغيل لنشر جميع الشهادات المطلوبة (بما في ذلك مدير التمهيد الموقع من قبل PCA 2023).

القيمة 0x5944هي رمز "التخفيف الكامل" الذي يُمكّن جميع تحديثات الشهادات ذات الصلة.

يحتوي نظام التشغيل Windows 11 على مهمة مدمجة تعالج تغييرات الشهادات هذه، ويمكنك تشغيلها يدويًا لتجنب الانتظار لمدة 12 ساعة باستخدام الأمر التالي:

بدء المهمة المجدولة - اسم المهمة "\Microsoft\Windows\PI\Secure-Boot-Update"

تحديثات PowerShell لشهادة التمهيد الآمن / الصورة: ماورو هوكولاك

يتطلب التحديث عادةً إعادة تشغيل النظام مرتين حتى يتم تطبيقه بالكامل. بعد إعادة التشغيل الأولى، يقوم النظام بتحديث مدير الإقلاع. وبعد إعادة التشغيل الثانية، يُنهي تسجيل الشهادة في قاعدة بيانات UEFI.

بعد إعادة تشغيل النظام، يمكنك التحقق مما إذا كان "UEFI CA 2023" موجودًا الآن في قاعدة البيانات الخاصة بك عن طريق تشغيل أمر PowerShell هذا (كمسؤول):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• صحيح: نظامك الآن مؤمن بالشهادات الجديدة.
• خطأ: إذا استمر الخطأ بعد عدة عمليات إعادة تشغيل، فقد يكون برنامج اللوحة الأم قديمًا جدًا بحيث لا يقبل تنسيق الشهادة الجديد. تحقق من موقع الشركة المصنعة على الإنترنت بحثًا عن تحديث BIOS متعلق بـ "التمهيد الآمن".

إذا كان BitLocker نشطًا، فقد تحتاج إلى تعطيل التشفير مؤقتًا ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) قبل أن يتمكن البرنامج الثابت من كتابة المفاتيح الجديدة إلى الجهاز بنجاح.