Microsoft menjelaskan risiko keselamatan sijil Secure Boot yang akan tamat tempoh pada tahun 2026 pada Windows 11

• Sijil Secure Boot yang diperkenalkan pada tahun 2011 akan tamat tempoh pada akhir Jun 2026.
• Komputer akan terus boot seperti biasa selepas tamat tempoh.
• Peranti tanpa sijil yang dikemas kini memasuki keadaan keselamatan yang merosot.
• Peranti Windows 11 dan Windows 10 yang disokong menerima kemas kini secara automatik melalui Kemas Kini Windows.
• Sistem yang tidak disokong, termasuk Windows 10 selepas Oktober 2025 tanpa ESU, tidak akan menerima sijil baharu.

Microsoft telah mengesahkan bahawa peranti dengan sijil But Selamat asal yang diperkenalkan pada tahun 2011 akan mula tamat tempoh pada akhir Jun 2026, sekali gus mencetuskan kemas kini keselamatan utama yang menjejaskan hampir setiap komputer moden.

But Selamat ialah mekanisme keselamatan yang tersedia dalam firmware Antara Muka Firmware Boleh Lanjutan Bersepadu (UEFI) yang berjalan semasa permulaan, sebelum sistem pengendalian dimuatkan. Tujuan ciri ini adalah untuk mengesahkan bahawa hanya kod yang dipercayai dan ditandatangani secara digital sahaja yang boleh dilaksanakan semasa permulaan, menyekat kit but dan ancaman peringkat rendah lain yang cuba menjejaskan sistem semasa but. Selama 15 tahun yang lalu, proses ini bergantung pada sijil yang terbenam dalam firmware peranti, tetapi sijil tersebut kini mencapai penghujung kitaran hayat yang dirancang.

Adakah komputer anda akan berhenti berfungsi pada tahun 2026?

Jawapan ringkasnya ialah tidak. Apabila sijil asal tamat tempoh, komputer akan terus boot dan Windows 11 (atau 10) akan terus dimuatkan seperti biasa. Aplikasi tidak akan tiba-tiba gagal dan anda tidak akan melihat gangguan serta-merta.

Walau bagaimanapun, sistem yang tidak menerima sijil But Selamat yang dikemas kini akan memasuki keadaan keselamatan yang merosot. Walau bagaimanapun, itu tidak bermakna komputer serta-merta tidak selamat. Ini bermakna peranti tidak lagi dapat menerima kemas kini masa hadapan untuk rantaian kepercayaan But Selamat.

Lama-kelamaan, apabila kerentanan peringkat but baharu ditemui, sistem tersebut mungkin tidak dapat memasang mitigasi baharu. Mesin terus berjalan, tetapi perlindungan permulaannya tidak lagi berkembang, dan batasan jangka panjang itulah yang menjadi kebimbangan sebenar.

Mengapa Microsoft menggantikan sijil But Selamat

Sijil keselamatan tidak bertujuan untuk kekal selama-lamanya. Seiring dengan perkembangan piawaian keselamatan, kunci penyulitan dan sauh kepercayaan mesti dikemas kini untuk mengelakkan kelayakan yang ketinggalan zaman daripada menjadi kelemahan. Tamat tempoh sijil But Selamat 2011 telah dirancang sejak awal.

Apa yang menjadikan peralihan ini penting adalah skala. Secure Boot beroperasi pada peringkat firmware, bukan sahaja dalam sistem pengendalian itu sendiri. Mengemas kininya memerlukan penyelarasan antara servis Windows 11 (dan 10), firmware peranti dan pengeluar perkakasan merentasi berjuta-juta konfigurasi peranti unik di seluruh dunia.

Microsoft menggambarkan ini sebagai salah satu usaha penyelenggaraan keselamatan terselaras terbesar di seluruh ekosistem Windows.

Cara kemas kini disampaikan

Gergasi perisian itu telah mula melancarkan sijil Secure Boot baharu melalui kemas kini bulanan berkala kepada versi yang disokong, termasuk Windows 11 dan 10. Bagi kebanyakan pengguna rumah dan perniagaan yang membenarkan syarikat mengurus kemas kini, kemas kini sepatutnya berlaku secara automatik di latar belakang.

Dalam sesetengah kes, terutamanya pada perkakasan lama, kemas kini perisian tegar daripada pengeluar peranti mungkin diperlukan sebelum sijil baharu boleh digunakan dengan jayanya. Microsoft mengatakan ia telah bekerjasama rapat dengan pengeluar komputer utama (seperti Dell, HP dan Lenovo) untuk menyediakan peranti untuk peralihan tersebut.

Hampir semua peranti yang dikeluarkan sejak 2024 sudah pun disertakan dengan sijil yang dikemas kini dan hampir semua sistem yang dihantar pada tahun 2025 dilengkapi dengan sijil tersebut sebaik sahaja dikeluarkan dari kotak.

Bagaimana pula dengan versi Windows yang tidak disokong?

Peranti yang menjalankan versi sistem pengendalian yang tidak disokong tidak akan menerima sijil But Selamat baharu melalui Kemas Kini Windows. Ini termasuk Windows 10 selepas tamat sokongannya pada Oktober 2025, melainkan peranti tersebut didaftarkan dalam Kemas Kini Keselamatan Lanjutan .

Sistem tersebut akan terus berfungsi selepas sijil 2011 tamat tempoh, tetapi ia akan kekal terhad secara kekal dalam keupayaannya untuk menerima penambahbaikan keselamatan peringkat but pada masa hadapan. Seiring perkembangan platform, ini mungkin secara beransur-ansur meningkatkan pendedahan kepada ancaman baharu dan isu keserasian dengan perisian tegar, perkakasan atau keluaran Windows yang lebih baharu.

Apa yang perlu anda lakukan sekarang?

Bagi kebanyakan orang, tindakan paling selamat adalah mudah, ingat untuk memastikan Windows 11 (dan 10) dikemas kini sepenuhnya dan pastikan firmware peranti anda terkini dengan menyemak halaman sokongan pengilang anda. Microsoft telah menyatakan bahawa maklumat status tambahan mengenai kemas kini sijil akan muncul dalam aplikasi Keselamatan Windows dalam beberapa bulan akan datang, memberikan keterlihatan yang lebih baik ke dalam proses tersebut.

Anda sentiasa boleh menyemak dan mengemas kini sijil But Selamat secara manual menggunakan arahan ini.

Organisasi yang menguruskan sejumlah besar komputer harus menganggap ini sebagai latihan perancangan pengesahan dan penggunaan dan bukannya kemas kini Tatch Tuesday yang mudah.