Как проверить наличие обновленных сертификатов Secure Boot на вашем компьютере в Windows 11 и 10.

  • Срок действия сертификатов Secure Boot от Microsoft за 2011 год истекает в июне 2026 года.
  • Новые сертификаты Windows UEFI CA 2023 обеспечивают защиту до 2053 года.
  • Устройства, приобретенные в 2024 году или позже, как правило, уже имеют обновленные сертификаты.
  • На старых компьютерах обновление устанавливается постепенно через Центр обновления Windows.
  • Проверить состояние сертификата можно с помощью команды PowerShell.

На некоторых устройствах под управлением Windows 11 и Windows 10 срок действия сертификатов Secure Boot, выданных в 2011 году, истекает в июне 2026 года. Хотя Microsoft активно заменяет их сертификатами 2023 года, вам следует убедиться, что ваша система уже перешла на более новые сертификаты, чтобы предотвратить сбои при запуске или проблемы с безопасностью.

Secure Boot — это функция защиты на уровне встроенного ПО в унифицированном расширяемом интерфейсе прошивки (UEFI), которая гарантирует, что устройство загружает только программное обеспечение, имеющее цифровую подпись и которому доверяет производитель. Она защищает процесс запуска, предотвращая несанкционированные изменения критически важных компонентов загрузки до загрузки операционной системы.

Для этого Secure Boot использует криптографические ключи, известные как центры сертификации (ЦС), для проверки модулей прошивки и загрузчиков. Эти сертификаты создают цепочку доверия, которая блокирует выполнение вредоносного кода на ранних этапах запуска.

Как и все цифровые сертификаты, центры сертификации Secure Boot имеют определенные сроки действия. Срок действия сертификатов 2011 года истекает в июне 2026 года, поэтому для продолжения получения обновлений и нормальной загрузки без сбоев проверки доверия системам необходимо установить более новые сертификаты 2023 года.

Поскольку цифровые сертификаты имеют срок действия, системам необходимо установить сертификаты 2023 года до истечения срока действия сертификатов 2011 года в июне 2026 года, чтобы обеспечить корректную загрузку и получение обновлений.

Устройства, приобретенные в 2024 году или позже, как правило, уже содержат новые сертификаты. Для более старого оборудования Microsoft распространяет их через Центр обновления Windows.

Microsoft уже автоматически определяет и обновляет сертификаты Secure Boot посредством регулярных системных обновлений, поэтому никаких ручных действий не требуется, кроме поддержания включенного Центра обновления Windows и установки ежемесячных обновлений безопасности до крайнего срока в июне 2026 года. Однако всегда полезно проверить и убедиться, что ваше устройство имеет соответствующие сертификаты.

В этом руководстве я опишу шаги по проверке того, установлены ли на вашем компьютере сертификаты Secure Boot 2023 года.

Проверьте наличие сертификатов Secure Boot 2023 на вашем компьютере с помощью PowerShell.

Чтобы проверить наличие обновленных сертификатов Secure Boot 2023 года (которые заменяют сертификаты, срок действия которых истекает в 2026 году), выполните следующие действия:

  1. Откройте меню «Пуск» в Windows 11.

     

     

  2. Найдите PowerShell (или Терминал ), щелкните правой кнопкой мыши по верхнему результату и выберите пункт «Запустить от имени администратора».

  3. Введите эту команду, чтобы проверить срок действия сертификатов Secure Boot, и нажмите Enter: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Как проверить наличие обновленных сертификатов Secure Boot на вашем компьютере в Windows 11 и 10.

После выполнения этих шагов, если результат будет «True», у вас будет новый сертификат (действительный до 2053 года). Если результат будет «False», скорее всего, у вас по-прежнему будет сертификат 2011 года (срок действия которого истекает в 2026 году).

Срок действия сертификатов Secure Boot 2011 истекает в 2026 году — что делает каждый сертификат?

Практически все современные цепочки безопасной загрузки (Secure Boot) используют сертификаты Microsoft 2011 года, срок действия которых истекает в следующие даты :

  • Корпорация Microsoft, KEK CA 2011 (24 июня 2026 г.). 
  • Microsoft Corporation UEFI CA 2011 (27 июня 2026 г.).
  • Microsoft Option ROM UEFI CA 2011 (27 июня 2026 г.).
  • Microsoft Windows Production PCA 2011 (19 октября 2026 г.).

Для справки, вот что делает каждый сертификат:

  • Сертификат KEK: Якорь доверия, позволяющий обновлять базы данных подписей Secure Boot (DB/DBX).
  • Сертификаты UEFI CA: Доверяйте подписям загрузчиков и компонентов микропрограммного обеспечения (включая сторонние приложения EFI).
  • Option ROM CA: Доверяет модулям Option ROM встроенного ПО.
  • Microsoft Windows Production PCA 2011: Гарантирует, что загрузчик Windows и связанные с ним двоичные файлы будут считаться доверенными для микропрограммы в рамках безопасной загрузки.

Если срок действия ваших сертификатов подходит к концу, Microsoft и производитель вашего компьютера (OEM) автоматически распространят обновления прошивки или обновления «DBX» через Центр обновления Windows или системные обновления для регистрации новых сертификатов CA 2023 года. Вы всегда можете установить новые сертификаты Secure Boot вручную .

Почему событие с идентификатором 1801 отображается в журнале событий (и почему это не ошибка)?

Наконец, вы, вероятно, заметите, что событие с идентификатором 1801 появляется для источника «TPM-WMI (Microsoft-Windows-TPM-WMI)» с сообщением «BucketConfidenceLevel: Under Observation – More Data Needed» .

Хотя это выглядит как ошибка, это не сбой. Эта запись означает, что операционная система обнаружила обновленные сертификаты Secure Boot, но еще не применила их к прошивке.

Устройство находится на этапе подготовки и проверки, в то время как Microsoft постепенно распространяет обновление. Поскольку ключи Secure Boot находятся в прошивке UEFI и влияют на цепочку загрузки, переход тщательно координируется во избежание проблем с загрузкой.

Проще говоря, событие с идентификатором 1801 — это всего лишь проверка состояния, указывающая на то, что Windows оценивает ваше устройство в рамках развертывания сертификата Secure Boot. Сообщение «Под наблюдением» отражает этот процесс оценки. Оно не указывает на проблему с TPM, повреждение Secure Boot или сбой BIOS. Несмотря на то, что оно регистрируется как ошибка, оно носит исключительно информационный характер.

Переход на использование сертификата Secure Boot происходит в два этапа. Сначала Windows 11 (или 10) загружает и подготавливает новый сертификат внутри операционной системы. Затем, после проверки совместимости и подтверждения подлинности, сертификат записывается в системное микропрограммное обеспечение и активируется.

Устройства могут оставаться между этими двумя стадиями в течение некоторого времени, поэтому записи TPM-WMI могут продолжать отображаться в журнале событий, даже если всё в порядке.

Проверьте наличие сертификатов Secure Boot 2023 на вашем компьютере с помощью раздела «Безопасность Windows».

В дополнение к использованию PowerShell, приложение «Безопасность Windows» было обновлено и теперь отображает точное состояние сертификатов Secure Boot, срок действия которых истекает в 2026 году. 

Чтобы проверить наличие последних сертификатов Secure Boot на вашем компьютере, выполните следующие действия:

  1. Откройте меню «Пуск» .

  2. Найдите приложение «Безопасность Windows» и щелкните по верхнему результату, чтобы открыть его.

  3. В левой панели нажмите «Безопасность устройства» .

  4. Подтвердите цвет и сообщение значка безопасной загрузки.

  5. (Вариант 1) Зеленый цвет означает, что система полностью обновлена ​​с использованием последних сертификатов и загрузочных компонентов.

    Как проверить наличие обновленных сертификатов Secure Boot на вашем компьютере в Windows 11 и 10.

  6. (Вариант 2) Жёлтым цветом обозначено, что обновление ожидается или ограничено из-за проблем совместимости.

    Как проверить наличие обновленных сертификатов Secure Boot на вашем компьютере в Windows 11 и 10.

  7. (Вариант 3) Красный цвет означает, что система не может применить необходимые обновления и нуждается во вмешательстве.

    Как проверить наличие обновленных сертификатов Secure Boot на вашем компьютере в Windows 11 и 10.

После выполнения этих шагов у вас появится более ясное понимание того, нужно ли ничего не предпринимать или же необходимо вручную обновить прошивку системы до более новой версии сертификатов Secure Boot.

Сообщение, которое вы увидите в приложении «Безопасность Windows», связано с обновлениями сертификатов, распространяемыми через Центр обновления Windows. Система оценивает совместимость микропрограммного обеспечения, проверяет развертывание сертификата и сообщает о результате в режиме реального времени.

Компания Microsoft постепенно распространяет это обновление через приложение «Центр обновления Windows». Если вы не можете определить состояние сертификатов, воспользуйтесь вариантом с PowerShell.

Кроме того, начиная с мая 2026 года, уведомления на системном уровне будут отражать эти состояния, повышая прозрачность в ситуациях, когда требуется принятие мер.

Оставить комментарий

Как скачать ISO-файл Windows 11 24H2

Как скачать ISO-файл Windows 11 24H2

Чтобы загрузить ISO-файл Windows 11 24H2, откройте страницу Microsoft, выберите опцию «Образ», укажите язык и нажмите «Загрузить 64-битную версию».

Как избежать оплаты обновлений после прекращения поддержки Windows 10 в 2025 году

Как избежать оплаты обновлений после прекращения поддержки Windows 10 в 2025 году

Чтобы избежать дополнительных расходов в размере 30 долларов на обновления безопасности для продолжения использования Windows 10, лучше всего обновить систему до Windows 11 как на поддерживаемых, так и на неподдерживаемых компьютерах.

Microsoft заявляет, что в Windows 11 грядёт «нечто грандиозное».

Microsoft заявляет, что в Windows 11 грядёт «нечто грандиозное».

В четверг Microsoft объявит о важном событии для Windows 11, намекнув на появление в операционной системе голосового управления с использованием искусственного интеллекта.

Как создать загрузочный USB-накопитель с Windows 11 для неподдерживаемого оборудования

Как создать загрузочный USB-накопитель с Windows 11 для неподдерживаемого оборудования

Устанавливаете Windows 11 на неподдерживаемое оборудование? Узнайте, как создать загрузочный USB-накопитель с помощью Rufus или Ventoy, чтобы обойти ограничения TPM и Secure Boot.

Как принудительно обновить Windows 11 с версии 24H2 до версии 25H2

Как принудительно обновить Windows 11 с версии 24H2 до версии 25H2

Для обновления с Windows 10 24H2 до 25H2 воспользуйтесь функцией «Загрузить и установить» в Центре обновления Windows или установите обновление KB5054156 вручную.

Сборка 26300.7674 (KB5074170) для Windows 11 сосредоточена на исправлении ошибок, а не на добавлении новых функций (Dev)

Сборка 26300.7674 (KB5074170) для Windows 11 сосредоточена на исправлении ошибок, а не на добавлении новых функций (Dev)

(KB5074170) Сборка Windows 11 26300.7674 распространяется среди участников программы Windows Insider и содержит исправления для проводника, меню «Пуск», поиска, проблем с графикой и известных ошибок.

Как включить BitLocker в Windows 11

Как включить BitLocker в Windows 11

Чтобы включить BitLocker в Windows 11, откройте параметры хранилища, параметры BitLocker и активируйте эту функцию. Для съемных дисков используется BitLocker To Go.

Как найти ключ восстановления BitLocker в Windows 11

Как найти ключ восстановления BitLocker в Windows 11

Чтобы найти ключ восстановления BitLocker на вашем ПК в Windows 11 (или 10), войдите в свою учетную запись Microsoft в сети и подтвердите восстановление на странице «Устройства».

Как создать загрузочный USB-накопитель с Windows 11 (или 10) из macOS

Как создать загрузочный USB-накопитель с Windows 11 (или 10) из macOS

Создать установочный USB-накопитель для Windows 11 (или 10) из macOS на удивление сложно, но это возможно. Вот как это сделать.

Поддержка Microsoft Edge для Windows 10 прекратится в октябре 2028 года.

Поддержка Microsoft Edge для Windows 10 прекратится в октябре 2028 года.

Обновления для Microsoft Edge в Windows 10 будут продолжаться как минимум до октября 2028 года, то есть значительно дольше, чем официальное прекращение поддержки ОС в 2025 году.