В Windows 11 и Windows 10 Microsoft постепенно проверяет и обновляет сертификаты Secure Boot посредством стандартных системных обновлений. В большинстве случаев вам достаточно устанавливать ежемесячные обновления безопасности , чтобы ваше устройство было готово к работе до крайнего срока в июне 2026 года.
Однако, если вы хотите самостоятельно проверить или применить новые сертификаты Secure Boot 2023 года, вы можете выполнить этот процесс вручную. В этом руководстве описаны все необходимые шаги.
Secure Boot — это функция безопасности на уровне встроенного ПО, интегрированная в унифицированный расширяемый интерфейс прошивки (UEFI). Она гарантирует, что устройство запускается только с программным обеспечением, имеющим цифровую подпись и доверенным утвержденными центрами сертификации. Проверяя загрузчики и компоненты встроенного ПО до загрузки операционной системы, Secure Boot помогает предотвратить компрометацию процесса запуска руткитами и другими вредоносными программами низкого уровня.
Для обеспечения такой защиты функция Secure Boot использует криптографические ключи, известные как центры сертификации (ЦС). Эти ключи устанавливают цепочку доверия между микропрограммой и операционной системой, блокируя неподписанный или измененный код на ранних этапах загрузки.
Как и все цифровые сертификаты, центры сертификации Secure Boot имеют сроки действия. Срок действия оригинальных сертификатов 2011 года истекает в июне 2026 года. Для предотвращения ошибок проверки доверия, проблем с загрузкой или возможных перебоев в получении будущих обновлений системам необходимо установить обновленные сертификаты 2023 года до этой даты.
Компьютеры, выпущенные в 2024 году или позже, обычно поставляются с уже установленными сертификатами 2023 года. Для более старого оборудования Microsoft предоставляет обновленные сертификаты через Центр обновления Windows в рамках текущего обслуживания безопасности, но вы также можете установить и заменить новые сертификаты вручную.
В этом руководстве я опишу простые шаги по проверке и ручному обновлению сертификатов Secure Boot на вашем устройстве с Windows 11.
Важно: Хотя это неразрушающий процесс, все же рекомендуется сделать полную резервную копию вашего компьютера перед продолжением. Вы предупреждены.
Установите сертификаты Secure Boot 2023 на Windows 11.
Если BitLocker активен, необходимо временно отключить шифрование в PowerShell ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) перед тем, как микропрограмма сможет успешно записать новые ключи на устройство. Кроме того, перед продолжением убедитесь, что ваш компьютер полностью обновлен до обновления безопасности за февраль 2026 года (KB5077181) или более поздней версии.
Чтобы обновить сертификаты Secure Boot до истечения срока их действия в 2026 году, выполните следующие действия:
Откройте меню «Пуск» .
Найдите PowerShell (или Терминал ), щелкните правой кнопкой мыши по верхнему результату и выберите пункт « Запустить от имени администратора» .
Введите эту команду, чтобы подтвердить, что устройство использует UEFI с включенной функцией Secure Boot, и нажмите Enter :
Confirm-SecureBootUEFI
Краткое замечание: если результат — «True», вы можете продолжить выполнение описанных ниже шагов. В противном случае вам потребуется включить Secure Boot . Если вы используете Windows 10, вам, возможно, даже придётся переключиться с устаревшего BIOS на UEFI .
Введите эту команду, чтобы проверить срок действия сертификатов Secure Boot, и нажмите Enter :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(Вывод 1) Если вывод равен «True», значит, у вас есть новый сертификат (действителен до 2053 года). Остановитесь и не продолжайте.
(Вывод 2) Если вывод «False», скорее всего, у вас по-прежнему сертификат 2011 года (срок действия которого истекает в 2026 году). Продолжайте выполнение следующих шагов.
Введите эту команду, чтобы задать ключ реестра для развертывания всех необходимых сертификатов, и нажмите Enter :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Введите эту команду, чтобы вручную внести изменения в сертификат, и нажмите Enter :
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Перезагрузите компьютер один раз.
Перезагрузите устройство во второй раз и продолжите процесс проверки сертификатов.
Краткое замечание: для полного применения обновления обычно требуется две перезагрузки. После первой перезагрузки система обновляет менеджер загрузки. После второй завершает регистрацию сертификата в базе данных UEFI.
Откройте меню «Пуск» .
Найдите PowerShell (или Терминал ), щелкните правой кнопкой мыши по верхнему результату и выберите пункт «Запустить от имени администратора».
Введите эту команду, чтобы проверить, успешно ли завершилось обновление, и нажмите Enter :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
После выполнения этих шагов, если результат будет «True», новые сертификаты (действительные до 2053 года) успешно установлены на вашем компьютере. Если результат будет «False», сертификаты не были установлены корректно.
Важно отметить, что значение «True» подтверждает регистрацию центра сертификации 2023 года, но это не приводит к немедленному удалению сертификата 2011 года во всех случаях. В некоторых системах могут временно отображаться оба сертификата.
Если после завершения процесса результат по-прежнему отображается как «False», проверьте журнал событий > Журналы приложений и служб > Microsoft > Windows > SecureBoot-Update на наличие ошибок. Также убедитесь в существовании запланированной задачи, выполнив Get-ScheduledTask -TaskName "Secure-Boot-Update"команду.
После обновления, если вам пришлось отключить BitLocker, вы можете возобновить шифрование, выполнив соответствующую Resume-BitLocker -MountPoint "C:"команду, хотя -RebootCount 2оно автоматически возобновляется после двух перезагрузок.
Следует отметить, что сертификаты Secure Boot 2023 не берутся из ниоткуда. Microsoft включает новые сертификаты в обновления обслуживания Windows, обычно в составе накопительного обновления или обновления безопасности для Windows 11 и поддерживаемых устройств Windows 10.
На самом деле, компания использует новые сертификаты Secure Boot с момента выхода обновления безопасности в феврале 2026 года (и более поздних версий).
Эти сертификаты, известные как Windows UEFI CA 2023, имеют цифровую подпись Microsoft и считаются доверенными для системы Secure Boot.
Если сертификаты уже есть на вашем компьютере, эти инструкции помогут вам применить их немедленно, не дожидаясь автоматической обработки обновления системой.
Чтобы создать загрузочный USB-накопитель с Windows 11 24H2 с помощью Rufus, откройте программу, выберите «Открыть существующий» или «Загрузить ISO-образ» и выберите опцию «Создать собственный». Инструкция здесь.
Для загрузки ISO-файла Windows 11 можно использовать веб-сайт Microsoft, инструмент создания носителя (Media Creation Tool), Rufus и UUP Dump. Вот как это сделать.
Microsoft выпустила обновление Patch Tuesday за август 2025 года, содержащее изменения и исправления для Windows 10.
Приложение WhyNotWin11 лучше, чем Microsoft PC Health Check, помогает определить, почему ваш компьютер не может запустить Windows 11, включая поддержку TPM 2.0 и процессора.
Перед установкой Windows 11 следует проверить совместимость, включить TPM 2.0 и Secure Boot, создать резервную копию, удалить приложения, восстановить файлы и...
Функция Recall для Windows 11 — это функция искусственного интеллекта, которая отслеживает все ваши действия на компьютере и делает вашу активность доступной для поиска. Вот все, что вам нужно знать.
Чтобы переустановить Windows 11, откройте «Параметры» > «Система» > «Восстановление», нажмите «Переустановить сейчас» и «ОК» или воспользуйтесь опцией «Сбросить этот компьютер с сохранением файлов».
Приложение PC Manager для Windows 11 появилось на веб-сайте Microsoft, и это приложение поможет вам повысить производительность системы и обеспечить безопасность устройства.
Бесплатно повысьте производительность Windows 11 с помощью проверенных советов, без необходимости в дополнительном оборудовании или программном обеспечении. Научитесь ускорять работу своего ПК, используя встроенные инструменты.
Чтобы включить функцию Smart App Control в Windows 11, откройте приложение «Безопасность», перейдите в раздел «Управление приложениями и браузерами», выберите «Параметры Smart App Control» и включите эту функцию.
