Миллионы ПК могут потерять защиту Windows: Microsoft назвала дедлайн критического обновления

Что такое Secure Boot и почему меняются ключи?

Secure Boot (Безопасная загрузка) - отраслевой стандарт защиты, который гарантирует, что при включении компьютера загружается только доверенное программное обеспечение, одобренное производителем оборудования (OEM).

Система работает на базе строгой иерархии цифровых ключей в прошивке материнской платы. Она сверяет подписи драйверов, EFI-приложений и загрузчика ОС со специальной базой данных (DB), а также проверяет "черный список" скомпрометированных программ (DBX).

Первые сертификаты были заложены в прошивки еще в 2011 году сроком на 15 лет. В июне 2026 года их криптографическое действие завершается.

Чтобы сохранить цепочку доверия, ОС должна записать в UEFI новые сертификаты "Windows UEFI CA 2023", после чего Windows начнет использовать загрузчик, подписанный свежими ключами.

Что будет, если игнорировать дедлайн июня 2026 года?

Инженеры Microsoft успокоили пользователей: если компьютер не получит обновленные сертификаты до указанного срока, он не превратится в "кирпич" и продолжит загружаться в штатном режиме. Однако безопасность системы начнет необратимо деградировать.

Во-первых, произойдет прекращение критических апдейтов загрузчика. Microsoft физически больше не сможет подписывать низкоуровневые исправления старым ключом 2011 года, поэтому компьютеры без сертификатов 2023 года перестанут получать патчи для загрузочных файлов.

Во-вторых, появится уязвимость перед руткитами (класс скрытого вредоносного ПО которое получает административные привилегии в ОС и использует их для маскировки своего присутствия и других вредоносных программ). Устройства не смогут обновлять базы данных DBX, что оставит их беззащитными перед новыми вредоносными программами, которые атакуют ПК до запуска самой ОС.

Кроме того, это заблокирует установку будущих версий Windows, поскольку новые инсталляторы начнут требовать наличие свежих ключей.

Особенности установки и совместимость с BitLocker

Процесс обновления прошивки происходит автоматически через накопительные пакеты Windows Update (LCU) и управляемые развертывания (CFR).

Пользователи могут заметить, что во время установки компьютер перезагружается несколько раз подряд - это нормальное поведение системы, необходимое для поэтапной закладки сертификатов, их активации в UEFI и перезапуска нового загрузчика.

В Microsoft отметили, что этот алгоритм полностью совместим с шифрованием BitLocker и средой Virtual Secure Mode (VSM).

Приостанавливать шифрование дисков вручную не нужно - система автоматически переназначает ключи доступа во время перезагрузок. В то же время на устаревших ПК с Legacy BIOS или отключенным в настройках Secure Boot обновление будет автоматически игнорироваться, чтобы избежать повреждения загрузочных секторов.

Как проверить статус безопасной загрузки на своем ПК?

Начиная с весенних обновлений Windows 11, пользователи могут самостоятельно отслеживать готовность своего железа. Для этого необходимо перейти по пути: Безопасность Windows -> Безопасность устройства -> раздел Безопасная загрузка.

Система будет отображать один из трех статусов:

Зеленая галочка: все сертификаты успешно обновлены и применены, и ПК готов к дедлайну.

Желтый восклицательный знак: новые ключи доставлены на ПК, но еще не записаны в прошивку (часто устройство ожидает плановой перезагрузки).

Красный значок остановки: обновление заблокировано из-за несовместимости или аппаратных ограничений материнской платы. В таком случае приложение предоставит инструкции для исправления конфигурации BIOS.

Для корпоративных сетей Microsoft рекомендует не применять принудительную политику обновления ключей "вслепую" ко всему парку машин, а предварительно тестировать ее на отдельных группах устройств из-за возможных конфликтов с уникальными настройками материнских плат от разных OEM-производителей.

Следующее плановое обновление корневых сертификатов безопасности рассчитано до 2038 года, когда индустрия начнет массовый переход на постквантовую криптографию.