В начале 2024 года Microsoft объявила об обновлении ключей Secure Boot, поскольку к 2026 году им исполнится 15 лет и срок их действия истечёт. В июне прошлого года компания представила график изменений. Тогда технологический гигант сообщил, что новые сертификаты будут установлены на ПК пользователей через Центр обновления Windows. Их выпустили в рамках февральских обновлений Patch Tuesday 2026 года.

Это последние обновления для Windows (Windows 11 KB5077181, KB5075941 | Windows 10: KB5075912). Microsoft заявляет, что новые сертификаты должны быть установлены до июня 2026 года.

Для удобства компания также опубликовала статью поддержки, которая по сути является разделом часто задаваемых вопросов (FAQ). Microsoft разместила эту статью в сентябре прошлого года, но по какой-то непонятной причине удалила важную информацию с основной страницы. В более ранней версии статьи было несколько ответов по поводу того, что произойдёт, если компоненты загрузки не будут обновлены вовремя. 

Так, если сертификаты Secure Boot не будут обновлены до истечения срока их действия, компьютер всё равно будет запускать Windows в обычном режиме, но перестанет получать определённые обновления безопасности, включая апдейты для загрузчика и компонентов Secure Boot. Это поставит устройство под угрозу появления BootKit, которые могут получить полный контроль над компьютером.

Эта информация является ключе��ой для понимания того, почему обновления Secure Boot необходимы для системы, но Microsoft, возможно, посчитала разделы с разъяснениями избыточными и удалила их из FAQ.

Впоследствии информацию всё же восстановили, улучшив презентацию и расширив описание. Теперь это самый популярный вопрос в FAQ, который звучит так: «Вопрос 1: Что произойдет, если мое устройство не получит новые сертификаты Secure Boot до истечения срока действия старых?».

Ответ тоже выглядит более развёрнутым: «После истечения срока действия сертификатов Secure Boot устройства, не получившие новые сертификаты 2023 года, будут продолжать запускаться и работать в обычном режиме, а стандартные обновления Windows будут продолжать устанавливаться. Однако эти устройства больше не смогут получать новые средства защиты для процесса ранней загрузки, включая обновления диспетчера загрузки Windows, баз данных Secure Boot, списков отзыва или меры по устранению вновь обнаруженных уязвимостей на уровне загрузки. Со временем это ограничивает защиту устройства от новых угроз и может повлиять на сценарии, которые зависят от доверия Secure Boot, такие как усиление защиты BitLocker или сторонние загрузчики. Большинство устройств Windows получат обновлённые сертификаты автоматически, и многие производители оборудования предоставляют обновления прошивки по мере необходимости. Поддержание вашего устройства в актуальном состоянии с помощью этих обновлений помогает гарантировать, что оно сможет продолжать получать полный набор средств защиты, которые обеспечивает Secure Boot».

Обновленный раздел часто задаваемых вопросов (FAQ) можно найти на веб-сайте Microsoft.

Ранее Microsoft упростила для администраторов мониторинг состояния Secure Boot на устройствах Windows в масштабах всей компании.