Часто задаваемые вопросы о переходе на безопасную загрузку

Summary: В этой статье представлена информация по часто задаваемым вопросам об истечении срока действия сертификатов безопасной загрузки.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Затронутые операционные системы:

  • Windows

Содержание

Общие сведения.

  • Что такое переход на ключи безопасной загрузки?
    • Срок действия текущих сертификатов безопасной загрузки Microsoft 2011 истекает в июне 2026 г. Они будут заменены новой цепочкой сертификатов 2023: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
  • Требуются ли сертификаты 2023 для установки Windows 11 25H2?
    • Нет. Устройства могут устанавливать 25H2 с помощью сертификатов 2011.
  • Что произойдет, когда истечет срок действия текущего сертификата безопасной загрузки?
    • Компьютер по-прежнему может загрузиться. Однако при наличии сертификата с истекшим сроком действия компьютер не может получать будущие обновления для загрузчика или безопасной загрузки.
  • Какова стратегия использования двух сертификатов Dell?
    • Чтобы упростить переход, компания Dell начала поставлять сертификаты 2011 и 2023 на недавно запущенных платформах в конце 2024 года, а к концу 2025 года — на всех поддерживающих платформах, поставляемых с заводов Dell. Это позволяет корпоративным заказчикам с более старыми образами загружать образы, подписанные любым из двух сертификатов.
  • В чем разница между базами данных активной безопасной загрузки и безопасной загрузки по умолчанию?
    • База данных активной безопасной загрузки — это база данных, которую компьютер использует во время запуска для проверки доверенного программного обеспечения. База данных безопасной загрузки по умолчанию — это набор резервных копий исходных доверенных ключей, которые при необходимости можно восстановить.
      Если коротко:
      • Активная: В настоящее время применяется (обычно обновляется из Центра обновления Windows)
      • По умолчанию: Версия сброса до заводских настроек, не используется кроме случаев восстановления (обновляется с помощью обновления BIOS)
      Примечание. Важно, чтобы база данных безопасной загрузки по умолчанию была обновлена до сертификатов 2023. В противном случае при переключении на Экспертный режим ключей активные переменные, поступающие из Центра обновления Windows, могут быть удалены.
  • Как обновляется активная база данных?
    • Активную базу данных можно обновить с помощью Центра обновления Windows. Это позволяет избежать прерывания работы функций безопасности, таких как BitLocker. Однако, если использование Центра обновления Windows не является доступным вариантом, а заказчик — экспертный пользователь, активную базу данных можно перезаписать с помощью команды в BIOS для сброса ключей. Дополнительные сведения см. в статье Как обновить активную базу данных безопасной загрузки из BIOS.
  • Как обновляется база данных по умолчанию?
    • База данных по умолчанию обновляется с помощью BIOS FLASH.
  • Что произойдет, когда истечет срок действия текущего сертификата безопасной загрузки?
    • Компьютер по-прежнему может загрузиться. Однако при наличии сертификата с истекшим сроком действия компьютер не может получать будущие обновления для загрузчика или безопасной загрузки.

В начало

Компьютеры и обновления Dell.

  • Какие компьютеры Dell получают обновления BIOS?
    • Dell обновляет:
      • Потребительские и коммерческие платформы, обслуживание которых будет прекращено (EOSL) после 31 декабря 2025 г., доставляемые с заводов Dell или установленные у заказчика
    • Dell не обновляет:
      • Платформы с EOSL до 1 января 2026 г. Это означает, что, хотя Microsoft может сделать новые сертификаты доступными, BIOS на этих старых компьютерах может не поддерживать или не хранить их, особенно если включена функция безопасной загрузки или сброшены настройки BIOS по умолчанию.
  • Что делает Dell для снижения воздействия на заказчиков?
    • Предоставляет обновления BIOS для поддерживаемых платформ на конец 2025 г.
    • Согласовывает инструменты восстановления с Microsoft
    • Публикует статьи базы знаний
    • Обновляет загрузочные носители
  • А что касается влияния на графические карты сторонних производителей и компьютеры под управлением Linux?
    • Корпорация Microsoft создала два новых сторонних CA 2023 для замены стороннего CA 2011, срок действия которого истекает. Другими словами, Microsoft Corporation UEFI CA 2011 был разделен на Microsoft UEFI CA 2023 (для загрузчиков) и Microsoft Option ROM UEFI CA 2023 (для Option ROM). И в Microsoft Hardware Device Center (HDC) уже внесены обновления для поддержки подписи драйверов сторонних производителей, которым требуются эти новые CA 2023. Несмотря на то, что партнеры могут начать подписывать с помощью новых CA 2023 в октябре 2025 г., Microsoft и OEM-производители продолжают поддерживать существующий UEFI CA 2011 корпорации Microsoft до тех пор, пока экосистема не будет иметь достаточно времени для перехода на новые CA 2023.
  • Каким образом корпоративный заказчик может получить новый сертификат 2023 для своего текущего парка устройств?
    • Корпоративные заказчики могут разрешить Microsoft управлять обновлениями на своих устройствах с помощью Центра обновления Windows (WU) или самостоятельно вручную применить обновления к устройствам в парке. Подробные сведения о втором способе можно найти здесь: Устройства Windows с обновлениями, управляемыми ИТ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies., кроме того, Dell отправляет обновления BIOS на устройства, находящиеся в эксплуатации, что можно использовать для заполнения активной базы данных. Инструкции можно найти в разделе Как обновить активную базу данных безопасной загрузки из BIOS.
  • Существуют ли какие-либо конкретные требования к оборудованию для получения этого сертификата?

В начало

Сообщения и руководства для заказчиков.

  • Как Dell сообщает об этом заказчикам?
  • Что теперь должны сделать корпоративные заказчики?
  • Как заказчик может определить, какой у него сертификат: 2011 или 2023?
    • Microsoft планирует добавить уведомления в Windows для конечных пользователей. Кроме того, пользователи могут выполнить следующую команду PowerShell, чтобы узнать, какой у них CA: 2011 или 2023 (методология будет доступна в следующей статье базы знаний).
  • Как заказчик может узнать, что срок действия сертификата истек или скоро истечет?
    • Компьютеры с любым из трех сертификатов (CA), срок действия которых истекает в 2026 г.
      CA 2011 Дата истечения срока действия
      Microsoft Corporation KEK CA 2011 24 июня 2026 г.
      Microsoft Windows Production PCA 2011 19 октября 2026 г.
      Microsoft Corporation UEFI CA 2011 27 июня 2026 г.
  • Если у заказчика есть сертификат 2023, нужно ли ему предпринимать какие-либо действия?
    • Нет. Если присутствуют сертификаты Windows UEFI CA 2023 и Microsoft Corporation KEK 2K CA 2023, никаких дальнейших действий не требуется.
  • Может ли заказчик перейти к использованию сертификата 2023, если на его устройствах установлена ОС Windows 10, и он уже выполнил или собирается выполнить расширенные обновления безопасности (ESU)?
    • Да, корпорация Microsoft обновляет активные сертификаты для устройств с ОС Windows 11 на месте установки и будет обновлять устройства с ОС Windows 10, если устройство:
      • Работает под управлением Windows LTSC 2021
      • Имеет активированную лицензию ESU

В начало

Влияние и восстановление.

  • Каково влияние сертификата с истекшим сроком действия?
    • После истечения срока действия сертификатов безопасной загрузки (начиная с июня 2026 г.) компьютеры продолжают загружаться (с включенной функцией безопасной загрузки). Однако компьютер больше не получает обновления для компонентов диспетчера загрузки Windows безопасной загрузки через Центр обновления Windows, что ставит его в уязвимое положение с точки зрения безопасности.
  • Что произойдет, если функция безопасной загрузки отключена или переключена на устройстве?
    • Иногда отключение безопасной загрузки может стереть все активные переменные UEFI, что означает, что все CA 2023, уже используемые на устройстве, могут быть удалены (а затем заменены более старыми CA 2011 из микропрограммы по умолчанию, если она никогда не обновлялась). На устройствах Dell это происходит, если пользователь выбирает параметр Экспертный режим ключей в меню BIOS. В этом случае активные переменные извлекаются из микропрограммы по умолчанию.
      Примечание. Если на устройстве включен BitLocker, может появиться запрос на ввод ключа восстановления BitLocker.
  • Какие инструменты доступны для восстановления?
    • Microsoft выпустила инструмент для восстановления вручную, но он имеет ограничения. Автоматизированные инструменты для помощи заказчикам все еще разрабатываются.

В начало

Расходы и продолжительность.

  • Есть ли расходы, связанные с новыми сертификатами?
    • Получение сертификатов 2023 с помощью Центра обновления Windows не требует прямой оплаты, а CA 2023 уже доступны бесплатно в разделе Руководство по созданию ключей безопасной загрузки Windows и управлению ими Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.. Однако обновление BIOS для устройств, не находящихся в эксплуатации, может потребовать ручного вмешательства или обращения в службу поддержки, что может привести к дополнительным расходам в зависимости от соглашений о поддержке.
  • Какова продолжительность нового сертификата?
    • Сертификаты 2023 действительны в течение 15 лет, то есть до 2038 года.

В начало

Article Properties
Article Number: 000390990
Article Type: How To
Last Modified: 14 Jan 2026
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.