Microsoft заменяет сертификаты Secure Boot, которым многие Windows-ПК доверяли с 2011 года. Два старых центра сертификации начинают истекать в июне 2026 года, а сертификат загрузки Windows следует за ними в октябре 2026 года.

Звучит так, будто к каждому компьютеру прикрепили таймер. На практике все спокойнее. Microsoft прямо объясняет, что неподдерживаемое состояние сертификатов не должно мгновенно остановить обычный ПК 1 июня 2026 года. Более реальный риск тише, но важнее: компьютер без обновления сертификатов 2023 года может потерять доступ к будущим защитам ранней загрузки, обновлениям Windows Boot Manager, спискам отзыва и изменениям носителей восстановления.

Поэтому правильная реакция — не паника. Правильная реакция — проверить состояние сейчас, обновиться безопасно и не сломать собственный путь восстановления.

Короткий ответ

Сначала сделайте это

Установите обновления Windows, перезагрузитесь и проверьте Windows Security

Большинство поддерживаемых домашних Windows-устройств должны получить сертификаты Secure Boot 2023 года через Windows Update. После обновления откройте Windows Security > Device security > Secure Boot и читайте текст статуса, а не только цвет значка.

Домашний ПК
Обычно достаточно обновиться и проверитьДержите Windows актуальной, перезагружайтесь по запросу и смотрите экран статуса сертификатов Secure Boot.
Рабочий ПК
Не чините самостоятельноЕсли устройством управляет работодатель или учебное заведение, раскатку должна контролировать IT-команда.
Малый офис
Сначала инвентаризацияСохраните ключи BitLocker, обновите прошивки, протестируйте по моделям и только потом отслеживайте статусы и события Microsoft.
Старое железо
Прошивка решает многоеЕсли производитель ПК не добавил поддержку сертификатов 2023 года, одна Windows может не справиться.

Не отключайте Secure Boot как “исправление”. Не сбрасывайте ключи Secure Boot и не форсируйте отзывы, если точно не понимаете зачем это делаете и не проверили, что ваши носители восстановления все еще загружаются.

Перестанет ли ПК работать в июне 2026 года

Для большинства поддерживаемых ПК с Windows 10/11 и Windows 11 ответ должен быть нет. Microsoft описывает истечение сертификатов 2026 года как переход в безопасности и обслуживании, а не как универсальную дату отказа загрузки.

Риск зависит от того, что компьютер должен уметь делать после истечения старых сертификатов:

Низкий риск

Поддерживаемый ПК с Windows 11, который нормально получает Windows Update, имеет свежую прошивку, Secure Boot включен, а Windows Security показывает, что нужные обновления сертификатов применены.

Нужно внимание

ПК месяцами не перезагружался, имеет старую BIOS/UEFI-прошивку, использует BitLocker, зависит от старой USB-флешки восстановления или показывает желтый/красный статус сертификатов Secure Boot.

Высокий риск

Управляемые парки устройств, старые самосборные ПК, неподдерживаемые Windows 10, PXE/WinPE-среды, dual boot, виртуальные машины или компьютеры, где OEM-прошивка не умеет принять обновления доверия 2023 года.

Искаженная версия этой истории звучит так: “Windows-ПК превратятся в кирпичи, когда сертификаты истекут”. Более полезная версия: компьютер, скорее всего, продолжит загружаться, но цепочка доверия ранней загрузки должна перейти с сертификатов 2011 года на сертификаты 2023 года, если вы хотите получать будущую защиту Secure Boot.

Реклама

Проверьте ПК за 5 минут

Начните с безопасных проверок. Они не меняют базы Secure Boot, ключи прошивки или состояние BitLocker.

1. Установите обновления Windows и перезагрузитесь

Откройте Settings > Windows Update, установите доступные накопительные и защитные обновления, затем перезагрузитесь, если Windows просит это сделать. Для многих поддерживаемых устройств Microsoft доставляет обновление сертификатов Secure Boot через обычное обслуживание Windows.

Если вы обычно откладываете перезагрузки, здесь это может скрыть реальное состояние. Несколько этапов Secure Boot-обновления проявляются только после перезапуска.

Это тот же скучный, но важный принцип обслуживания, который работает и в обычной цифровой гигиене: поддерживайте цепочку доверия до того, как она понадобится. Если вы приводите домашнюю технику в порядок шире, наше русское руководство по домашней кибербезопасности отлично закроет базовые вопросы цифровой гигиены.

2. Откройте экран статуса Secure Boot

Откройте Windows Security, затем Device security, затем Secure Boot.

Смотрите именно текст сообщения. Microsoft предупреждает, что одного зеленого значка недостаточно: полностью обновленное состояние должно прямо говорить, что нужные обновления сертификатов и обновленный Boot Manager применены.

Если Windows Security пишет, что обновления ожидают применения, снова установите обновления Windows и перезагрузитесь. Если экран говорит, что устройству нужна прошивка или действие производителя, идите на страницу поддержки вашего ПК, а не начинайте с правок реестра.

3. Убедитесь, что Secure Boot включен

Нажмите Win + R, введите msinfo32 и откройте System Information.

Проверьте эти строки:

ПолеЧто желательно увидетьЧто это значит
BIOS ModeUEFISecure Boot зависит от загрузки UEFI, а не от legacy BIOS.
Secure Boot StateOnSecure Boot сейчас включен.
PCR7 ConfigurationОбычно Binding Possible или BoundПолезный контекст для шифрования устройства и BitLocker, но не полноценная проверка статуса сертификатов.

Этот экран подтверждает состояние Secure Boot. Он не доказывает, что все сертификаты 2023 года уже установлены.

4. Дополнительная проверка PowerShell

Откройте PowerShell от имени администратора и выполните:

Confirm-SecureBootUEFI

True означает, что Secure Boot включен. False означает, что он выключен. Ошибка обычно означает, что команда не может прочитать UEFI Secure Boot на этой платформе.

Это полезная проверка, но не вся история. Готовность сертификатов лучше смотреть через статус Windows Security, административные значения Microsoft и журналы событий.

Какой путь подходит вам

Домашний ПК с Windows 11
Обновить, перезагрузить, проверитьИспользуйте Windows Update и Windows Security. BIOS/UEFI обновляйте через OEM только если Windows или производитель явно указывает на проблему прошивки.
ПК с Windows 10
Сначала проверить поддержкуОбычная поддержка Windows 10 закончилась 14 октября 2025 года, если устройство не подключено к Extended Security Updates. На неподдерживаемой системе слабее рассчитывать на будущее обслуживание Secure Boot.
Машина с Windows 7
Считать legacy-рискомНе ждите, что обновление сертификатов Secure Boot 2026 года спасет ее через Windows Update. Планируйте миграцию, изоляцию или замену на поддерживаемое решение.
Ноутбук работодателя или школы
Сначала спросить ITНа управляемых устройствах уведомления Secure Boot могут скрываться политиками, а развертывание идти через staged deployment.
Самосборный ПК
Проверить заметки BIOS платыИщите в релиз-нотах ASUS, MSI, Gigabyte, ASRock или другого производителя слова UEFI, Secure Boot, Windows UEFI CA 2023.
Dual boot или Linux
Обновить обе стороныДержите актуальными Windows, прошивку и пакеты boot/shim вашего Linux-дистрибутива. Не отзывайте старое доверие широко, пока не знаете, что не-Windows путь готов.
Небольшой парк ПК
Пилотировать по группам железаСохраните ключи BitLocker, соберите версии прошивок, протестируйте представительные модели, затем разворачивайте и мониторьте события.

Что именно истекает

Secure Boot — это система доверия на уровне прошивки. До запуска Windows UEFI-прошивка проверяет, подписаны ли ранние компоненты загрузки доверенными центрами сертификации. Эти базы доверия живут в прошивке и NVRAM, а не просто в папке Windows.

Упрощенная схема выглядит так:

Схема: UEFI-прошивка использует KEK, DB и DBX для проверки Windows Boot Manager перед запуском.
Secure Boot — это цепочка решений доверия в прошивке, а не просто переключатель Windows.

Старые сертификаты 2011 года заменяются сертификатами 2023 года:

НазначениеСтарый сертификатЗаменаСрок давления
Разрешает обновления баз Secure BootMicrosoft Corporation KEK CA 2011Microsoft Corporation KEK 2K CA 2023Июнь 2026
Доверяет Windows Boot ManagerMicrosoft Windows Production PCA 2011Windows UEFI CA 2023Октябрь 2026
Доверяет сторонним UEFI-приложениям и загрузчикамMicrosoft UEFI CA 2011Microsoft UEFI CA 2023Июнь 2026
Доверяет option ROM, например некоторым компонентам загрузки устройствMicrosoft UEFI CA 2011Microsoft Option ROM UEFI CA 2023Июнь 2026

Структура 2023 года точнее. Вместо одного старого UEFI CA для нескольких задач Microsoft разделяет доверие к загрузке Windows, сторонним EFI-приложениям и option ROM-компонентам.

Реклама

Почему рядом всплывают BlackLotus и KB5025885

В этой теме часто смешивают две связанные истории:

  1. Обновление сертификатов 2026 года. Старые центры сертификации Secure Boot истекают, поэтому ПК нужна цепочка доверия 2023 года.
  2. Усиление защиты CVE-2023-24932 / BlackLotus. Microsoft также готовила отзывы и изменения Boot Manager, чтобы блокировать уязвимые подписанные загрузчики, которыми пользуются bootkit-атаки.

Они связаны, потому что обе истории касаются баз доверия Secure Boot и подписей Boot Manager. Но это не одна и та же задача.

Практическая разница важна. Проверить наличие сертификатов 2023 года — разумный шаг для домашнего пользователя. Форсировать DBX-отзывы или enterprise-сценарии через реестр без подготовки — уже риск: можно сломать старые носители восстановления, WinPE, PXE, dual boot или установочные флешки. Microsoft документирует процесс отзывов для CVE-2023-24932 отдельно, и сроки постоянного принудительного применения нужно считать управляемыми Microsoft, а не угадывать по форумам.

Чего не делать

Не отключайте Secure Boot и не называйте это решением

Так вы прячете проблему статуса и ослабляете защиту ранней загрузки.

Не сбрасывайте ключи Secure Boot наугад

Некоторые старые настройки прошивки по умолчанию могут не содержать сертификаты 2023 года. После перехода Windows на Boot Manager с подписью 2023 года такой сброс может создать проблему загрузки.

Не форсируйте отзывы сначала на рабочем парке

Старые WinRE, WinPE, PXE, установочные USB и dual-boot загрузчики могут перестать работать, если все еще зависят от компонентов с подписью 2011 года.

Не игнорируйте BitLocker

Сохраните ключи восстановления до работы с прошивкой или Secure Boot. Если изменение вызовет recovery prompt, ключ должен быть под рукой.

BitLocker, носители восстановления и установочные USB

BitLocker и Secure Boot тесно связаны. Для безопасности это хорошо, но изменения прошивки и цепочки доверия могут вызвать запрос ключа восстановления.

Перед изменением BIOS/UEFI, сбросом ключей Secure Boot или администраторским обслуживанием Secure Boot сохраните ключ восстановления BitLocker. На многих ПК с Windows 11 путь выглядит так: Settings > Privacy & security > Device encryption > BitLocker drive encryption.

Или войдите на страницу ключей восстановления учетной записи Microsoft, если устройство хранит ключ там.

Для малого офиса ключи нужно экспортировать и проверить до пилота, а не после первой проблемной перезагрузки.

Носители восстановления — второй капкан. Установочная флешка Windows, образ WinRE, WinPE-носитель или PXE-образ, созданные до перехода Boot Manager на 2023 год, могут не загрузиться после отдельных шагов отзыва. Администраторам стоит пересобрать или обновить recovery media актуальными инструментами Windows до широкого развертывания. Домашним пользователям лучше заново создать установочный или восстановительный USB из текущих инструментов Microsoft, а не держать старую флешку как единственный спасательный путь.

Прошивка OEM: когда важен производитель ПК

Windows Update может доставить многое, но базы Secure Boot в итоге живут в прошивке. Если прошивка не может принять нужные обновления, Windows может показать заблокированное или ограниченное состояние.

Для ноутбуков и десктопов крупных производителей практический путь такой:

ПроизводительПрактический следующий шаг
DellПроверьте Dell Update/SupportAssist и страницу поддержки модели. В исходном материале отмечено, что клиентские BIOS-обновления Dell после 1 января 2026 года должны включать сертификаты 2023 года.
HPИспользуйте HP Support Assistant или страницу поддержки модели и ищите BIOS/UEFI-обновления, связанные с сертификатами Secure Boot.
LenovoИспользуйте Lenovo Vantage или страницу поддержки; для корпоративных моделей смотрите заметки о Windows Boot Manager и WinPE.
ASUSASUS обычно рекомендует Windows Update как предпочтительный путь; ручной BIOS/сброс ключей нужен в основном там, где Windows не может получить или применить обновление.
Самосборная платаПроверьте точную модель платы и заметки BIOS. Ищите Windows UEFI CA 2023, Secure Boot certificate, UEFI CA, KEK, DB, DBX или BlackLotus.

Ставьте прошивку только от производителя устройства или материнской платы. Случайные “BIOS updater” утилиты — не короткий путь.

Владельцам самосборных ПК лучше воспринимать это как часть поддержки материнской платы, а не как обычный флажок Windows.

Чеклист для малого офиса и IT

Если вы управляете больше чем несколькими ПК, не относитесь к этому как к одной потребительской кнопке. Это rollout рядом с прошивкой.

  1. Соберите модели, версии BIOS/UEFI, состояние Secure Boot и статус поддержки Windows.
  2. Убедитесь, что ключи восстановления BitLocker сохранены и реально доступны.
  3. Обновите прошивки сначала для тех групп железа, где это нужно.
  4. Проведите пилот хотя бы на нескольких устройствах каждой модели/категории прошивки.
  5. Используйте документированные Microsoft статусы и события для проверки прогресса.
  6. Пересоберите или проверьте WinRE, WinPE, установочные USB и PXE-образы.
  7. Опишите rollback и recovery-шаги до широких отзывов, а не во время аварии.

Microsoft описывает enterprise-запуск через AvailableUpdates, задачу \Microsoft\Windows\PI\Secure-Boot-Update и статусы в HKLM\SYSTEM<wbr>CurrentControlSet<wbr>Control<wbr>SecureBoot<wbr>Servicing.

Не вставляйте enterprise-команды реестра в случайные домашние ПК только потому, что кто-то написал на форуме, что “сработало”. Microsoft отмечает, что обслуживание Secure Boot может занимать время, требовать перезагрузок и блокироваться прошивкой, состоянием BitLocker или отсутствующими prerequisites.

Полезный источник System log для администраторов:

TPM-WMI

Полезные Event ID:

Event IDСмысл простыми словами
1036Обновление Secure Boot DB применено.
1043Обновление KEK применено.
1044Установлен Microsoft Option ROM UEFI CA 2023.
1045Установлен Microsoft UEFI CA 2023.
1799Установлен Windows Boot Manager с подписью 2023 года.
1800Требуется перезагрузка.
1801Обновленные сертификаты еще не применены к прошивке.
1802Блокировка из-за известной проблемы прошивки.
1803Отсутствует KEK, подписанная OEM PK; Microsoft указывает, что Windows не может обойти некоторые такие случаи.
1808Состояние полностью обновлено.

Windows 10, Windows 7 и старые ПК

Обычная потребительская поддержка Windows 10 закончилась 14 октября 2025 года. Некоторые пользователи и организации могут продолжать через Extended Security Updates, но неподдерживаемый Windows 10-ПК — плохая опора для будущего обслуживания цепочки загрузки.

Если вы на Windows 10:

  • проверьте, подключено ли устройство к ESU или иначе получает обновления безопасности;
  • установите все доступные servicing updates и перезагрузитесь;
  • проверьте, включен ли Secure Boot и что Windows Security говорит о сертификатах;
  • обновите прошивку от OEM, если устройство еще поддерживается;
  • составьте план ухода с неподдерживаемого железа или ПО, если ПК не может получить нужное обслуживание Windows или прошивки.

Для очень старого ПК, который не может запустить Windows 11 и уже не имеет нормальной поддержки OEM-прошивки, честным ответом может быть замена, а не обход через реестр.

Если у вас все еще Windows 7

Windows 7 — другая история, не такая как Windows 10 или Windows 11. Обычная поддержка Windows 7 закончилась 14 января 2020 года, а основной Extended Security Updates закончился 10 января 2023 года. В реальности могут оставаться встроенные, медицинские, промышленные или кассовые системы, но это не делает их хорошими кандидатами для обычного обновления Secure Boot через Windows Update.

Для машины с Windows 7 используйте такое правило:

Не включайте Secure Boot наугад

Многие установки Windows 7 используют legacy BIOS/CSM или старые предположения UEFI-загрузки. Включение Secure Boot или сброс ключей прошивки может оставить систему без загрузки.

Не считайте ее защищенной только из-за современной прошивки

Материнская плата или ноутбук могут получить новые firmware-сертификаты, но неподдерживаемая Windows 7 все равно не получает актуальное обслуживание безопасности Windows.

Составьте план замены или изоляции

Если машина управляет станком, кассой, лабораторным устройством или старым бизнес-приложением, задокументируйте ее роль, сделайте резервную копию, изолируйте от интернета и планируйте поддерживаемую замену.

Практический чеклист для Windows 7:

  1. Сделайте полный образ диска и проверьте путь восстановления до любых изменений прошивки.
  2. Не меняйте Secure Boot, CSM, UEFI mode или TPM, если не тестировали точный путь загрузки на запасном железе или клонированном диске.
  3. Уберите с этой машины обычный веб-браузинг, почту и ежедневную пользовательскую работу.
  4. Переведите ее в ограниченную сеть/VLAN или держите офлайн, если процесс позволяет.
  5. Используйте firewall allowlist только для серверов или устройств, к которым она обязана обращаться.
  6. Замените неподдерживаемые инструменты удаленного доступа и заблокируйте входящие подключения, где возможно.
  7. Спросите поставщика ПО или оборудования о поддерживаемом пути ОС; для старого промышленного оборудования это может быть vendor image, план VM или замена железа.

Если машина достаточно важна, чтобы “просто обновить” было нереалистично, она достаточно важна, чтобы считать ее операционным риском, а не обычным домашним ПК.

Linux dual boot, PXE и виртуальные машины

Системы dual boot требуют больше осторожности, чем ПК только с Windows. Многие Linux-дистрибутивы используют Microsoft-signed shim bootloader, чтобы участвовать в Secure Boot. Переход к компонентам с подписью 2023 года зависит от дистрибутива, пакета shim и базы доверия в прошивке.

Практический подход:

  • обновите Windows и Linux-дистрибутив до изменения доверия Secure Boot;
  • проверьте guidance вашего дистрибутива по Secure Boot/shim;
  • не применяйте широкие DBX-отзывы, пока не знаете, что оба пути загрузки работают;
  • держите актуальный recovery USB для каждой ОС.

PXE и WinPE похожи. Если сетевой загрузчик или deployment media все еще зависят от старых компонентов с подписью 2011 года, шаги отзыва могут их сломать.

Виртуальные машины тоже нужно проверить. Хосты и гости Hyper-V должны иметь актуальное обслуживание Windows для перехода сертификатов. Если вы управляете VMware или другой платформой виртуализации, прочитайте заметки поставщика до широкого применения отзывов Secure Boot.

Термины без тумана

ТерминПростое значениеПочему важно
Secure BootФункция UEFI, которая проверяет подписи загрузочного ПО до запуска Windows.Блокирует часть bootkit-атак и неавторизованный код ранней загрузки.
UEFIСовременный интерфейс прошивки, заменивший legacy BIOS на большинстве ПК.Secure Boot зависит от режима UEFI.
KEKKey Exchange Key. Разрешает изменения баз доверия Secure Boot.Если KEK устарела или отсутствует, обновления доверия могут не примениться.
DBБаза разрешенных подписей.Содержит сертификаты и хэши, которым прошивка доверяет.
DBXБаза запрещенных подписей.Блокирует известные плохие или отозванные компоненты загрузки.
Windows UEFI CA 2023Новый сертификат для доверия Windows Boot Manager.Нужен Windows для цепочки загрузки 2023 года.
Microsoft UEFI CA 2023Новый сертификат для сторонних UEFI-приложений и загрузчиков.Важен для некоторых не-Windows путей загрузки и инструментов.
Option ROM UEFI CA 2023Новый сертификат для отдельных firmware-компонентов устройств при загрузке.Может быть важен для оборудования, которое загружается через option ROM, например некоторых сетевых или storage-устройств.
Boot ManagerРанний компонент Windows, который запускает ОС.Старые уязвимые Boot Manager связаны с историей усиления защиты BlackLotus.

Разумный план на ближайшую неделю

Для обычного домашнего ПК:

  1. Сделайте резервную копию важных файлов.
  2. Сохраните ключ восстановления BitLocker, если шифрование устройства включено.
  3. Установите обновления Windows.
  4. Перезагружайтесь, пока Windows больше не просит перезапуск.
  5. Проверьте Windows Security > Device security > Secure Boot.
  6. Проверьте OEM-приложение обновлений для BIOS/UEFI, если Windows сообщает о проблеме прошивки.
  7. Заново создайте старую флешку восстановления или установки Windows актуальными инструментами Microsoft.

Для малого офиса добавьте инвентаризацию, пилотные группы, мониторинг событий и проверку recovery media до любых широких настроек отзывов.

Спокойная версия здесь и есть серьезная: обновитесь штатно, проверьте реальный статус сертификатов и не превращайте управляемый переход сертификатов в самодельную проблему загрузки.

Официальные страницы, которые стоит открыть

В этой теме страницы Microsoft — не декоративные ссылки, а самый безопасный способ проверить формулировки статуса перед работой с прошивкой. Начните с англоязычного обзора истечения сертификатов Secure Boot, страницы статуса в Windows Security и Windows IT Pro playbook на 2026 год. Если шаг касается отзывов, BitLocker, recovery media или rollout на парк устройств, остановитесь и прочитайте guidance для вашей точной модели устройства или платформы.