Security

Истечение сертификатов Windows Secure Boot в 2026

3 мин. чтения

Кратко

Microsoft подтвердила, что сертификаты Windows Secure Boot, используемые с 2011 года, начнут истекать с конца июня 2026 года, и уже разворачивает новые сертификаты через стандартные обновления Windows совместно с OEM и поставщиками UEFI. Это важно для ИТ-команд и владельцев устройств, потому что без своевременного обновления ПК, скорее всего, продолжат загружаться, но могут потерять возможность получать будущие защитные меры на уровне загрузки и потребовать обновления прошивки.

Нужна помощь с Security?Поговорить с экспертом

Введение: почему это важно

Secure Boot — одна из ключевых защит Windows на этапе загрузки: она гарантирует, что до запуска ОС выполняются только доверенные, цифрово подписанные компоненты. Это доверие закреплено сертификатами, хранящимися в прошивке UEFI — и Microsoft подтвердила, что исходные сертификаты Secure Boot, внедрённые в 2011 году, подходят к концу жизненного цикла и начинают истекать в конце июня 2026 года. Для ИТ-команд это привязанное ко времени, масштабное событие по обслуживанию безопасности во всей экосистеме: если устройства пропустят обновление сертификатов, они, вероятно, продолжат загружаться, но утратят возможность получать будущие меры защиты на уровне загрузки.

Что нового

Обновляется Secure Boot “root of trust”

  • Долгоживущие сертификаты Secure Boot начинают истекать с конца июня 2026 года.
  • Новые сертификаты разворачиваются на поддерживаемые устройства Windows через стандартный ежемесячный цикл обновлений Windows.
  • Это скоординированная работа между обслуживанием Windows, прошивками OEM и поставщиками UEFI, чтобы снизить риски и минимизировать сбои.

Широкая готовность OEM (особенно на новых устройствах)

  • Многие ПК, выпущенные начиная с 2024 года, и почти все устройства, поставленные в 2025 году, уже включают обновлённые сертификаты.
  • Для меньшей части устройств, уже находящихся в эксплуатации, применение новых сертификатов может сначала потребовать обновления прошивки OEM.

Улучшенная видимость и поэтапное развёртывание

  • Microsoft внедряет изменение осторожно и поэтапно, опираясь на тестирование и готовность, оцениваемую по телеметрии.
  • В ближайшие месяцы ожидаются сообщения о статусе обновления сертификатов в приложении Windows Security, чтобы пользователи могли отслеживать прогресс.

Влияние на ИТ-администраторов и конечных пользователей

Если устройства не получат новые сертификаты вовремя

  • Устройства, вероятно, продолжат работать, и существующее ПО будет запускаться.
  • Однако они перейдут в деградированное состояние безопасности и могут лишиться возможности получать будущие смягчающие меры на уровне загрузки (например, когда обнаруживаются новые уязвимости загрузчика).
  • Со временем растут риски совместимости: более новые ОС/прошивка/оборудование или ПО, зависящее от Secure Boot, может не загружаться.

Неподдерживаемые версии Windows — ключевой риск

  • Устройства на неподдерживаемых версиях (в частности, Windows 10 после завершения поддержки 14 октября 2025 года, если не подключён ESU) не получат обновления через Windows Update.
  • Такие конечные точки следует считать приоритетными для устранения риска (обновить/заменить либо обеспечить соответствие ESU и стратегию обновления).

Рекомендуемые действия / следующие шаги

  1. Инвентаризация и определение охвата
    • Определите все конечные точки Windows и Windows Server в охвате, включая киоски, специализированные серверы и IoT/edge-устройства с нетипичным обслуживанием.
  2. Проверка пути обновления
    • Подтвердите, что устройства получают последние ежемесячные накопительные обновления (в том числе в сценариях, где это управляется Microsoft).
    • Убедитесь, что требования к диагностике/телеметрии, используемые для проверки готовности, соответствуют политикам вашей организации.
  3. Проверка готовности прошивки
    • Заранее изучите бюллетени и страницы поддержки OEM (Dell/HP/Lenovo и др.) и запланируйте необходимые обновления UEFI/firmware.
    • Выполните пилотное развертывание обновлений прошивки на репрезентативных моделях оборудования перед массовым внедрением.
  4. Планирование исключений
    • Для устройств, готовность которых невозможно уверенно подтвердить в рамках поэтапного подхода Microsoft, используйте рекомендации из playbook для ИТ-администраторов Microsoft и ваши текущие инструменты (Intune, Configuration Manager или сторонние) для развёртывания и мониторинга.
  5. Подготовка runbook для поддержки
    • Шаги первой линии: установить последние обновления Windows, проверить актуальность прошивки OEM, затем при сохранении проблем эскалировать через каналы поддержки Microsoft/OEM.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Nuno Costa
Secure BootUEFI firmwareWindows updatescertificate lifecycleendpoint security

Похожие статьи

Security

Компрометация цепочки поставок Trivy: рекомендации Defender

Microsoft опубликовала рекомендации по обнаружению, расследованию и смягчению последствий компрометации цепочки поставок Trivy в марте 2026 года, затронувшей бинарный файл Trivy и связанные GitHub Actions. Инцидент важен тем, что доверенный инструмент безопасности CI/CD был использован для кражи учетных данных из пайплайнов сборки, облачных сред и систем разработчиков, при этом внешне работая как обычно.

Security

Управление AI Agent: выравнивание намерений для безопасности

Microsoft описывает модель управления для AI agents, которая выравнивает намерения пользователя, разработчика, роли и организации. Эта структура помогает компаниям сохранять полезность, безопасность и соответствие требованиям, задавая поведенческие границы и понятный порядок приоритета при возникновении конфликтов.

Security

Predictive shielding в Microsoft Defender против GPO-шифровальщика

Microsoft описала реальный случай ransomware, в котором predictive shielding в Defender обнаружил вредоносное злоупотребление Group Policy Objects (GPO) до начала шифрования. За счёт усиления защиты распространения GPO и блокировки скомпрометированных учётных записей Defender остановил около 97% попыток шифрования и не позволил зашифровать ни одно устройство через путь доставки GPO.

Security

Защита agentic AI: новые решения Microsoft на RSAC

На RSAC 2026 Microsoft представила комплексный набор решений для защиты agentic AI, включая Agent 365, который станет общедоступным 1 мая и позволит централизованно управлять, защищать и контролировать AI-агентов в связке с Defender, Entra и Purview. Это важно, потому что по мере массового внедрения AI-агентов компаниям нужны новые инструменты для выявления теневого использования AI, снижения риска утечек данных и управления доступом в масштабе всей организации.

Security

Microsoft open source CTI-REALM для AI detection engineering

Microsoft открыла CTI-REALM — бенчмарк, который проверяет, могут ли AI-агенты реально выполнять задачи detection engineering: анализировать CTI-отчёты, сопоставлять техники MITRE ATT&CK и создавать/валидировать правила обнаружения. Это важно для SOC и security-команд, потому что инструмент смещает оценку ИИ от теоретических ответов к практическим операционным результатам в Linux, AKS и Azure-средах.

Security

Zero Trust for AI от Microsoft: воркшоп и архитектура

Microsoft представила подход Zero Trust for AI и обновила Zero Trust Workshop, добавив отдельный AI-столп для оценки и проектирования защиты моделей, агентов, данных и автоматизированных решений. Это важно для компаний, внедряющих AI: новые рекомендации помогают системно учитывать риски вроде prompt injection и data poisoning, а также согласовать меры безопасности между IT, ИБ и бизнесом.