У Windows 11 та Windows 10 Microsoft поступово перевіряє та оновлює сертифікати Secure Boot за допомогою стандартних оновлень системи. У більшості випадків вам потрібно лише стежити за щомісячними оновленнями безпеки , щоб ваш пристрій був готовий до крайнього терміну в червні 2026 року.
Однак, якщо ви хочете самостійно перевірити або застосувати новіші сертифікати Secure Boot 2023, ви можете виконати процес вручну. Цей посібник проведе вас через кроки.
Безпечне завантаження (Secure Boot) – це функція безпеки на рівні мікропрограми, вбудована в Unified Extensible Firmware Interface (UEFI). Вона гарантує, що пристрій запускається лише з програмним забезпеченням, підписаним цифровим способом та довіреним затвердженими центрами сертифікації. Перевіряючи завантажувачі та компоненти мікропрограми перед завантаженням операційної системи, Безпечне завантаження допомагає запобігти компрометації процесу запуску руткітами та іншим низькорівневим шкідливим програмним забезпеченням.
Для забезпечення цього захисту Secure Boot використовує криптографічні ключі, відомі як центри сертифікації (CA). Ці ключі встановлюють ланцюжок довіри між прошивкою та операційною системою, блокуючи непідписаний або підроблений код під час раннього завантаження.
Як і всі цифрові сертифікати, центри сертифікації Secure Boot мають терміни дії. Термін дії оригінальних сертифікатів 2011 року закінчується в червні 2026 року. Щоб уникнути помилок перевірки довіри, проблем із завантаженням або потенційних перебоїв в отриманні майбутніх оновлень, на системах необхідно встановити оновлені сертифікати 2023 року.
Комп’ютери, виготовлені у 2024 році або пізніше, зазвичай постачаються з уже встановленими сертифікатами 2023 року. Для старішого обладнання Microsoft надає оновлені сертифікати через службу Windows Update у рамках постійного обслуговування безпеки, але ви також можете встановити та замінити нові сертифікати вручну.
У цьому посібнику я опишу прості кроки для перевірки та оновлення сертифікатів Secure Boot вручну на вашому пристрої з Windows 11.
Важливо: Хоча це неруйнівний процес, все ж рекомендується зробити повну резервну копію вашого комп’ютера, перш ніж продовжити. Вас попередили.
Встановлення сертифікатів Secure Boot 2023 у Windows 11
Якщо BitLocker активовано, необхідно тимчасово вимкнути шифрування в PowerShell ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), перш ніж прошивка зможе успішно записати нові ключі на пристрій. Також, перш ніж продовжити, переконайтеся, що ваш комп’ютер повністю оновлено до оновлення безпеки за лютий 2026 року (KB5077181) або пізнішої версії.
Щоб оновити сертифікати Secure Boot до закінчення терміну дії у 2026 році, виконайте такі дії:
Відкрийте Пуск .
Знайдіть PowerShell (або Terminal ), клацніть правою кнопкою миші на першому результаті та виберіть опцію «Запуск від імені адміністратора» .
Введіть цю команду, щоб підтвердити, що пристрій використовує UEFI з увімкненим Secure Boot, і введіть :
Підтвердження SecureBootUEFI
Коротке зауваження: якщо результат має значення «True», ви можете продовжити виконання наведених нижче кроків. В іншому випадку вам доведеться ввімкнути безпечне завантаження . Якщо ви користуєтеся Windows 10, вам, можливо, навіть доведеться перейти зі старої версії BIOS на UEFI .
Введіть цю команду, щоб перевірити термін дії сертифікатів Secure Boot, і натисніть Enter :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -відповідає 'Windows UEFI CA 2023'
(Вивід 1) Якщо вихід має значення «Істина», у вас є новий сертифікат (дійсний до 2053 року). Зупиніться та не продовжуйте.
(Вивід 2) Якщо вихід має значення «Хибність», ймовірно, ви все ще використовуєте сертифікат 2011 року (термін дії закінчується у 2026 році). Продовжуйте виконання наведених нижче кроків.
Введіть цю команду, щоб встановити розділ реєстру для розгортання всіх необхідних сертифікатів, і натисніть Enter :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Введіть цю команду, щоб вручну ініціювати зміни сертифіката, і натисніть Enter :
Start-ScheduledTask -НазваЗавдання "\Microsoft\Windows\PI\Secure-Boot-Update"
Перезавантажте комп'ютер один раз.
Перезавантажте пристрій вдруге та продовжте процес перевірки сертифікатів.
Коротке зауваження: для повного застосування оновлення зазвичай потрібне два перезавантаження. Після першого перезавантаження система оновлює диспетчер завантаження. Після другого завершується реєстрація сертифіката в базі даних UEFI.
Відкрийте Пуск .
Знайдіть PowerShell (або Terminal ), клацніть правою кнопкою миші на першому результаті та виберіть опцію «Запуск від імені адміністратора».
Введіть цю команду, щоб перевірити, чи оновлення успішно завершилося, і натисніть Enter :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -відповідає 'Windows UEFI CA 2023'
Якщо після виконання цих кроків результат має значення «True» («Істина») , нові сертифікати (дійсні до 2053 року) успішно встановлено на ваш комп’ютер. Якщо результат має значення «False» (Хибність), сертифікати не було встановлено належним чином.
Важливо зазначити, що значення «True» підтверджує реєстрацію центру сертифікації 2023 року, але не видаляє сертифікат 2011 року негайно у всіх випадках. Деякі системи можуть тимчасово відображати обидва варіанти.
Якщо після завершення процесу вивід залишається «Хибність», перевірте Переглядач подій > Журнали програм і служб > Microsoft > Windows > SecureBoot-Update на наявність помилок. Також підтвердьте існування заплановане завдання, виконавши Get-ScheduledTask -TaskName "Secure-Boot-Update"команду.
Після оновлення, якщо вам довелося вимкнути BitLocker, ви можете відновити шифрування, виконавши команду Resume-BitLocker -MountPoint "C:", навіть якщо -RebootCount 2воно автоматично відновлюється після двох перезавантажень.
Варто зазначити, що сертифікати Secure Boot 2023 року не з’являються з повітря. Microsoft включає нові сертифікати до оновлень обслуговування Windows, зазвичай як частину накопичувального оновлення або оновлення безпеки для Windows 11 та підтримуваних пристроїв Windows 10.
Власне, компанія додає нові сертифікати Secure Boot з моменту випуску оновлення безпеки за лютий 2026 року (і пізніших версій).
Ці сертифікати, відомі як Windows UEFI CA 2023, мають цифровий підпис від Microsoft і є надійними за допомогою Secure Boot.
Якщо сертифікати вже є на вашому комп’ютері, ці інструкції допоможуть вам застосувати їх негайно, не чекаючи, поки система автоматично обробить оновлення.
Пакет Windows 11 KB5068221 (збірка 26100.6588) для версії 24H2 виправляє помилку з програмами Office в App-V та оновлює компоненти штучного інтелекту.
Збірка 26100.6584 (KB5065426) для Windows 11 24H2 випускається для оновлення за вересень 2025 року з новими функціями. Windows 11 23H2 отримує KB5065431.
Щоб видалити функцію «Відкликання» у Windows 11, відкрийте «Налаштування» > «Система» > «Додаткові функції» > «Інші функції Windows» та зніміть прапорець «Відкликання».
Дізнайтеся, як використовувати перемикач Robocopys /MT у Windows 11 для швидшого копіювання файлів, ніж у Провіднику, з багатопотоковою передачею для SSD-накопичувачів та мереж.
Щоб створити завантажувальний USB-накопичувач для встановлення Windows 11, ви можете скористатися Rufus, Ventoy, командним рядком або Media Creation Tool. Ось як це зробити.
Збірка 17634 для Windows 10 версії 1809 вже розгортається для ПК, зареєстрованих у Fast ring з опцією «Пропустити вперед». У цьому новому оновленні Redstone 5 Microsoft представляє нову функцію пошуку в Календарі та оновлену Cortana Show Me з підтримкою голосових команд. Ось усе, що вам потрібно знати...
Щоб скинути налаштування збереження файлів у Windows 11, відкрийте «Налаштування» > «Відновлення», натисніть «Скинути налаштування ПК», виберіть «Зберегти мої файли» та «Локальна перевстановлення» або «Завантаження в хмару».
Як завантажитися з USB-накопичувача у Windows 11 за допомогою меню завантаження, налаштувань або UEFI. Прості кроки для доступу до інструментів відновлення або встановлення ОС.
Microsoft переробляє меню «Пуск» у Windows 11, додавши йому кращої налаштування, швидшої роботи та нових елементів керування для зміни розміру та спрощення макета.
Пакет KB5083726 (збірка 26300.8276) для Windows 11 постачається з покращеннями параметрів, файлового провідника та Windows Hello. Ось усе, що вам потрібно знати.
