Microsoft начала замену устаревших сертификатов защищённой загрузки на устройствах с Windows 11 (включая сборки 24H2 и 25H2). Защищённая загрузка — функция UEFI, которая предотвращает запуск неподписанного или вредоносного кода при старте системы. Сертификаты, используемые на многих устройствах, истекают в июне 2026 года. Без обновления такие устройства могут столкнуться с проблемами доверия к новым загрузчикам и получать ограниченные обновления безопасности.
Кто подвержен изменениям
Риск выше для устройств, выпущенных до 2024 года: на новых компьютерах сертификаты зачастую уже обновлены производителем. Изменения затрагивают только системы с включённой защищённой загрузкой. Чтобы проверить статус, нажмите Win+R, введите msinfo32 и найдите значение "Состояние защищённой загрузки"; если указано "Включено", функция активна.
Как обновить сертификаты в Windows 11
Проверка и обновление сертификатов
Для проверки откройте PowerShell с правами администратора и выполните команду:
- [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes)
В выводе вы должны увидеть сертификаты с обозначением 2023 года, например MicrosoftUEFICertificateAuthority_2023.cer. Можно также искать по шаблону "Windows UEFI CA 2023". Если сертификаты устарели, установите последние обновления качества Windows — они включают новые сертификаты для защищённой загрузки.
В реестре проверьте путь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing и убедитесь, что параметр WindowsUEFICA2023Capable не установлен в 0. В корпоративных средах администраторы могут развертывать новые сертификаты через групповые политики, конфигурацию Windows (WinCS) или изменения реестра.
