Как сделать, Новости

Срок поддержки безопасности вашего Windows истекает в июне 2026 года

Автор: Стефан Дасич | 28 мая 2026 г.
Windows ноутбуке

Обновление сертификатов Secure Boot постепенно распространяется на все поддерживаемые Windows через Windows . В июне 2026 года срок действия сертификатов Secure Boot, поставляемых в составе Windows 2011 года, истечет, и Microsoft заменяет их новыми сертификатами с датой 2023 года.

Хорошая новость: если вы регулярно обновляете свой компьютер, вам, скорее всего, не придется ничего делать. Плохая новость: на некоторых старых устройствах обновление может пройти не без проблем. Ваш компьютер не перестанет работать сразу, но со временем он может лишиться важных средств защиты на уровне загрузки, и вы даже не заметите этого.

Вот в чем дело, почему это важно и как убедиться, что ваш компьютер уложился в срок.

Что такое Secure Boot и что именно теряет актуальность?

Secure Boot — это функция микропрограммы UEFI, встроенная практически во все ПК, выпускаемые примерно с 2012 года. Она запускается Windows до начала загрузки Windows и предназначена для проверки того, что загрузчик и компоненты ранней стадии загрузки подписаны доверенной стороной. Если в цепочку загрузки пытается вклиниться какой-либо объект, отсутствующий в списке доверенных — например, буткит, — Secure Boot блокирует его запуск.

Как работает функция Secure Boot

Ключевую роль здесь играет понятие «доверенная сторона». Доверие обеспечивается за счет криптографических сертификатов, встроенных в микропрограмму материнской платы. Текущие сертификаты были выпущены в 2011 году и в настоящее время подходят к сроку истечения. Речь идет о трех конкретных сертификатах:

  • Microsoft Corporation KEK CA 2011: срок действия истекает 24 июня 2026 года
  • Microsoft UEFI CA 2011: срок действия истекает 27 июня 2026 года
  • Microsoft Windows PCA 2011: срок действия истекает 19 октября 2026 года

Microsoft заменяет их набор сертификатов с датой 2023 года, в который входят Windows CA 2023 и Microsoft Corporation KEK 2K CA 2023. По словам инженеров Microsoft, выступивших в ходе сессии вопросов и ответов в марте 2026 года, новые сертификаты действительны до 2038 года, а переход на постквантовую криптографию для будущего оборудования запланирован примерно на 2030 год.

«Мой компьютер перестанет работать?»

Нет. Это самое главное, что нужно понять, ведь слухи звучат громче, чем факты.

Если срок истечет, а ваш компьютер по-прежнему будет использовать сертификаты 2011 года, Windows по-прежнему Windows загружаться, Windows будет по-прежнему работать, и ваш компьютер будет функционировать в обычном режиме.

Изменится то, что, по словам самой Microsoft, устройство «больше не сможет получать новые средства защиты» для ранней стадии загрузки, включая обновления диспетчера Windows , баз данных Secure Boot, списков отзывов сертификатов, а также мер по устранению вновь обнаруженных уязвимостей на уровне загрузки.

Проще говоря: с течением времени защитить ваш компьютер становится все сложнее. Он защищен от известных на сегодняшний день угроз, возникающих при загрузке, но не обязательно от тех, которые будут обнаружены в следующем месяце или году.

Это представляет собой проблему, поскольку буткиты действуют на уровне, лежащем ниже Windows антивирусных программ. Они запускаются раньше всего остального и могут отключать средства защиты, которые в обычных условиях их обнаружили бы.

Проблема BlackLotus

Если вам нужен конкретный пример того, почему безопасность на уровне загрузки имеет значение, обратите внимание на BlackLotus.

BlackLotus — это UEFI-буткит, который впервые появился на хакерских форумах в 2022 году, а в начале 2023 года исследователи подтвердили его наличие в реальной среде. Он использовал уязви мость CVE-2022-21894, получившую название «Baton Drop», для обхода функции Secure Boot на Windows с установленными всеми обновлениями. После установки он мог отключать BitLocker, Hypervisor-Protected Code Integrity (HVCI) и Microsoft Defender до Windows загрузки Windows .

Компания Microsoft устранила основную уязвимость, описанную вCVE-2023-24932, однако безопасное исправление уязвимых компонентов менеджера загрузки представляет собой сложную задачу. Отключение не тех компонентов загрузки может привести к невозможности запуска системы, поэтому Microsoft внедряла меры защиты постепенно, в течение нескольких лет.

Обновление сертификатов в 2026 году является запланированным событием в рамках жизненного цикла (срок действия сертификатов 2011 года и так должен был истечь), но оно также позволяет Microsoft усилить защиту технологии Secure Boot в ответ на уязвимости в диспетчерах загрузки и атаки, подобные BlackLotus.

Благодаря внедрению новых доверенных якорных сертификатов компания Microsoft может продолжать выпускать новые компоненты загрузки, подписанные сертификатами 2023 года, и безопасно отзывать уязвимые компоненты по мере появления новых угроз. Устройства, которые не пройдут этот переход, в конечном итоге могут лишиться доступа к этим будущим средствам защиты.

Как происходит внедрение

Компания Microsoft использует поэтапный подход к внедрению, призванный предотвратить сбои в работе систем.

Запланированная Windows запускается примерно каждые 12 часов и устанавливает обновление поэтапно:

  1. Добавьте новый сертификатWindows CA 2023в базу данных подписей прошивки.
  2. Если старый сертификат стороннего поставщика от 2011 года по-прежнему присутствует, добавьте к нему сертификатыMicrosoft UEFI CA 2023иMicrosoft Option ROM UEFI CA 2023.
  3. Добавьте новый ключMicrosoft Corporation KEK 2K CA 2023.
  4. Обновите диспетчер Windows на версию, подписанную новым сертификатом. Выполнение этого шага отложено до следующей естественной перезагрузки.

Согласно рекомендациям Microsoft для ИТ-специалистов, весь процесс занимает примерно 48 часов и требует одной или нескольких перезагрузок. Каждый шаг должен завершиться успешно, прежде чем запустится следующий, поэтому устройство может на некоторое время застрять на одном из этапов, если (например) оно ожидает обновления прошивки или запланированной перезагрузки.

Для большинства домашних пользователей это происходит незаметно в фоновом режиме посредством обычных накопительных обновлений.

Начиная с Windows за апрель 2026 года, в приложении Windows в разделе «Безопасность устройства» отображается обновленная информация о состоянии безопасной загрузки, которая показывает, были ли успешно применены новые сертификаты.

Настройки безопасной загрузки

Что может пойти не так

Большинство систем перейдут на новую версию без проблем, однако есть несколько известных проблемных моментов:

  • Старые ПК с устаревшей прошивкой.Некоторые старые версии прошивки UEFI не обеспечивают надлежащую поддержку новых сертификатов. Для завершения перехода на таких системах может потребоваться обновление BIOS или прошивки от производителя.
  • Компьютеры, на которых были обойдены требования Windows .Если для установки Windows с помощью неофициальных обходных решений была отключена функция Secure Boot, новые сертификаты не могут быть применены должным образом.
  • Системы с традиционным BIOS / CSM.Устройства, работающие под управлением традиционного BIOS (или UEFI с включенным модулем поддержки совместимости), вообще не используют функцию Secure Boot, поэтому они полностью выходят за рамки данного обновления.
  • Нестандартные прошивки и необычные настройки.Некоторые нестандартные или необычные настройки прошивки могут вызвать запрос на восстановление BitLocker после изменения параметров Secure Boot. Компания Microsoft особо подчеркивает, что сама функция BitLockerнеотключается, однако пользователям следует на всякий случай иметь под рукой ключи восстановления.

Windows сообщило, что в ходе тестирования были зафиксированы сбои при установке обновлений на тысячах компьютеров с устаревшей прошивкой. В официальных рекомендациях Microsoft содержится более общее предупреждение о том, что ограничения, связанные с прошивкой, платформой и оборудованием OEM-производителей, могут препятствовать обновлению. Во многих случаях Windows будет отображать предупреждения о состоянии затронутых систем с помощью желтых или красных значков.

Что следует делать домашним пользователям

Для большинства людей совет прост:

  • Обновляйте Windows версии.Компания Microsoft внедряет новые сертификаты в рамках обычных Windows , и большинству домашних пользователей не потребуется предпринимать никаких дополнительных действий, кроме установки ежемесячных обновлений.
  • Проверьте состояние функции «Безопасная загрузка» (обратите внимание на текст, а не только на цвет).ОткройтеWindows >«Безопасность устройства»>«Безопасная загрузка». Зеленая метка с текстом«Функция „Безопасная загрузка“ включена, что предотвращает загрузку вредоносного ПО при запуске устройства»означает, что все в порядке. Microsoft предупреждает, что одна только зеленая галочка не подтверждает, что новые сертификаты были применены.
  • Если ваше устройство старой модели, проверьте наличие обновлений BIOS или прошивки у производителя.Для некоторых систем эти обновлениянеобходимы, чтобы обновление Secure Boot прошло успешно. Это особенно важно для ПК, выпущенных до 2024 года.
  • Не отключайте Secure Boot в попытке что-то «исправить».Отключение Secure Boot — это совершенно неправильный шаг: вместо обновления защиты вы полностью её снимаете. Некоторые античит-системы в играх и устаревшие приложения просят пользователей сделать именно это.
  • Не стоит паниковать из-за появления новой папки SecureBoot. Накопительное обновление Windows от мая 2026 года (KB5089549) создает папку в C:\Windows\SecureBoot содержащий примеры скриптов PowerShell, предназначенных для ИТ-администраторов. Это не вредоносное ПО, его появление вполне ожидаемо, и удалять его не нужно.
  • Используйте современную антивирусную защиту, работающую в режиме реального времени, которая способна обнаруживать угрозы на уровне ОС, даже если какая-то из них все же проскользнет через Secure Boot.

Что должны делать ИТ-специалисты

Если вы управляете автопарком, компания Microsoft опубликовалаподробные рекомендации, и эта работа требует большего объема усилий. Вкратце:

  • Проведите инвентаризацию своих устройств прямо сейчас. Соберите данные о производителе, модели, версии BIOS и дате, модели материнской платы, а также о состоянии Secure Boot для всего парка оборудования. Компания Microsoft предоставляет пример скрипта PowerShell по адресу aka.ms/GetSecureBoot который выводит соответствующие ключи реестра и идентификаторы событий.
  • Следите за событиями с идентификаторами 1801 и 1808.Событие с идентификатором 1808 подтверждает, что новые сертификаты установлены. Событие с идентификатором 1801 означает, что устройство не завершило обновление.
  • Проведите тестирование перед широким развертыванием.Microsoft рекомендует протестировать не менее четырёх устройств для каждой уникальной комбинации производителя, модели и прошивки. Для некоторых систем может потребоваться обновление прошивки от производителя, прежде чем они смогут принять новые сертификаты.
  • Выберите один способ развертывания для каждого устройства.Используйте ключи реестра, групповую политику, инструменты командной строки WinCS или скрипты Intune/ConfigMgr, но не смешивайте различные методы на одном компьютере.
  • Обратите внимание на создание образов с помощью PXE и Hyper-V. Серверам PXE SCCM/MECM может потребоваться переподписание boot.wim, а хосты Hyper-V, возможно, потребуется обновить перед созданием новых виртуальных машин с использованием KEK 2023 в шаблоне прошивки.
  • Укажите устройства, которые не подлежат обновлению.Старое оборудование, для которого отсутствует поддержка прошивки со стороны производителя, возможно, потребуется заменить до истечения срока или официально признать в качестве исключения с применением компенсационных мер контроля. Эти устройства будут продолжать работать, но могут оказаться несовместимыми с будущими средствами защиты на уровне загрузки.

Итог

Это одно из тех событий в сфере безопасности, которое 24 июня 2026 года не приведет к каким-либо серьезным инцидентам. В этот день ничего заметного не произойдет.

Риск заключается в том, что произойдет в последующие месяцы и годы. Устройства, которые не смогут перейти на новую цепочку доверия, могут постепенно отставать в плане будущих средств защиты на уровне загрузки, поскольку Microsoft продолжает реагировать на угрозы, такие как BlackLotus и другие буткиты.

Для большинства домашних пользователей Windows автоматически обеспечит переход на новую версию. Ваша основная задача — поддерживать систему в актуальном состоянии и проверить состояние функции Secure Boot до наступления установленных сроков.

Если ваше оборудование устарело, сейчас самое время проверить, продолжает ли производитель выпускать обновления прошивки, а также готов ли ваш компьютер к следующему десятилетию защиты с помощью Secure Boot.

Награда «Выбор редакции CNET» 2026 года

«Один из лучших комплексов решений для кибербезопасности в мире». 

По данным CNET.Прочитать их обзор

Об авторе

Стефан Дашич

Стефан Дашич

Увлеченный антивирусными решениями, Стефан с раннего возраста участвовал в тестировании вредоносных программ и контроле качества AV-продуктов. Став частью команды Malwarebytes , Стефан посвящает себя защите клиентов и обеспечению их безопасности.

ПОСЛЕДНИЕ СТАТЬИ

Утечки данных
женщина и круизный лайнер

Компания Carnival подтвердила утечку данных, затронувшую почти 6 миллионов человек

Май 28, 2026

Круизный гигант Carnival стал жертвой очередной утечки данных: хакерская группировка ShinyHunters заявила, что похитила личные данные почти 6 миллионов человек.

AI
Аналитика угроз: скрытые угрозы

Поддельный сайт для скачивания ChatGPT заражает Mac Windows Mac вредоносным ПО

Май 28, 2026

Ищете ChatGPT? Этот поддельный сайт для скачивания распространяет вредоносное ПО как среди Mac Windows среди Mac , используя отдельные вредоносные модули, адаптированные для каждой платформы.

Новости
массовый фишинг

Фишинговый набор Kali365 обходит многофакторную аутентификацию и похищает учетные данные Microsoft

Май 27, 2026

ФБР предупредило, что злоумышленники используют новый фишинговый набор для получения долгосрочного доступа к учетным записям Microsoft Outlook, Teams и OneDrive.

Сопутствующие статьи

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы