Мільйони ПК можуть втратити захист Windows: Microsoft назвала дедлайн критичного оновлення

Про це пише РБК-Україна з посиланням на Windows Latest.

Що таке Secure Boot і чому змінюються ключі?

Secure Boot (Безпечне завантаження) - галузевий стандарт захисту, який гарантує, що під час увімкнення комп'ютера завантажується лише довірене програмне забезпечення, схвалене виробником обладнання (OEM).

Система працює на базі суворої ієрархії цифрових ключів у прошивці материнської плати. Вона звіряє підписи драйверів, EFI-додатків та завантажувача ОС зі спеціальною базою даних (DB), а також перевіряє "чорний список" скомпрометованих програм (DBX).

Перші сертифікати було закладено у прошивки ще у 2011 році терміном на 15 років. У червні 2026 року їхня криптографічна дія завершується.

Щоб зберегти ланцюжок довіри, ОС має записати в UEFI нові сертифікати "Windows UEFI CA 2023", після чого Windows почне використовувати завантажувач, підписаний свіжими ключами.

Що буде, якщо ігнорувати дедлайн червня 2026 року?

Інженери Microsoft заспокоїли користувачів: якщо комп'ютер не отримає оновлені сертифікати до зазначеного терміну, він не перетвориться на "цеглину" і продовжить завантажуватися в штатному режимі. Проте безпека системи почне незворотно деградувати.

По-перше, відбудеться припинення критичних апдейтів завантажувача. Microsoft фізично більше не зможе підписувати низькорівневі виправлення старим ключем 2011 року, тому комп'ютери без сертифікатів 2023 року перестануть отримувати патчі для завантажувальних файлів.

По-друге, з'явиться вразливість перед руткітами (клас прихованого шкідливого ПЗ яке отримує адміністративні привілеї в ОС та використовує їх для маскування своєї присутності та інших шкідливих програм). Пристрої не зможуть оновлювати бази даних DBX, що залишить їх беззахисними перед новими шкідливими програмами, які атакують ПК до запуску самої ОС.

Крім того, це заблокує встановлення майбутніх версій Windows, оскільки нові інсталятори почнуть вимагати наявність свіжих ключів.

Особливості встановлення та сумісність із BitLocker

Процес оновлення прошивки відбувається автоматично через накопичувальні пакети Windows Update (LCU) та керовані розгортання (CFR).

Користувачі можуть помітити, що під час встановлення комп'ютер перезавантажується кілька разів поспіль - це нормальна поведінка системи, необхідна для поетапного закладення сертифікатів, їх активації в UEFI та перезапуску нового завантажувача.

У Microsoft наголосили, що цей алгоритм повністю сумісний із шифруванням BitLocker та середовищем Virtual Secure Mode (VSM).

Призупиняти шифрування дисків вручну не потрібно - система автоматично перепризначає ключі доступу під час перезавантажень. Водночас на застарілих ПК з Legacy BIOS або вимкненим у налаштуваннях Secure Boot оновлення автоматично ігноруватиметься, щоб уникнути пошкодження завантажувальних секторів.

Як перевірити статус безпечного завантаження на своєму ПК?

Починаючи з весняних оновлень Windows 11, користувачі можуть самостійно відстежувати готовність свого заліза. Для цього необхідно перейти за шляхом: Безпека Windows -> Безпека пристрою -> розділ Безпечне завантаження.

Система відображатиме один із трьох статусів:

Зелена галочка: усі сертифікати успішно оновлені та застосовані, і ПК готовий до дедлайну.

Жовтий знак оклику: нові ключі доставлені на ПК, але ще не записані у прошивку (часто пристрій очікує на планове перезавантаження).

Червоний значок зупинки: оновлення заблоковане через несумісність або апаратні обмеження материнської плати. У такому разі додаток надасть інструкції для виправлення конфігурації BIOS.

Для корпоративних мереж Microsoft рекомендує не застосовувати примусову політику оновлення ключів "наосліп" до всього парку машин, а попередньо тестувати її на окремих групах пристроїв через можливі конфлікти з унікальними налаштуваннями материнських плат від різних OEM-виробників.

Наступне планове оновлення кореневих сертифікатів безпеки розраховане до 2038 року, коли індустрія почне масовий перехід на постквантову криптографію.