Microsoft напомнила о крайнем сроке действия сертификатов Secure Boot в Windows 11

До истечения срока действия оригинального сертификата Microsoft Secure Boot KEK 24 июня 2026 года осталось всего несколько дней. В Windows 11 теперь отображается статус сертификата в приложении «Безопасность Windows» с чёткими предупреждениями.

4 июня Microsoft провела вторую сессию вопросов и ответов в прямом эфире, чтобы ответить на многочисленные вопросы, поступающие от IT-администраторов и корпоративных клиентов. В состав участников вошли Арден Уайт (ведущий инженер по безопасности, Windows Servicing and Delivery), Кевин Салливан (экосистема Windows и коммерческое взаимодействие), Ричард Пауэлл (инженерная группа), Скотт Шелл (корпоративные вопросы и защита, архитектура и проектирование безопасной загрузки) и Джейсон Сэндис из группы продуктов Intune.

Самый насущный вопрос заключался в том, является ли 24 июня жёстким крайним сроком, после которого метод ручного развёртывания на основе реестра перестает работать. Шелл ответил, что нет. По его словам, 24 июня относится конкретно к истечению срока действия ключа KEK, а ключ базы данных, который является отдельным сертификатом, истекает только в октябре. Все уже подписанные пакеты обновлений — апдейт базы данных, ключ реестра и механизм запланированных задач — будут продолжать работать точно так же, как и до этой даты. «Нет конечной даты, когда ключ реестра и апдейт перестанут работать», — подтвердил Шелл.

Что изменится после 24 июня, так это возможность Microsoft подписывать новые пакеты DBX, которые представляют собой обновления отзыва, блокирующие скомпрометированные или вредоносные загрузчики. Если на устройстве не установлен свежий KEK, оно может пропустить некоторые из этих будущих обновлений отзыва, а это означает, что устройство будет становиться менее безопасным со временем.

Ключ базы данных истекает только в октябре, поэтому Microsoft ожидает, что за это время подпишет этим ключом ещё несколько менеджеров загрузки. Так, июньское апдейт повысит уровень безопасности подавляющего большинства распространённых устройств.

Одним из наиболее обнадеживающих моментов сессии стало то, что апдейт Patch Tuesday в июне повлияет на покрытие устройств. Команда подтвердила, что после него подавляющее большинство систем, для которых у Microsoft есть диагностические данные, будут классифицированы как имеющие высокую степень достоверности. 

Салливан внедрил, что, когда Microsoft говорит о группах устройств, это не просто группировка по производителю и названию модели, а оценка достоверности зависит от версии и даты прошивки. Рекомендуемый метод узнать точное состояние устройств — это доклад мониторинга Intune, обновлённый в середине мая. Джейсон отметил, что он показывает, находится ли девайс в группе с высокой степенью достоверности, было ли уже применено обновление и какие устройства могут потребовать ручного вмешательства. Отчёт и сопутствующий сценарий исправления PowerShell доступны, и они фактически выполняют одну и ту же работу двумя разными путями.

Ряд корпоративных клиентов на сессии сообщил, что их устройства застряли в статусе «временно приостановлено». Команда объясняет это тем, что этот статус всегда указывает на необходимость обновления прошивки от производителя. Механизм заключается в том, что система развёртывания Microsoft иногда обнаруживает проблему совместимости на уровне прошивки, которая делает применение сертификатов рискованным на конкретном устройстве. Вместо того чтобы рисковать неудачным обновлением, система приостанавливает его. Ожидается, что производитель выпустит апдейт прошивки, которое устранит основную проблему. После применения этого апдейта оно переходит в свежий статус, поскольку версия прошивки изменилась, и новая комбинация получает свою собственную классификацию.

Шелл представил, как это отслеживать в реальном времени из Intune или CSV-файла GitHub. На главной странице aka.ms/GetSecureBoot есть список страниц поддержки OEM-производителей, где можно найти обновления прошивки для большинства крупных компаний. Стоит сначала проверить эти информация, прежде чем пытаться вручную изменить настройки приостановленного устройства.

Один из самых советов, прозвучавших на сессии, был адресован администраторам, которые откладывали ручное развёртывание. Команда призвала больше не ждать.

Если девайс находится в категории high confidence, то Intune обработает его автоматически. Для таких девайсов не требуется никаких действий со стороны администратора. Но для всех остальных (например, white box machines, менее распространённых конфигураций OEM, старых серверов или устройств, для которых у Microsoft ограниченные данные телеметрии), рекомендуется установить значение реестра или эквивалентную политику каталога настроек Intune, чтобы принудительно запустить процесс обновления.

Описанный командой рабочий процесс для сред, управляемых Intune, включает в себя получение отчёта мониторинга, выявление устройств, на которые ещё не было применено обновление, выбор одного репрезентативного устройства каждой модели или варианта прошивки, применение политики и ожидание подтверждения успешного завершения перед расширением развёртывания. Шелл посоветовал отдавать приоритет активным и доступным устройствам, избегать выбора машин, принадлежащих удалённым сотрудникам, с которыми трудно связаться, и не выбирать устройства, которые могут быть выключены на протяжении недели без получения телеметрических данных.

Ранее Microsoft предупредила, что добавит новые сертификаты в прошивку устройств, обновит загрузчик системы и постепенно откажется от доверия к старым ключам. В компании уточняют, что новая папка Secure Boot в Windows 11 — это не сбой, а часть обновления. Она используется системой для хранения криптографических файлов перед их записью в прошивку, и удалять её не требуется.