Приложение Windows Security теперь показывает статус сертификата Secure Boot в преддверии истечения срока в 2026 году
Сертификаты безопасной загрузки Microsoft, выпущенные в 2011 году, приближаются к сроку истечения в 2026 году. Чтобы помочь ИТ-администраторам отслеживать, получили ли устройства новые сертификаты, Microsoft добавила новые индикаторы состояния в приложение "Безопасность Windows" в разделе Безопасность устройства > Безопасная загрузка.
Обновлённые сертификаты 2023 года автоматически доставляются через Центр обновления Windows на потребительские устройства и некоторые корпоративные устройства. Новые индикаторы в приложении показывают, получило ли конкретное устройство эти обновления, каково его текущее состояние сертификатов и требуется ли какое-либо действие.
Новые индикаторы по умолчанию отключены для управляемых устройств
На корпоративных управляемых клиентских устройствах под управлением Windows 10 и Windows 11 приложение "Безопасность Windows" и его служба уведомлений работают в обычном режиме. Страница "Безопасность устройства" и раздел "Безопасная загрузка" заполняются и обновляются как положено. Новые индикаторы обновления сертификатов безопасной загрузки по умолчанию отключены на этих устройствах. В документации Microsoft указано, что предполагается, что ИТ-администраторы, скорее всего, управляют обновлениями сертификатов централизованно, а не полагаются на уведомления для конечных пользователей на каждом устройстве.
То же правило по умолчанию применяется к Windows Server. На Windows Server с интерфейсом рабочего стола в версиях Server 2019, Server 2022 и Server 2025 приложение "Безопасность Windows" и страница "Безопасность устройства" присутствуют. Однако служба уведомлений "Безопасности Windows" не запускается автоматически на сервере, поэтому проверки состояния сертификатов безопасной загрузки не происходят автоматически. Значки, уведомления или обновления статуса не появляются, если пользователь не запустит приложение вручную. Новые индикаторы состояния сертификатов по умолчанию отключены на сервере независимо от того, запущена служба или нет.
В домашних и профессиональных редакциях Windows эта функция включена по умолчанию.
Функция управляется ключом реестра
Администраторы могут включить или отключить функцию отображения состояния сертификатов безопасной загрузки с помощью записи в реестре. Соответствующий подраздел:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender Security CenterDevice security
Имя параметра реестра — HideSecureBootStates, тип — REG_DWORD. Значение 0 активирует функцию и отображает статус сертификата Secure Boot. Значение 1 отключает её и скрывает статус. Если параметр отсутствует, система использует значение по умолчанию: включено для редакций Home и Pro, отключено для Enterprise и Server.
Существующие возможности управления уведомлениями и значком в системном трее через приложение "Безопасность Windows" можно использовать совместно с этим параметром реестра для настройки общего поведения.
Внедрение происходит в два этапа
Новые индикаторы внедряются в рамках двухэтапного плана, сроки которого зависят от версии операционной системы.
Этап 1 предоставляет статус обновления сертификата Secure Boot на странице "Безопасность устройства", значки-индикаторы, отражающие текущее состояние сертификата, и ссылку "Подробнее" на дополнительную информацию. На первом этапе индикаторы могут быть зелёными или жёлтыми (предупреждение). Пользователи могут выбрать опцию скрытия, чтобы изменить жёлтый индикатор на зелёный.
Доступность первого этапа запланирована следующим образом: для Windows 11 версий 23H2, 24H2, 25H2, 26H1, а также Windows Server 2025 обновление поступит 8 апреля 2026 года через обновление приложения. Для Windows 10 версий 22H2, 21H2, 1809, а также Windows Server 2019 и Windows Server 2022 с графическим интерфейсом — 14 апреля 2026 года через накопительное обновление.
Этап 2 добавляет уведомления в приложении для критических и некритических состояний Secure Boot. Для жёлтого предупреждающего состояния пользователи могут отключить уведомления. Для красного (критического) состояния доступна опция "Я принимаю риски, не напоминать", которая меняет индикаторы на зелёные и отключает все новые уведомления. Для выбора этой опции требуются права администратора.
Второй этап начнётся 16 мая 2026 года для Windows 11 и Windows Server 2025, и 13 мая 2026 года для Windows 10, Windows Server 2019 и Windows Server 2022.
Загрузка: CIS Benchmarks, обновление за март 2026 года