В обновлении Windows 11 от апреля 2026 года, помимо того, что пользователи могут включать и отключать Smart App Control без переустановки системы, Microsoft также незаметно добавила важное улучшение, связанное с безопасностью запуска: Центр безопасности Windows теперь может напрямую отображать состояние сертификата безопасной загрузки (Secure Boot), что позволяет пользователям подтвердить, применил ли их компьютер версию сертификата безопасной загрузки 2023 года.
Сертификат безопасной загрузки используется для проверки надежности программного обеспечения, работающего во время запуска системы. Если срок действия сертификата истекает, теоретически он может быть использован вредоносным ПО на уровне загрузки (буткитом) или несанкционированными модификациями для внедрения кода атаки до полного запуска системы. Срок действия самых ранних известных сертификатов Secure Boot, выпущенных в 2011 году, истекает в июне 2026 года, и Microsoft ранее подтвердила, что эти старые сертификаты будут заменены новыми сертификатами Secure Boot 2023 через Центр обновления Windows. Однако обычным пользователям не хватает интуитивно понятных и простых в использовании методов определения того, были ли их компьютеры заменены новыми сертификатами.
Раньше пользователи, которые хотели подтвердить, был ли применен сертификат Secure Boot 2023, могли полагаться только на более профессиональные методы, такие как команды PowerShell или журналы просмотра событий, которые явно не подходили для повседневной работы большинства нетехнических пользователей. После апрельского обновления Центр безопасности Windows впервые напрямую отображает статус сертификата безопасной загрузки в интерфейсе, решая проблему «черного информационного ящика». На примере собственного устройства автора Центр безопасности Windows показал, что сертификат Secure Boot 2023 был применен, и получил запрос «Дальнейшие действия не требуются».
До обновления Центр безопасности Windows отображал на странице «Безопасность устройства» только информацию о том, включена ли функция безопасной загрузки. После обновления пользователи смогут увидеть не только включена ли безопасная загрузка, но и обновлен ли сертификат до последней версии. Этот статус находится в области «Безопасная загрузка» в разделе «Безопасность устройства». После завершения соответствующего обновления интерфейс предоставит более подробную информацию о состоянии безопасности.
По данным Microsoft, эта функция отображения состояния безопасной загрузки реализована в накопительном обновлении Windows 11 KB5083769 и подходит для систем со сборками 26200.8246/26100.8246 или более поздних версий. Однако не все устройства будут видеть эту функцию одновременно. Ожидается, что весь пакет постепенно охватит все поддерживаемые устройства к концу апреля 2026 года. Microsoft отметила в документе поддержки, что сертификаты версии 2023 выдаются автоматически через Центр обновления Windows, а отображение статуса в Центре безопасности Windows сообщает пользователям, получило ли устройство эти обновления, его текущий статус и требуются ли дополнительные действия.
В новом дизайне пользователи могут проверить статус безопасной загрузки простым способом: откройте Центр безопасности Windows, введите «Безопасность устройства» — «Безопасная загрузка», чтобы просмотреть логотип и текст подсказки в интерфейсе. В этом модуле используется трехцветная схема маркировки, аналогичная светофору: зеленый означает «полностью обновлено, никаких действий не требуется»; желтый означает «существуют рекомендации по безопасности», и вам может потребоваться обратиться к производителю компьютера для обновления встроенного ПО; красный означает «требует немедленного внимания», что обычно означает, что из-за ограничений оборудования или прошивки Microsoft испытывает трудности с применением последнего сертификата к устройству.
В частности, когда в разделе «Безопасная загрузка» отображается зеленая галочка, в сообщении будет указано: «Устройство защищено, все необходимые обновления сертификатов выполнены, никаких дальнейших изменений не требуется». Отображение желтого предупреждающего значка означает, что система все еще может работать, но имеются рекомендации по безопасности, например необходимость просмотреть содержимое подсказки и обновить прошивку устройства или сопутствующие компоненты в соответствии с инструкциями. Если появляется красный значок, это означает, что системе необходимо немедленно выполнить безопасную загрузку. Такая ситуация часто возникает на устройствах, состояние оборудования которых не соответствует требованиям обновления сертификата или на которых не включена сама безопасная загрузка.
Следует отметить, что безопасная загрузка является одним из обязательных требований к оборудованию для официальной установки и запуска Windows 11. Для пользователей, которые обновляются с Windows 10 до Windows 11, минуя проверки оборудования неофициальными способами, Центр безопасности Windows с большей вероятностью отобразит красное предупреждение о том, что безопасная загрузка не включена и последний сертификат отсутствует. Microsoft напоминает, что при возникновении такой ситуации пользователям следует проверить настройки BIOS/UEFI по запросу или как можно скорее обратиться к производителю устройства.
Microsoft заявила, что большинству пользователей не нужно слишком беспокоиться о проблемах с сертификатом безопасной загрузки, поскольку система автоматически выдаст и применит версию сертификата 2023 года к большинству совместимых устройств через Центр обновления Windows. Однако наблюдения Windows Latest показывают, что обновления сертификатов безопасной загрузки на некоторых устройствах не работают из-за ограничений встроенного ПО. Это означает, что эти устройства могут не иметь возможности получать новые сертификаты в течение длительного времени, а соответствующий статус Центра безопасности Windows будет продолжать отображать желтые или красные предупреждения.
Тем не менее, даже если вы никогда не получите сертификат Secure Boot 2023, это не означает, что устройство обязательно станет нестабильным или сразу подвергнется серьезным угрозам безопасности. В отчете отмечается, что для большинства обычных потребителей вероятность столкнуться с реальными атаками только потому, что сертификат Secure Boot не был обновлен, все еще низка. Однако с точки зрения долгосрочного обслуживания и соответствия требованиям, обеспечения возможности обновления встроенного ПО, безопасная загрузка включена нормально, а получение максимально возможной последней версии сертификата по-прежнему является ключевым шагом для повышения безопасности всей машины.