תוקף אישור אבטחה חיוני של Windows יפוג היום – כיצד לבדוק את המחשב האישי שלך
עקוב אחר ZDNET: הוסף אותנו כמקור מועדף בגוגל.
נקודות המפתח של ZDNET
- אתחול מאובטח מגן על מחשבי Windows ולינוקס מודרניים.
- אישורי האתחול המאובטח של Microsoft משנת 2011 יפוג ביוני ובאוקטובר 2026.
- רוב בעלי המחשבים בסדר אם הם מתקינים את העדכונים האחרונים.
מועד סוף התמיכה בשנה שעברה עבור Windows 10 היה מבחן גדול עבור צרכנים ואנשי IT כאחד. מזל טוב – כולם עברו! עם זאת, לפני שתתחיל לחגוג, שימו לב לתאריך תפוגה קריטי נוסף שיגיע השבוע. ארבעה אישורי אבטחה חיוניים של מיקרוסופט פוקעים, כאשר התוקף הראשון יפוג היום, 24 ביוני 2026.
מיקרוסופט הייתה שקופה מרעננת לגבי מה שהיא עושה כדי להחליף את האישורים הישנים האלה, עם הדרכה הן לצרכנים והן ללקוחות ארגוניים. זה גם הוסיף דרך קלה לכל אחד לבדוק את מצב האישורים, באמצעות כלי השירות המובנה של Windows Security. (פרטים נוספים על כך בהמשך הפוסט הזה.) אה, ועכשיו אולי זה זמן ממש טוב לוודא ששמרת עותק של מפתח השחזור של BitLocker, ליתר בטחון.
מועד אחרון זה קצת יותר מסובך מתאריך סיום התמיכה של Windows 10. כדי להבין מדוע, עלינו לדבר על תכונת אבטחה ליבה שנמצאת בכל מחשב Windows שתוכנן ונבנה מאז 2011: אתחול מאובטח. תכונה זו, המופעלת כברירת מחדל במחשבים חדשים שנמכרים עם Windows 10 ו-Windows 11, פועלת כשומר סף, ומאפשרת רק לתוכנה מהימנה לפעול בעת ההפעלה. אם מישהו מנסה להתעסק במערכת ההפעלה או לאתחל מהתקן חלופי, אתחול מאובטח חוסם את הניסיון הזה.
כמו כן: כיצד לשדרג את מחשב Windows 10 ה'לא תואם' ל-Windows 11 – בחינם
כל הגרסאות הנתמכות כרגע של Windows תומכות באתחול מאובטח, וכך גם מספר הולך וגדל של הפצות לינוקס, כולל אובונטו, פדורה, Linux Mint, OpenSUSE ושלל אחרים.
מה קורה לאישורי אתחול מאובטח?
אתחול מאובטח מסתמך על שרשרת של אישורים קריפטוגרפיים המאמתים את החתימה של כל רכיב אתחול. אחת התעודות החשובות ביותר היא מפתח רישום מפתח (KEK), הנקרא לפעמים גם מפתח החלפת מפתח. הוא יושב בקושחה של UEFI בכל מחשב מודרני ועובד עם Trusted Platform Module (TPM) כדי לנהל את רשימת מטעני האתחול המהימנים, הכלולים במאגר החתימות המותרות (DB) ובמסד הנתונים של החתימות האסורות (DBX).
תעודות רשות תעודות הייצור (CA) ו-UEFI CA שהונפקו על ידי מיקרוסופט חיוניים גם הם לתפעול של אתחול מאובטח וגם יש לעדכן אותם.
כמו כן: מיקרוסופט סוף סוף מביאה את שורת המשימות הניידת ל-Windows 11 – הנה מי יכול לנסות את זה עכשיו
אם קנית מחשב ב-15 השנים האחרונות, הוא מכיל כמעט בוודאות תעודות KEK ו-UEFI CA שהונפקו על ידי מיקרוסופט משנת 2011, אשר אמורים לפוג ביוני 2026. כדי לעדכן את האישורים הללו, אתה זקוק לגישה לשורש האמון – מפתח הפלטפורמה, המנוהל על ידי יצרן הציוד המקורי של החומרה.
|
*Microsoft Corporation KEK CA 2011 |
24 ביוני 2026 |
Microsoft Corporation KEK 2K CA 2023 |
חותם על עדכונים למסד הנתונים של חתימות האתחול המאובטח ולמסד הנתונים של החתימות שבוטלו |
|
Microsoft Windows Production PCA 2011 |
19 באוקטובר 2026 |
Windows UEFI CA 2023 |
חותם על טוען האתחול של Windows |
|
Microsoft UEFI CA 2011* |
27 ביוני 2026 |
Microsoft UEFI CA 2023 |
חתום על מעמיסי אתחול של צד שלישי ויישומי EFI |
|
Microsoft UEFI CA 2011* |
27 ביוני 2026 |
Microsoft Option ROM UEFI CA 2023 |
חותם על ROM אפשרויות של צד שלישי |
שולחן מותאם מ תפוגה של אישור האתחול המאובטח של Windows ועדכוני CA (תמיכה של מיקרוסופט)
* הערה: Microsoft UEFI CA 2011 הוחלף בשתי חתימות, כדי לאפשר לארגונים לסמוך על ROM אפשרויות של צד שלישי מבלי לסמוך גם על מעמיסי אתחול של צד שלישי.
כאשר תוקף אישורי האתחול המאובטח פג, הם אינם מורשים עוד לאמת תוכנת אתחול. זה לא נורא כמו שזה נשמע. המחשב שלך עדיין יתחיל ויפעל כרגיל, אבל הוא לא יוכל עוד לקבל עדכונים למנהל האתחול של Windows, מסדי נתונים של אתחול מאובטח ורשימות ביטול, ותיקונים לנקודות תורפה שהתגלו לאחרונה בשרשרת האתחול.
אתה יכול לכבות את האתחול המאובטח, אך פירוש הדבר שלא תוכל לגשת לדיסקים המוצפנים באמצעות BitLocker מבלי לספק את מפתח השחזור.
מיקרוסופט מציינת שתרחישים המסתמכים על אמון באתחול מאובטח (כגון הקשחת BitLocker, שלמות קוד ברמת האתחול, או מעמיסי אתחול ו-ROM של צד שלישי) עשויים להיות מושפעים גם אם הם דורשים אמון מעודכן של אתחול מאובטח.
בשנת 2023, מיקרוסופט הנפיקה תחליפים לאותם תעודות אתחול מאובטח. אבל כל הפואנטה של מודל אישור האתחול המאובטח הוא שלא קל להחליף את האישורים האלה – אם היו כאלה, כל מפתח תוכנות זדוניות בעולם היה מתמקד באנרגיה בדיוק לעשות את זה, יצירת ערכות שורש זדוניות שפועלות בעת ההפעלה ואינן ניתנות לזיהוי בקלות.
כמו כן: תיקוני מיקרוסופט מתעדים 198 באגים של Windows בעדכון יוני – ו-3 הם אפס ימים
כדי להתכונן לאירוע ההכחדה ההמונית הזה, מיקרוסופט ושותפי החומרה שלה עובדים כבר כמה שנים, ומתאמים סדרה עולמית של עדכונים שנועדו להחליף את האישורים המיושנים בגרסת 2023. מיקרוסופט מפרסמת הנחיות ללקוחות כבר יותר משנה, החל בתחילת 2025, ותיעדה את התקדמותה ב- פוסט בבלוג מוקדם יותר השנה:
שותפי המערכת האקולוגית שלנו ממלאים תפקיד קריטי במעבר לאישורי האתחול המאובטח החדשים. יצרני ציוד מקורי מספקים אישורים מעודכנים במכשירים חדשים ובמחשבים חדשים רבים יותר שנבנו מאז 2024, וכמעט כל המכשירים שנשלחו ב-2025 כבר כוללים את האישורים ואינם דורשים פעולה מצד הלקוחות. שותפי OEM גם עבדו בשיתוף פעולה הדוק עם צוותי ההנדסה שלנו כדי להבטיח שמכשירים מהשוק יוכלו ליישם את העדכונים בצורה חלקה וסיפקו הדרכה משלהם כדי לעזור ללקוחות להתכונן למעבר. כתוצאה מהמאמץ המשותף הזה, ייתכן שבקרוב תראה עדכון קושחה שיביא את ליבת האבטחה של המחשב שלך לעידן המודרני, וירחיק את תאריכי התפוגה של האישור בעשור נוסף או יותר.
עבור רוב האנשים, תהליך זה צריך להיות לא פולשני. ייתכן שכבר התקנת את העדכונים הדרושים מבלי ששמת לב. למנהלי ארגונים יש מגוון רחב של כלים לניטור ופריסה של עדכונים אלה, כולם מתועדים ב- אתחול מאובטח Playbook.for Windows Client.
עבור הפוסט הזה, הרכבתי רשימה של שאלות נפוצות, יחד עם תשובות מוסמכות.
מדוע פג תוקפם של האישורים הללו?
חמש עשרה שנה זה הרבה זמן! תקני האבטחה מתקדמים באופן דרמטי מדי שנה, וזה נורמלי לפרוש תעודות ישנות ולהחליפן בתעודות שהונפקו לאחרונה העומדות בתקני אבטחה מודרניים במקום להפוך לנקודת תורפה.
האם למחשב שלי יש אישורי אתחול מאובטח שפג תוקפם?
אם המחשב שלך תוכנן ונבנה לאחר 2011, הוא כולל אישורי אתחול מאובטח. כל מכשיר שתוכנן ונבנה בין 2012 ל-2024 נשלח עם תעודות משנת 2011, שתוקפם פג ב-2026 ויש להחליפו.
לפי מיקרוסופט, שותפי ה-OEM שלה מספקים אישורים מעודכנים במכשירים חדשים מאז 2024. אם יש לך מכשיר חדש יחסית, כנראה שהוא כבר כולל את האישורים העדכניים ביותר. מחשבי Copilot+ שנבנו בשנת 2025 ואילך כבר כוללים את אישורי 2023 ואינם זקוקים לעדכון.
כמו כן: כיצד לפתור בעיות במחשב שלך עם Copilot או ChatGPT – ביעילות
עדכון אחרון של Windows 11 מאפשר לך לבדוק את מצב אישורי האבטחה שלך באפליקציית Windows Security. בחר בדף אבטחת מכשיר וחפש תחת הכותרת "אתחול מאובטח". אם אתה רואה הודעה שאומרת "כל האישורים הנדרשים הוחלו", אתה מוכן ללכת.
כעת תוכל להשתמש באפליקציית Windows Security כדי לבדוק את המצב של אישורי אתחול מאובטח.
צילום מסך מאת אד בוט/ZDNET
אתה יכול גם להשתמש ב- PowerShell כדי לבדוק אם למחשב שלך יש את האישורים המעודכנים. פתח חלון PowerShell באמצעות אישורי מנהל ולאחר מכן העתק את הפקודה הבאה והדבק אותה בשורת הפקודה של PowerShell:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
אם התגובה נכונה, אתה מעודכן. אם התגובה היא שקר, אתה צריך עדכון קושחה.
האם אקבל אוטומטית תעודה מעודכנת?
אם המחשב שלך תוכנן ונבנה על ידי יצרן OEM גדול (Lenovo, HP, Dell, ASUS, Surface), ואתה מפעיל גרסת Windows נתמכת, אתה אמור לקבל את העדכון הדרוש באופן אוטומטי.
לדברי מיקרוסופט, "עבור רוב האנשים והעסקים המאפשרים למיקרוסופט לנהל עדכוני מחשב, האישורים החדשים יותקנו אוטומטית בתהליך העדכון החודשי הרגיל של Windows, ללא צורך בפעולה נוספת".
כמו כן: כן, אתה יכול לקבל את Microsoft 365 בחינם – הנה איך
עדכונים אלה יגיעו כמעט לכל המחשבים שבהם פועל Windows 11 ובמחשבים שבהם פועל Windows 10 עם מנוי לעדכוני אבטחה מורחבים. ייתכן שתזדקק לעדכון קושחה נפרד מיצרן המחשבים כדי לאפשר את התקנת האישורים המעודכנים.
לכל OEM יש דף סטטוס שבו אתה יכול לבדוק אם יש מידע מעודכן.
מספר מהיצרנים הללו שולחים מחשבים אישיים עם שתי קבוצות התעודות מזה זמן מה, מה שמאפשר ללקוחות ארגוניים לבחור מתי לעבור לתעודות החדשות.
עבור מחשבים מיוחדים, כגון שרתים והתקני IoT, ייתכן שיהיה עליך להוריד ולהתקין עדכון מיצרן המכשיר.
מה קורה אם לא אעדכן את האישורים האלה?
לדברי מיקרוסופט, "כאשר תוקפם של אישורי ה-CA של 2011, מכשירי Windows שאין להם אישורי 2023 חדשים אינם יכולים עוד לקבל תיקוני אבטחה עבור רכיבים לפני האתחול, מה שפוגע באבטחת האתחול של Windows… ללא עדכונים, מכשירי Windows התומכים באתחול מאובטח מסתכנים שלא יקבלו עדכוני אבטחה או נותנים אמון בעומסי אתחול חדשים, מה שיסכן את יכולת השירות והאבטחה".
יש לי מק. האם אני צריך לדאוג בקשר לזה?
לֹא.
יש לי מחשב עם לינוקס. האם אני צריך לדאוג בקשר לזה?
אם אתה מאתחל לינוקס כפול עם Windows, מיקרוסופט אומרת שהיא תעדכן את האישורים שעליהם מסתמכת לינוקס.
אם מחקת את Windows לחלוטין, ייתכן שלא תקבל את עדכוני האבטחה האחרונים באופן אוטומטי. אתה יכול ליצור קשר עם החברה שבנתה את המחשב שלך כדי לראות אם יש עדכון ידני, או שאתה יכול לכבות את האתחול המאובטח. חוץ מלראות מנעול אדום ומפחיד על מסך האתחול, כל השאר יפעל כמצופה.
בניתי את המחשב האישי שלי. איפה העדכונים שלי?
דבר עם יצרן לוח האם שלך. יכול להיות שיש עדכון, אבל בהתאם לגיל המחשב שלך, ייתכן שיצרן לוח האם לא יציע עדכון. אתה יכול לכבות את האתחול המאובטח, ו-Windows עדיין יופעל. אם BitLocker מופעל, ייתכן שיהיה עליך לספק את מפתח השחזור כדי לגשת לנתונים בדיסק זה.
כמו כן: כיצד למצוא את מפתח השחזור של BitLocker – ולשמור עותק גיבוי מאובטח לפני שיהיה מאוחר מדי
מתי יפוג תוקף התעודות החדשות?
לתעודות 2023 יש תאריכי תפוגה 15 שנים מאוחר יותר, ב-2038. היוצא מן הכלל היחיד הוא Windows UEFI CA 2023, שתוקפו יפוג ביוני 2035. זה אומר שנצטרך לעבור את הריקוד הזה שוב בעוד פחות מעשור.
היכן אוכל לקבל מידע נוסף או עזרה?
דף השאלות הנפוצות הרשמי של מיקרוסופט נמצא כאן: שאלות נפוצות לגבי עדכון אישור אתחול מאובטח. אם אתה נתקל בבעיות במחשב לא מנוהל בבית או במשרד קטן, בדוק עם יצרן המחשבים או פנה למיקרוסופט לקבלת תמיכה. מנהלי ארגונים יכולים להשתמש בערוצי תמיכה מסחריים.