Большинство пользователей Windows понятия не имеют, что такое Secure Boot. Это нормально - механизм работает в фоне, молча, и не требует никакого участия человека. Ровно до тех пор, пока что-то не идёт не так. В 2026 году именно это "что-то" приближается с вполне определённой датой: сертификаты Secure Boot, выданные в 2011 году, начинают истекать в июне. Microsoft готовится к этому событию заранее - и впервые выводит информацию о состоянии загрузочной защиты прямо на экран, в приложение Windows Security.
Обновление начинает раскатываться в апреле 2026 года. Пользователи Home и Pro редакций Windows 11 и Windows 10 увидят в разделе "Безопасность устройства - Secure Boot" новые цветные индикаторы, которые отражают текущий статус сертификатов. Зелёный, жёлтый, красный. Три цвета, три разных сценария развития событий - и за каждым стоит технический контекст, который стоит понимать.
Зачем Secure Boot вообще нужен и почему истечение сертификатов важно
Secure Boot - это механизм проверки подлинности на этапе загрузки компьютера. Прежде чем операционная система получает управление, прошивка UEFI проверяет каждый загрузочный компонент по криптографическим ключам, встроенным в firmware. Если компонент не подписан доверенным сертификатом - загрузка блокируется. Именно так Secure Boot защищает от буткитов - вредоносных программ, которые встраиваются в цепочку загрузки ещё до старта Windows и потому практически невидимы для антивирусного ПО.
Сертификаты, на которых держится эта система, имеют срок жизни. Те, что были выданы в 2011 году при запуске Secure Boot, начнут истекать с июня 2026 года. Обновлённые сертификаты образца 2023 года Microsoft распространяет через Windows Update - большинство потребительских устройств уже получили или получат их автоматически. Проблема в том, что часть пользователей об этом процессе ничего не знала и знать не могла: до апреля 2026 года проверить статус сертификатов можно было только через командную строку или реестр.
Именно этот пробел в видимости Microsoft и закрывает новым обновлением.
Что означают три цвета в приложении Windows Security
Новые индикаторы появляются в разделе "Windows Security - Безопасность устройства - Secure Boot" и дублируются в иконке приложения в системном трее. Логика цветов простая, но нюансы важны.
Зелёный цвет означает, что устройство получило все необходимые обновления сертификатов Secure Boot вместе с обновлённым диспетчером загрузки. Никаких действий не требуется. Однако Microsoft специально предупреждает: зелёная галочка сама по себе недостаточна. Нужно читать сопроводительный текст: если там написано "Secure Boot включён и все необходимые обновления сертификатов применены" - всё в порядке.
Жёлтый цвет - сигнал осторожности. Он появляется, когда обновление ещё не завершено или когда устройство имеет ограничения совместимости, препятствующие полноценному развёртыванию новых сертификатов. Жёлтый не означает немедленной угрозы, но означает, что система не готова к тому, что произойдёт в июне. Пользователь может временно отклонить это уведомление, но проблема при этом никуда не денется - значок в трее вернётся к нейтральному виду, а раздел в приложении сохранит предупреждение.
Красный цвет начнёт появляться позже - с мая 2026 года, когда Microsoft добавит второй этап функциональности. Красный означает, что устройство не может получить необходимые обновления сертификатов из-за ограничений аппаратного обеспечения или прошивки, и при этом была обнаружена уязвимость в загрузочном процессе, которую невозможно устранить без новых сертификатов. Отклонить красный индикатор можно только с правами администратора через опцию "принять риск" - система продолжит работу, но с явно зафиксированным ограничением безопасности.
Почему некоторые устройства не могут получить обновлённые сертификаты
Здесь начинается наиболее технически сложная часть истории. Secure Boot работает через связку: операционная система передаёт новые сертификаты в прошивку UEFI устройства. Если прошивка несовместима с новыми сертификатами или производитель не выпустил обновление firmware, процесс останавливается. Windows Update может доставить сертификаты в систему, но передать их в UEFI не получится.
Именно такие устройства и будут показывать жёлтый статус. Для них правильный путь - проверить наличие обновлений BIOS или UEFI на сайте производителя компьютера или материнской платы. Многие производители уже выпустили соответствующие обновления прошивки. Устройства после 2024 года выпуска в большинстве своём идут с обновлёнными сертификатами прямо из коробки.
Если производитель прекратил поддержку конкретной модели и обновления прошивки не планируется, устройство останется в жёлтом статусе бессрочно. Это не означает немедленного прекращения работы - Windows продолжит загружаться. Но со временем такие устройства могут потерять возможность получать будущие обновления безопасности на уровне загрузчика.
Контекст этой проблемы имеет конкретное имя: BlackLotus. Это UEFI-буткит, обнаруженный в 2023 году, который умел обходить Secure Boot даже на полностью обновлённых системах. CVE-2023-24932 стала тем толчком, который заставил Microsoft ускорить развёртывание новых сертификатов и обновлённого диспетчера загрузки - всё это часть одного большого технического ответа на ту угрозу.
Как раскатывается обновление и что оно несёт в двух фазах
Microsoft разбила развёртывание новых индикаторов на два этапа. Первая фаза, апрель 2026 года, добавляет в приложение Windows Security отображение статуса сертификатов, цветные значки и ссылку на подробное руководство. Для Windows 11 версий 23H2, 24H2, 25H2 и 26H1, а также для Windows Server 2025 обновление приходит 8 апреля 2026 года через обновление самого приложения. Для Windows 10 версий 22H2, 21H2 и 1809, а также Windows Server 2019 и 2022 - 14 апреля через накопительное обновление.
Вторая фаза, май 2026 года, расширяет функциональность. К визуальным индикаторам добавятся системные уведомления за пределами приложения - прямые оповещения в трее и всплывающие сообщения - а также расширенные элементы управления внутри самого приложения. Именно тогда пользователи начнут получать уведомления о необходимости действий без необходимости самостоятельно открывать Windows Security.
Для корпоративных устройств и Windows Server все новые индикаторы отключены по умолчанию. Логика здесь та же, что и в случае с принудительным обновлением до 25H2: IT-администраторы управляют парком централизованно, через Intune, WSUS или Windows Autopatch, и индивидуальные уведомления на каждой машине создали бы лишний шум вместо пользы. Администраторы могут включить индикаторы вручную через реестр или политики, а статус сертификатов отслеживать через отчёт Secure Boot status в Microsoft Intune.
Что это изменение означает для обычного пользователя
Честно говоря, для большинства людей - ничего особенного не произойдёт. Устройства, купленные после 2020 года и регулярно получающие обновления Windows, скорее всего, покажут зелёный статус без каких-либо действий с их стороны. Обновлённые сертификаты уже распространяются автоматически несколько месяцев.
Ценность нового функционала не в том, что он требует действий от большинства, а в том, что он впервые делает видимым то, что раньше было полностью скрытым. Secure Boot всегда работал как чёрный ящик: либо загружается, либо нет. Теперь между этими двумя состояниями появилось пространство для предупреждений, объяснений и заблаговременной подготовки. Это небольшой, но принципиальный сдвиг в том, как операционная система разговаривает с пользователем о собственной безопасности.
Канал сайта в Telegram
Канал сайта на YouTube