Пользователи Windows 11 после установки майского обновления KB5089549 находят в корне системного диска C новую папку SecureBoot. Microsoft подтвердила, что появление этой директории не связано с ошибкой или заражением вредоносным ПО. Внутри папки находятся семь PowerShell-скриптов, предназначенных для подготовки устройств к массовой замене сертификатов механизма безопасной загрузки (Secure Boot), обязательного для работы Windows 11.
Механизм Secure Boot блокирует запуск неподписанного кода во время старта операционной системы, предотвращая загрузку руткитов и других вредоносных программ еще до запуска Windows. Для своей работы Secure Boot использует цифровые сертификаты, которые хранятся в прошивке UEFI. Оригинальные сертификаты Secure Boot, выпущенные в 2011 году или ранее, истекают в конце июня 2026 года. После истечения срока действия старых сертификатов устройства с включенным Secure Boot могут потерять способность применять обновления безопасности и, в некоторых случаях, не смогут корректно загружаться. Microsoft начала заблаговременную подготовку к этой крупной ротации сертификатов, которая представляет собой одно из самых масштабных совместных предприятий по обслуживанию безопасности в экосистеме Windows.
Папка SecureBoot появилась на устройствах с установленным накопительным обновлением KB5089549, выпущенным 12 мая 2026 года. Microsoft не упоминала добавление новой папки в оригинальных примечаниях к обновлению, но после вопросов от пользователей компания обновила документацию с пояснением. Внутри C:\Windows\SecureBoot находятся PowerShell-скрипты, которые не меняют параметры системы самостоятельно. Скрипт Detect-SecureBootCertUpdateStatus.ps1 проверяет установку новых сертификатов 2023 года и сохраняет результат в файл JSON. Скрипт Enable-SecureBootUpdateTask.ps1 следит за включением встроенной запланированной задачи Windows, которая непосредственно применяет сертификаты. Остальные пять скриптов помогают системным администраторам управлять процессом обновления сертификатов на большом количестве компьютеров в корпоративной сети.
Несмотря на целевую аудиторию этих инструментов, Microsoft распространяет папку SecureBoot на все устройства с Windows 11, включая домашние компьютеры с версией Home. Попытки вручную удалить эту папку не принесут пользы. Будущие обновления Windows могут рассчитывать на наличие этой директории, а ее удаление способно нарушить процесс обновления сертификатов и снизить уровень защиты системы от вредоносного ПО на этапе загрузки. Корпорация рекомендует оставить папку нетронутой и позволить системе самой завершить процесс ротации сертификатов.
Для устройств с современной версией прошивки UEFI замена сертификатов происходит автоматически после установки ежемесячных обновлений и одной-двух перезагрузок компьютера. Microsoft также предлагает для ИТ-администраторов возможность управлять обновлением сертификатов через реестр, групповые политики и систему конфигурации Windows. Не все устройства могут успешно получить новые сертификаты. Тысячи компьютеров с устаревшими версиями прошивки сталкиваются с ошибками при обновлении.
Пользователь может проверить статус Secure Boot через приложение «Безопасность Windows» в разделе «Безопасность устройства». Зеленый индикатор означает корректную работу Secure Boot с примененным новым сертификатом. Желтый предупреждает о необходимости действий, например, обновления прошивки материнской платы. Красный свидетельствует о невозможности получить новый сертификат без замены оборудования.