تحديث الإقلاع الآمن لعام 2023 يصل لملايين الحواسيب: دليلك للتحقق من حماية جهازك

توسّع شركة Microsoft بشكل كبير في طرح تحديث شهادات ميزة الإقلاع الآمن (Secure Boot) لعام 2023 عبر حزمة تحديثات الثلاثاء لشهر يونيو 2026، والتي تحمل الرمز KB5094126. وبعد عامين من عمليات النشر الحذرة والتدريجية التي قيدتها اختبارات توافق البرامج الثابتة (Firmware)، أصبحت الغالبية العظمى من الأجهزة المدعومة بنظامي Windows 11 وWindows 10 تُصنّف الآن ضمن فئة الثقة العالية. ويعني هذا أن الشهادات الأمنية الحرجة إما تم تطبيقها بالفعل أو يتم تثبيتها بصمت في الخلفية. ومع اقتراب موعد انتهاء صلاحية شهادات عام 2011 الأصلية بدءاً من 24 يونيو 2026، يُعد التأكد من تحديث نظامك أمراً بالغ الأهمية للحفاظ على الحماية من البرمجيات الخبيثة التي تستهدف مرحلة الإقلاع.

تُعد ميزة الإقلاع الآمن (Secure Boot) خاصية أمنية أساسية مدمجة في البرامج الثابتة (UEFI) لحاسوبك. وتعمل هذه الميزة على التحقق من التوقيع التشفيري للبرامج التي تحاول التحميل قبل بدء تشغيل نظام Windows، مما يمنع البرمجيات غير المصرح بها والتي تتخفى من برامج مكافحة الفيروسات التقليدية. ورغم أن عملية التحديث تتم بشكل آلي لمعظم المستخدمين العاديين، إلا أنه يجب على مديري تقنية المعلومات والمستخدمين الذين يمتلكون أجهزة قديمة التحقق من حالة أجهزتهم لتجنب فشل الإقلاع أو فقدان التغطية الأمنية.

بالنسبة لمعظم المستخدمين المنزليين، يتم تقديم شهادات عام 2023 بسلاسة عبر خدمة تحديثات النظام (Windows Update). ومع ذلك، يجب عليك التحقق يدوياً من نجاح التثبيت، خاصة إذا كان حاسوبك من إصدارات الفترة بين عامي 2015 و2019. اتبع هذه الخطوات للتحقق من الحالة:

1. توجّه إلى تطبيق أمن ويندوز (Windows Security). يُعد هذا التطبيق المركز الرئيسي لجميع ميزات الحماية المدمجة من شركة Microsoft.
2. انتقل إلى قسم أمان الجهاز (Device Security)، ثم انقر على الإقلاع الآمن (Secure Boot). تعرض هذه القائمة مستوى الحماية الحالي للبرامج الثابتة في جهازك.
3. تحقق من أيقونة الحالة المعروضة على الشاشة. يخبرك هذا المؤشر بالإجراء الدقيق المطلوب منك، إن وُجد.

• علامة صح خضراء: جهازك مُحدّث بالكامل بشهادات عام 2023. لا حاجة لاتخاذ أي إجراء إضافي، أو إجراء تغييرات في نظام BIOS، أو استخدام أوامر عبر أداة PowerShell.
• تحذير أصفر: ينتظر نظام Windows تطبيق التحديث لأنه يحتاج إلى مزيد من بيانات التوافق حول البرامج الثابتة الخاصة بجهازك. اترك خدمة تحديثات النظام (Windows Update) قيد التشغيل وانتظر.
• تنبيه أحمر: يشير هذا إلى وجود عدم توافق خطير في البرامج الثابتة. يجب عليك زيارة صفحة الدعم الخاصة بالشركة المصنعة لحاسوبك (مثل شركات HP، أو Dell، أو Lenovo، أو ASUS) لتنزيل وتثبيت أحدث إصدار من نظام BIOS. سيحاول نظام Windows إعادة تثبيت الشهادة بعد ذلك.

إذا أعاد حاسوبك التشغيل مرتين أو ثلاث مرات بعد تثبيت تحديثات Windows الأخيرة، فهذا أمر طبيعي تماماً. يتطلب دفع الشهادات التشفيرية إلى البرامج الثابتة تجهيز الملفات، وتطبيقها، ثم إقلاع محمل التمهيد المُحدّث، حيث تتطلب كل خطوة إعادة تشغيل. بالإضافة إلى ذلك، قد تلاحظ مجلداً جديداً باسم SecureBoot داخل مسار C:\Windows. أكدت شركة Microsoft أن هذا ليس خطأً برمجياً؛ حيث يستخدم النظام هذا المجلد لتجهيز الملفات قبل نقلها إلى البرامج الثابتة، ويجب عدم حذفه.

ومع ذلك، يجب على مستخدمي أجهزة شركة HP توخي الحذر. تسببت تحديثات نظام BIOS التي أصدرتها الشركة في أبريل 2026 في حدوث حلقات استرداد لأداة التشفير (BitLocker) وفشل في الإقلاع على الحواسيب المحمولة ومحطات العمل التجارية عند محاولة تطبيق شهادات الإقلاع الآمن. أقرت شركة HP بالمشكلة وأصدرت برامج ثابتة مُحدّثة. إذا كنت تمتلك جهازاً من شركة HP وواجهت مطالبات استرداد لأداة التشفير (BitLocker) بعد تحديث KB5094126، فيجب عليك تثبيت أحدث تحديث لنظام BIOS مباشرة من موقع دعم الشركة قبل اتخاذ أي خطوات أخرى لاستكشاف الأخطاء وإصلاحها.

نقلت حزمة تحديثات الثلاثاء لشهر يونيو عدداً هائلاً من طرز الأجهزة إلى قاعدة بيانات الثقة العالية. بالنسبة للأجهزة الموجودة في هذه الفئة، تتعامل خدمة Intune مع التحديث تلقائياً. أما بالنسبة للأجهزة خارج هذه الفئة، مثل الأجهزة المجمعة محلياً أو إصدارات البرامج الثابتة غير الشائعة، فيجب على المسؤولين تشغيل التحديث يدوياً. توصي شركة Microsoft بسحب تقرير المراقبة من خدمة Intune، وتحديد الأجهزة غير المُحدّثة، ودفع السياسة إلى مجموعة صغيرة تمثيلية قبل توسيع نطاق النشر.

لتشغيل التحديث يدوياً على الأجهزة المدارة من قِبل قسم تقنية المعلومات، يمكن للمسؤولين استخدام طريقة محرر السجل (Registry Editor) عن طريق تعيين قيمة التحديثات المتاحة (AvailableUpdates) إلى الرقم التالي:

5944

يجب على المسؤولين مراقبة مصدر أحداث TPM-WMI عن كثب في سجل أحداث النظام لتتبع نجاح النشر. تشمل معرفات الأحداث الرئيسية ما يلي:

• الحدث 1801: يتم تتبع الجهاز وهو في انتظار مزيد من بيانات التوافق.
• الحدث 1802: تم اكتشاف مشكلة محددة على مستوى البرامج الثابتة، مما يضع الجهاز في حالة إيقاف مؤقت. لا تجبر التحديث؛ قم بتثبيت تحديث نظام BIOS من الشركة المصنعة أولاً.
• الحدث 1803: فشل في تطبيق تحديث مفتاح KEK، ويُلاحظ غالباً في إعدادات الأجهزة الافتراضية ذات تكوينات مفتاح المنصة (PK) غير الصالحة.
• الحدث 1808: اكتمل التحديث بالكامل، ومفاتيح الإقلاع الآمن الجديدة نشطة.

للحصول على استراتيجيات نشر مفصلة، توفر شركة Microsoft وثائق رسمية حول مراقبة حالة شهادة الإقلاع الآمن باستخدام معالجات Intune وطريقة مفتاح السجل للأجهزة المدارة من قِبل قسم تقنية المعلومات. إذا كان الجهاز في حالة إيقاف مؤقت، راجع صفحات الشركات المصنعة للإقلاع الآمن من Microsoft للحصول على موارد البرامج الثابتة. تتطلب البيئات الافتراضية أيضاً اهتماماً خاصاً؛ حيث يجب على المسؤولين مراجعة الإرشادات الخاصة بـ الأجهزة الافتراضية الموثوقة والسرية على منصة Azure وبيئات سطح المكتب الافتراضي على Azure.

يمثل يوم 24 يونيو 2026 تاريخ انتهاء صلاحية شهادة KEK CA 2011 الخاصة بشركة Microsoft. لن تتوقف الأجهزة عن العمل فجأة في هذا التاريخ. ومع ذلك، ستفقد الشركة القدرة على توقيع حمولات إبطال DBX جديدة باستخدام مفتاح KEK القديم. ويعني هذا أن أي حاسوب لم يتلق تحديث مفتاح KEK لعام 2023 لن يتلقى تحديثات القائمة السوداء للبرمجيات الخبيثة الجديدة، مما يتركه عرضة للتهديدات المكتشفة حديثاً في مرحلة الإقلاع المبكر. لا تنتهي صلاحية مفتاح DB نفسه حتى أكتوبر 2026. للحصول على نظرة شاملة حول هذا الانتقال، يمكن للمسؤولين زيارة الرابط aka.ms/GetSecureBoot.

يسلط الانتقال إلى شهادات عام 2023 الضوء على نقطة ضعف حرجة في بيئة الحواسيب الحديثة، وهي الاعتماد المفرط على جودة البرامج الثابتة (Firmware) التي يقدمها المصنعون. ورغم قدرة شركة Microsoft على دفع تحديثات نظام التشغيل بسلاسة، فإن تسبب تحديث نظام BIOS من شركة HP في حدوث حلقات استرداد لأداة التشفير (BitLocker) يثبت أن مصنعي الأجهزة لا يزالون يواجهون صعوبات في مواكبة المتطلبات الأمنية الصارمة. يُعد هذا الطرح بمثابة اختبار ضغط للبنية التحتية للتحديثات في الصناعة بأكملها.

تؤكد هذه التحديثات ضرورة مبادرة جودة التعريفات التي أعلنت عنها شركة Microsoft خلال مؤتمر WinHEC 2026. ومن خلال إلزام الشركات المصنعة للأجهزة ومطوري الرقائق بتحمل مسؤولية مشتركة عن استقرار البرامج الثابتة، تقر الشركة بأن أمان نظام التشغيل يعتمد كلياً على اللوحة الأم التي يعمل عليها. بالنسبة لمديري تقنية المعلومات، الدرس واضح تماماً: التعامل مع تحديثات البرامج الثابتة كإجراء روتيني هو مخاطرة كبيرة، واختبار هذه التحديثات على مجموعة صغيرة من الأجهزة لم يعد خياراً، بل أصبح تكتيكاً إلزامياً لتجنب الكوارث.