خطر از کار افتادن کامپیوترها در سال 2026؛ راه رفع مشکل بوت ویندوز چیست؟

در دنیای ویندوز، یک ضرب الاجل فنی بسیار مهم نزدیک است که می تواند مستقیماً عملکرد سیستم شما را مختل کند. اگر آمادگی لازم را ندارید، ممکن است در اواسط سال 2026 (حدود ژوئن 1405) مشکل بوت ویندوز صورت شرایطی که در آن کامپیوتر دیگر قادر به بوت شدن نخواهد بود. این چالش مربوط به یکی از مهمترین لایه های امنیتی یک سیستم عامل یعنی قابلیت Secure Boot است.

وظیفه اصلی Secure Boot این است که قبل از بوت کردن ویندوز، فرآیند بوت را بررسی کند تا مطمئن شود که هیچ کد مخرب یا بدافزاری در حال اجرا نیست. این سیستم از “گواهی های رمزنگاری” برای اطمینان از اعتبار آنها استفاده می کند. مشکل این است که بخش بزرگی از این گواهی‌های قدیمی که سال‌ها سیستم ما را ایمن کرده‌اند، در ژوئن 2026 منقضی می‌شوند.

این انقضا به این معنی است که اگر سیستم شما به گواهی‌های جدید مجهز نباشد، احتمالاً از دریافت به‌روزرسانی‌های سیستمی و امنیتی آینده جلوگیری می‌کند. در واقع، اگر به‌روزرسانی‌های بعدی سفت‌افزار به این گواهی‌های جدید وابسته باشد، ممکن است رایانه لایه امنیتی را نشناسد و از بوت شدن خودداری کند. خوشبختانه، مایکروسافت از مدت ها قبل شروع به انتشار نسخه های جدید کرده است. بنابراین جای نگرانی نیست، اما آشنایی با این فرآیند به شما کمک می کند تا امنیت و ثبات سیستم خود را بدون تعجب حفظ کنید.

نقش گواهینامه های Secure Boot در راه اندازی ویندوز چیست؟

برای درک بهتر این موضوع، ابتدا باید با مفهوم «زنجیره اعتماد» آشنا شویم. سیستمی هوشمند که واجد شرایط بودن رایانه شما برای بارگیری سیستم عامل را در لحظه روشن کردن دستگاه بررسی می کند.

هر بار که دکمه روشن/خاموش را فشار می‌دهید، ویژگی Secure Boot قبل از اینکه ویندوز، درایورها یا نرم‌افزار آنتی ویروس فرصتی برای راه‌اندازی داشته باشند، راه‌اندازی می‌شود. سیستم عامل مادربرد که UEFI نام دارد از مجموعه ای از گواهینامه های دیجیتال معتبر ذخیره شده در حافظه داخلی آن استفاده می کند. هدف از این گواهینامه ها تأیید اعتبار اجزای مهم سیستم، به ویژه Windows Boot Manager است تا اطمینان حاصل شود که این فایل ها توسط یک مرجع معتبر (مانند مایکروسافت) امضا شده اند. اگر امضای دیجیتال این اجزا با گواهینامه های موجود در UEFI مطابقت نداشته باشد، فرآیند بوت فوراً برای حفظ امنیت متوقف می شود.

این فرآیند احراز هویت سنگ بنای زنجیره اعتماد است و از اجرای بدافزار قبل از بوت شدن ویندوز جلوگیری می کند. در معماری بوت امن، دو پایگاه داده زیر نقش حیاتی ایفا می کنند:

• پایگاه داده (لیست تایید شده): این بخش حاوی گواهی هایی است که بوت لودرهای مورد اعتماد را شناسایی می کند. اجزای بوت ویندوز با کلیدهای مخصوص مایکروسافت امضا می شوند و نسخه عمومی این کلیدها برای صحت در این پایگاه داده نگهداری می شود.
• پایگاه داده KEK (Key Exchange Key): این پایگاه داده حاوی کلیدهای سطح بالاتری است که مشخص می کند کدام نهادها (مانند سازنده لپ تاپ یا مایکروسافت) مجاز به تغییر لیست پایگاه داده پایگاه داده هستند. در واقع، KEK تضمین می کند که هیچ شخص غیرمجاز نمی تواند لیست فایل های مورد اعتماد سیستم شما را دستکاری کند.

نکته کلیدی در اینجا این است که همه این گواهینامه ها دارای تاریخ انقضا هستند. این محدودیت زمانی یک اقدام امنیتی آگاهانه برای کاهش خطر سوء استفاده از کلیدهای قدیمی یا در معرض خطر است. هنگامی که گواهی منقضی می شود، سیستم عامل دیگر نمی تواند به عنوان یک ابزار قابل اعتماد به آن اعتماد کند و دقیقاً اینجاست که خطر بوت نشدن ویندوز به وجود می آید.

چه گواهی هایی منقضی می شوند؟

بسیاری از گواهینامه های در معرض خطر در سال 2011 ایجاد شده اند و زمانی در سال 2026 لغو خواهند شد. مایکروسافت در حال جایگزینی آنها با گواهینامه های جدید از سال 2023 است. در جدول زیر می توانید گواهی های حذف شده و جایگزین های آنها را مشاهده کنید:

از زمان انتشار ویندوز 8، این سه گواهی در حال انقضا به ستون فقرات راه اندازی ایمن در رایانه های ویندوز تبدیل شده اند. همانطور که در جدول مشاهده می کنید، گواهی Microsoft UEFI CA 2011 با دو گواهی جدید جایگزین شده است تا جزئیات و جداسازی امنیتی را بهبود بخشد. اگرچه انتظار نمی‌رود سیستم‌هایی که گواهی‌های جدید را دریافت نمی‌کنند ناگهان از کار بیفتند، اما مطمئناً این سیستم‌ها از به‌روزرسانی‌های امنیتی و حفاظتی آینده برای Secure Boot رد خواهند شد.

با اجرای این دستور می توانید گواهینامه مدیریت بوت ویندوز فعلی را در رایانه خود بررسی کنید پاورشل (PowerShell) به عنوان به عنوان مدیر اجرا شود او می بیند:

دریافت امضای رمز احراز هویت “C:WindowsBootEFIbootmgfw.efi”).SignerCertificate | قالب فهرست موضوع، منبع، هنوز نه، اثر انگشت

در خروجی این دستور به فیلد NotAfter توجه کنید که نشان دهنده تاریخ انقضای گواهی است.

چرا ممکن است سیستم های آسیب پذیر پس از به روز رسانی بوت نشوند؟

برای به روز رسانی مشکل بوت ویندوز گواهینامه ها لزوماً دقیقاً در همان روز منقضی نمی شوند. با این حال، نصب یک به‌روزرسانی جدید میان‌افزار یا به‌روزرسانی امنیتی می‌تواند تعاریف سیستم شما را از «فایل مورد اعتماد» تغییر دهد. در این لحظه آشفتگی در فرآیند راه اندازی آغاز می شود.

این وضعیت قبلاً در هنگام مواجهه مایکروسافت با بدافزار خطرناک BlackLotus UEFI bootkit تجربه شده است. این بدافزار توانایی عجیبی دارد و حتی در صورت فعال بودن Secure Boot می تواند کدهای مخرب خود را اجرا کند. از آنجایی که وصله‌های اولیه کافی نبود، مایکروسافت تصمیم گرفت تمام اجزای آسیب‌پذیر بوت را از طریق فهرستی به نام DBX (پایگاه داده امضای مسدود شده) باطل کند. این لیست سیاه در واقع از اجرای بوت لودرهای در معرض خطر جلوگیری می کند. در عین حال، استانداردهای بوت ایمن سختگیرانه تر شده اند.

در همین حال، گواهی های جدید صادر شده در سال 2023 نقش حیاتی در تقویت روند ابطال و تضمین امنیت سیستم در آینده ایفا خواهد کرد. به عبارت ساده، حتی اگر رایانه شما در حال حاضر به خوبی کار می کند، اگر به روز رسانی جدیدی نصب شده باشد که نیاز به اطمینان از گواهینامه های جدید (نسخه 2023) دارد و سیستم شما فاقد آنها است، Secure Boot به آن اجازه راه اندازی نمی دهد. در چنین شرایطی گزینه های بازیابی سیستم شما بسیار محدود و دشوار خواهد بود و با یک بحران جدی بوت ویندوز مواجه خواهید شد.

مایکروسافت چگونه سیستم ها را به گواهی های جدید منتقل می کند؟

مایکروسافت قبل از سال 2026 یک انتقال مرحله‌ای را آغاز کرده است. این طرح ابتدا با چیزی که مایکروسافت آن را «سیستم‌های با اعتماد بالا» می‌نامد آغاز می‌شود. این بدان معناست که رایانه‌هایی با سیستم‌افزار به‌روز، تاریخچه به‌روزرسانی منظم و ویژگی Secure Boot فعال هستند. این دستگاه‌های واجد شرایط از طریق Windows Update گواهی‌های جدید دریافت می‌کنند، اما تکمیل نصب آنها مستلزم هماهنگی و تأیید سیستم عامل سیستم است.

ماشین‌های مجازی ویندوزی که از پروتکل UEFI Secure Boot استفاده می‌کنند، دقیقاً از الگوی اعتماد یکسانی پیروی می‌کنند و مانند ماشین‌های فیزیکی گواهی‌ها را دریافت می‌کنند. این شامل ماشین های مجازی است که در خدمات Hyper-V و Azure مستقر شده اند. هر ماشین مجازی که نتواند گواهی‌های جدید را با موفقیت جایگزین کند، مانند سیستم‌های فیزیکی با خطر بوت نشدن مواجه خواهد شد.

به‌روزرسانی‌های ویندوز با شناسه‌های KB5074109 و KB5073455 مدتی است که این گواهی‌ها را توزیع می‌کنند. با این حال، به دلیل محدودیت‌های فنی در میان‌افزار برخی از دستگاه‌ها، ممکن است فرآیند تعویض به‌طور خودکار تکمیل نشود و نیاز به مداخله دستی کاربر داشته باشد.

با اجرای دستور زیر در PowerShell می توانید بررسی کنید که سیستم شما برای دریافت این به روز رسانی ها آماده است. اگر مقدار مقابل عبارت AvailableUpdates در خروجی فرمان عددی غیر از صفر باشد، سیستم شما شناسایی شده و آماده دریافت گواهینامه های جدید است:

get-ItemProperty -path “HKLM:SYSTEMCurrentControlSetControlSecureBoot” | منوی قالب

چه مراحلی برای اطمینان از عملکرد رایانه در سال 2026 مورد نیاز است؟

برای جلوگیری از وقوع آن مشکل بوت ویندوز از این پس، دو اقدام اصلی وجود دارد که باید از هم اکنون انجام دهید:

1. بررسی کنید که Secure Boot فعال است یا خیر: ساده ترین راه برای انجام این کار استفاده از ابزار داخلی اطلاعات سیستم است. “System Information” را در منوی شروع پیدا کرده و آن را باز کنید. در صفحه اصلی، کلمه On باید در مقابل گزینه Secure Boot State درج شود.
2. به روز رسانی سیستم عامل: این مهمترین مرحله است. مطمئن شوید که به وب سایت رسمی سازنده سخت افزار خود (مانند Dell، HP، Lenovo) یا سازنده مادربرد (مانند ASUS، MSI، Gigabyte) مراجعه کرده و بسته به مدل سیستم خاص خود، آخرین نسخه BIOS یا UEFI را دانلود و نصب کنید.

در بیشتر موارد، اگر سیستم شما با استانداردهای جدید سازگار باشد، گواهی ها به صورت خودکار و در پس زمینه جایگزین می شوند. با این حال، اگر از پیکربندی Dual-Boot (دو سیستم عامل همزمان) استفاده می کنید یا اگر سیستم شما هنوز از حالت های قدیمی استفاده می کند (Legacy Boot)، باید بیشتر مراقب باشید. زیرا این سیستم ها معمولا به راحتی به روز رسانی خودکار را دریافت نمی کنند.

در موارد خاص و فنی، ممکن است لازم باشد مقدار رجیستری را به صورت دستی تغییر دهید. برای انجام این کار، در ویرایشگر رجیستری به مسیر زیر بروید:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecureBoot

در اینجا باید مقدار کلید AvailableUpdates را به عددی غیر صفر (مثلاً 1) تغییر دهید (هشدار مهم: (دستکاری رجیستری حساس است و فقط برای کاربران حرفه ای توصیه می شود.)

در نهایت، با فعال کردن Secure Boot و به‌روزرسانی‌های معمولی میان‌افزار، می‌توانید از هرگونه وقفه راه‌اندازی ویندوز بدون نگرانی در مورد منقضی شدن گواهی‌ها جلوگیری کنید و از امنیت سیستم خود اطمینان حاصل کنید.