Встановлення Windows 11 24H2 без втрати файлів: UEFI, Secure Boot, драйвери, готово

Правила взаємодії (що ми гарантуємо)

«Встановити без втрати файлів» — це не загальна фраза. Це набір умов, які ви або виконуєте, або ні. Ось що ми гарантуємо — і що не гарантуємо.

Що на практиці означає «без втрати файлів»

• Ваші дані профілю користувача залишаться недоторканими: C:\Users\..., Documents/Desktop/Downloads, профілі браузерів, локальні дані додатків.
• Макет диска залишиться працездатним: розділ EFI System Partition (ESP), Microsoft Reserved (MSR), розділ Windows і розділ Recovery присутні й у нормальному стані.
• Стан шифрування під контролем: BitLocker або призупинено, або у вас є ключ і ви зможете завантажитися.
• Контролер сховища підтримується під час встановлення: NVMe/RAID/VMD драйвери доступні, якщо прошивка їх використовує.

Що це не обіцяє

• Що кожна програма виживе без змін. Безпекове ПЗ та старі VPN-клієнти відомі тим, що ламають оновлення.
• Що кожен драйвер залишиться стабільним. Windows може «оновити» драйвер GPU до версії з регресією продуктивності.
• Що прошивка поводиться коректно. Деякі лептопи ставляться до оновлень BIOS як до художніх проєктів.

І ще: інсталяція з опцією «keep files» не замінює резервне копіювання. Резервні копії — це те, що у вас є до того, як план піде не за планом. План — це те, що ви робите, щоб уникнути потреби у резервній копії.

Жарт №1: Оновлення Windows — як посадка в літак: процес стандартизований, а результат залежить від того, чи всі слідують правилам.

Цікавинки та коротка історія

Це не просто цікаві факти — вони пояснюють, чому встановлення Windows 11 поводиться саме так.

1. UEFI замінив класичний BIOS більше десяти років тому, але «CSM/Legacy Boot» досі живе, бо підприємства довше тримають старі образи та звички.
2. GPT став сучасним стандартом переважно через розміри дисків і обмеження розділів. Практичні обмеження MBR були прийнятні — допоки перестали бути такими.
3. Secure Boot з’явився ще в еру Windows 8 як засіб зменшення ризику bootkit-ів і шкідників до ОС. Він дратує — але й рятує.
4. Вимоги TPM 2.0 у Windows 11 були різким заходом для підвищення базового захисту облікових даних і вимірюваного завантаження. Це також змусило багато апаратних перевірок.
5. Підказки BitLocker про відновлення часто з’являються після змін у прошивці або завантаженні, бо TPM «запечатав» стан завантаження і тепер він не збігається. Це зроблено навмисно.
6. Режими зберігання Intel RST/VMD (поширені в ноутбуках) можуть «сховати» NVMe-диски від Setup без потрібного драйвера — особливо якщо в BIOS увімкнено RAID/VMD.
7. Поведінка папки Windows.old пояснює, чому деякі сценарії «встановити з збереженням файлів» працюють: Windows відсуває стару ОС замість миттєвого перезапису.
8. Windows Setup обережний щодо ESP і розділів відновлення і може відмовитися продовжувати, якщо не може створити/змінити розміри потрібних розділів. Саме тому виникає помилка про «недостатньо місця», навіть коли на C: достатньо.

Вибір шляху: оновлення на місці або «встановити з збереженням файлів»

Шлях A: оновлення на місці (рекомендується, якщо Windows завантажується нормально)

Це найчистіший «без драм» варіант: запустіть setup із середовища Windows (підключений ISO або USB) і оберіть Keep personal files and apps. Це зберігає встановлені додатки, більшість налаштувань, стан приєднання до домену і реєстрацію в управлінні пристроями.

Коли використовувати: поточна Windows стабільна, диск здоровий і ви можете увійти в систему.

Коли уникати: якщо вже є пошкодження файлової системи, повторні BSOD або ви не довіряєте поточній інсталяції.

Шлях B: «Встановлення» з USB з збереженням файлів (менш ідеально, але часто працює)

Завантажтеся з носія встановлення, вкажіть існуючий розділ Windows — і можливо отримаєте результат «keep files» через папку Windows.old. На практиці це менш передбачувано, чутливіше до макету розділів та шифрування і частіше втрачає додатки.

Коли використовувати: Windows не завантажується, але диск і дані ці, і потрібна ремонтна перевстановлення.

Шлях C: чиста інсталяція + ручна міграція (надійний ядерний варіант)

Якщо ви не довіряєте старій ОС і хочете відомий добрий базовий стан — зробіть чисту інсталяцію і відновіть дані з резервної копії. З точки зору SRE це найнадійніший підхід — бо його можна повторити. Це також найменш «без втрати файлів», якщо ви не підготувалися.

Перевірки перед стартом, що рятують серце

1) Визначте, що ви не можете дозволити собі втратити

На реальних машинах незамінне зазвичай не просто «файли». Це облікові дані, ключі шифрування, профілі браузера та один пропрієтарний додаток з активацією.

• Якщо увімкнено BitLocker, підтвердіть, що можете отримати ключ відновлення перед тим, як щось робити.
• Якщо у вас робочий пристрій, переконайтеся, що зможете заново підключитися до MDM або домену, якщо треба.
• Якщо ви використовуєте WSL, експортуйте важливі дистрибутиви. Оновлення зазвичай їх зберігають, але «зазвичай» — не гарантія.

2) Підтвердіть апаратні вимоги нудним способом

Windows 11 вимагає UEFI, можливість Secure Boot і TPM 2.0. Не гадати — перевірити.

3) Перевірте стан диска і вільне місце

Оновлення потребують робочого простору для операцій WinSxS, відкату та тимчасових файлів. Якщо у вас менше ~30–40 ГБ вільного, ви в зоні ризику. Не тому, що Microsoft так сказала, а тому, що відкат і тимчасова область працюють як ненажерливий кеш.

4) Поставте на паузу те, що ламає інсталяцію

• Стороннє антивірусне/EDR: вимкніть або видаліть, якщо відомо, що воно заважає.
• Інструменти «оптимізації» диска: ні. Так само ні — очистникам реєстру.
• Розгін або зміни напруги: поверніть до заводських налаштувань під час інсталяції. Потім можна знову шукати продуктивність.

Жарт №2: Очищувачі реєстру — як «дієтична вода»: головне з них — гроші в кишені інших.

Драйвери: спочатку сховище, GPU потім

Якщо Windows Setup не бачить ваш диск — усе інше неважливо. Драйвери для сховища — першочергові; драйвери для GPU можна поставити після першого завантаження.

Знайте режим зберігання

На багатьох ноутбуках (особливо на платформах Intel) BIOS пропонує:

• AHCI (простий, часто найзручніший для Setup)
• RAID (інколи включений за замовчуванням, навіть без реального RAID-масиву)
• VMD (Intel Volume Management Device; може вимагати Intel RST/VMD драйвер під час встановлення)

Зміна RAID/VMD на AHCI може зробити Setup простішим — але також може зробити існуючу Windows незавантажувальною, якщо в ній не ввімкнено відповідні драйвери. Ставтеся до змін режиму зберігання як до міграції схеми: плановано, поетапно, відновлювано.

Стратегія драйверів, що працює

1. Перед оновленням завантажте драйвери сховища (Intel RST/VMD або OEM-пакет) і покладіть їх на USB-накопичувач.
2. Під час setup, якщо диск не з’являється — використайте Load driver і вкажіть на цей USB.
3. Після інсталяції першочергово встановіть чипсетні та мережеві драйвери; драйвери GPU — після стабільності.

UEFI, GPT, TPM, Secure Boot: шар дорослого нагляду

Windows 11 24H2 вимагає сучасного ланцюга завантаження. Практичний переклад:

• Режим завантаження: UEFI
• Стиль розділу: GPT (не MBR)
• Secure Boot: можливий і зазвичай увімкнений
• TPM: 2.0 присутній і ввімкнений (PTT/fTPM зараховується)

UEFI проти Legacy: чому це важливо

Legacy boot (CSM) — це шар сумісності. Він також притягує дивні речі: проблеми з завантажувачем, вимкнений Secure Boot і інсталяційні носії, які завантажуються тим чи іншим способом залежно від вибору в BIOS.

GPT проти MBR: питання конверсії

Якщо ви на MBR, але система в іншому здорова, MBR2GPT часто є найчистішим шляхом: конвертуєте на місці, зберігаєте дані, перемикаєте прошивку на UEFI і продовжуєте. Але не робіть цього сліпо — перевірте макет диска і підтвердіть можливість відновлення при проблемах.

Реальність Secure Boot

Secure Boot часто звинувачують у невдачах, які він не спричинив. Частіше справжня проблема — погані записи завантажувача, занадто маленький EFI-розділ або прошивка, збентежена після кількох установок ОС. Secure Boot просто вмикає сигнал, коли прошивка помічає щось не так.

Одна надійна цитата, яка переживає будь-який постмортем: «На надії дальших не побудуєш.» — Г. Норман Шварцкопф (часто цитують в операційних колах)

Контрольні списки / покроковий план

План A (найкращий): оновлення на місці з збереженням додатків і файлів

1. Підтвердьте UEFI, GPT, TPM 2.0, можливість Secure Boot.
2. Перевірте стан BitLocker; призупиніть, якщо увімкнено.
3. Перевірте стан диска і вільне місце; виправте очевидні проблеми.
4. Зберіть драйвери сховища (RST/VMD/OEM) на USB, про всяк випадок.
5. Підключіть ISO Windows 11 24H2 у Windows, запустіть setup.exe.
6. Оберіть Keep personal files and apps.
7. Після першого завантаження: перевірте Диспетчер пристроїв, Windows Update, журнали подій; лише потім встановлюйте додаткові драйвери від виробника.
8. Відновіть захист BitLocker.

План B: оновлення/ремонт, коли Windows не завантажується

1. Завантажтеся у Windows Recovery Environment (WinRE) або з інсталяційного USB.
2. Якщо диск невидимий: завантажте драйвер сховища.
3. Спробуйте відновлення запуску; за потреби відновіть записи завантаження.
4. Якщо доводиться перевстановлювати: інсталюйте в існуючий розділ Windows без форматування; збережеться Windows.old.
5. Після завантаження: мігруйте дані з Windows.old; перевстановіть додатки.

План C: чиста інсталяція з мінімальним болем

1. Бекап корисних даних і ключів (BitLocker recovery, браузерні дані, SSH тощо).
2. Чиста інсталяція на свіжо відформатований розділ ОС.
3. Встановіть чипсетні + драйвери сховища + мережі.
4. Відновіть користувацькі дані, повторно підключіть управління пристроями, перевстановіть додатки.

Практичні завдання з командами: що означає вивід і як вирішувати

Ці завдання припускають, що ви можете відкрити піднятий Command Prompt або PowerShell у Windows, або перебуваєте в WinRE/Setup, де Shift+F10 дає командний рядок. Команди показані у блоку з Bash-стилем відповідно до контракту виводу; сприймайте їх як буквальні Windows-команди.

Завдання 1: Підтвердити UEFI чи Legacy (з Windows)

cr0x@server:~$ bcdedit /enum | findstr /i "path"
path                    \EFI\MICROSOFT\BOOT\BOOTMGFW.EFI

Що це означає: Якщо бачите \EFI\..., ви завантажуєтеся в режимі UEFI. Якщо бачите \Windows\system32\winload.exe, ймовірно — Legacy/CSM.

Рішення: Якщо ви не в UEFI, плануйте конвертацію (MBR2GPT + перемикання прошивки) перед очікуванням коректного досвіду Windows 11.

Завдання 2: Підтвердити стиль розділу (GPT чи MBR)

cr0x@server:~$ diskpart
Microsoft DiskPart version 10.0.22621.1

DISKPART> list disk

  Disk ###  Status         Size     Free     Dyn  Gpt
  --------  -------------  -------  -------  ---  ---
  Disk 0    Online          476 GB      0 B        *

Що це означає: Зірочка * під Gpt означає, що Диск 0 — GPT.

Рішення: Якщо зірочки немає — ви на MBR. Розгляньте MBR2GPT, якщо хочете відповідність UEFI/Secure Boot для Windows 11.

Завдання 3: Перевірити версію TPM і готовність

cr0x@server:~$ powershell -NoProfile -Command "Get-Tpm | Format-List TpmPresent,TpmReady,ManagedAuthLevel,ManufacturerVersion"
TpmPresent : True
TpmReady   : True
ManagedAuthLevel : Full
ManufacturerVersion : 7.2.2.0

Що це означає: TPM присутній і готовий. Якщо TpmPresent дорівнює False — перевіряйте BIOS для fTPM/PTT.

Рішення: Якщо не готово — виправте налаштування прошивки перед оновленням. Не починайте інсталяцію в надії, що Setup «розбереться» — не розбереться.

Завдання 4: Перевірити стан Secure Boot

cr0x@server:~$ powershell -NoProfile -Command "Confirm-SecureBootUEFI"
True

Що це означає: Secure Boot увімкнено. Якщо команда поверне помилку «Cmdlet not supported», ви імовірно не завантажені через UEFI.

Рішення: Якщо Secure Boot вимкнено, але доступний — увімкніть його після підтвердження UEFI/GPT і здорового ланцюга завантаження.

Завдання 5: Перевірити стан BitLocker (і чи потрібно призупинити)

cr0x@server:~$ manage-bde -status c:
BitLocker Drive Encryption: Configuration Tool version 10.0.22621
Volume C: [OSDisk]
    Conversion Status:    Fully Encrypted
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown

Що це означає: Захист увімкнено. Зміни прошивки/завантаження можуть викликати запити відновлення.

Рішення: Призупиніть захист перед оновленням і відновіть після, якщо політика не забороняє (якщо забороняє — переконайтеся, що ключі відновлення доступні).

Завдання 6: Призупинити BitLocker на один цикл перезавантаження

cr0x@server:~$ manage-bde -protectors -disable c:
Key protectors are now disabled.

Що це означає: TPM sealing не заблокує наступне завантаження, бо захисники призупинено.

Рішення: Продовжуйте оновлення. Після підтвердження стабільного завантаження — знову ввімкніть.

Завдання 7: Швидко перевірити здоров’я ОС (system file check)

cr0x@server:~$ sfc /scannow
Beginning system scan.  This process will take some time.
Windows Resource Protection found corrupt files and successfully repaired them.

Що це означає: Було пошкодження і його вдалося виправити. Якщо не вдалося — можливо потрібно DISM RestoreHealth.

Рішення: Якщо SFC не може виправити — виконайте DISM перед оновленням. Оновлення на «хворому» образі зазвичай провалюються пізно і марнують ваш час.

Завдання 8: Відновити компонентне сховище (DISM)

cr0x@server:~$ DISM /Online /Cleanup-Image /RestoreHealth
Deployment Image Servicing and Management tool
Version: 10.0.22621.1

[==========================100.0%==========================]
The restore operation completed successfully.

Що це означає: Компонентне сховище знову консистентне.

Рішення: Перезапустіть SFC. Якщо обидва чисті — ваша база готова для оновлення на місці.

Завдання 9: Перевірити вільне місце (і вирішити, чи потрібно чистити)

cr0x@server:~$ powershell -NoProfile -Command "Get-PSDrive -Name C | Select-Object Used,Free"
Used Free
---- ----
410GB 28GB

Що це означає: 28 ГБ вільного — це на межі. Можливо пройде, але для відкату та тимчасової області місця може не вистачити.

Рішення: Звільніть до ~40 ГБ вільного, якщо можете. Якщо ні — очікуйте дивних помилок і довшого простою.

Завдання 10: Визначити, чи ви на MBR і перевірити готовність MBR2GPT

cr0x@server:~$ mbr2gpt /validate /disk:0 /allowFullOS
MBR2GPT: Attempting to validate disk 0
MBR2GPT: Retrieving layout of disk
MBR2GPT: Validating layout, disk sector size is: 512 bytes
MBR2GPT: Validation completed successfully

Що це означає: Макет диска можна конвертувати без очищення.

Рішення: Якщо валідація не пройшла — зупиніться і проаналізуйте розділи. Типові причини: забагато розділів, замало місця для EFI, або дивні OEM-розділи.

Завдання 11: Перетворити MBR на GPT (тільки після валідації)

cr0x@server:~$ mbr2gpt /convert /disk:0 /allowFullOS
MBR2GPT: Attempting to convert disk 0
MBR2GPT: Creating the EFI system partition
MBR2GPT: Installing the new boot files
MBR2GPT: Conversion completed successfully

Що це означає: Конверсія у GPT пройшла успішно і файли завантаження поміщені на новий ESP.

Рішення: Перезавантажтеся в налаштування прошивки і перемкніть режим завантаження на UEFI (відключіть CSM). Якщо не переключити прошивку, машина може залишитися без можливості завантаження.

Завдання 12: Знайти причину невдачі оновлення (SetupDiag)

cr0x@server:~$ SetupDiag.exe /Output:C:\Temp\SetupDiagResults.log
SetupDiag version: 1.6.0.0
LogPath: C:\Temp\SetupDiagResults.log
Found 1 matching profile.
Profile: CompatBlock
Result: Blocked due to incompatible driver: oem12.inf

Що це означає: Блокування оновлення спричинено несумісним драйвером. Часто це старі драйвери для сховища, VPN або безпеки.

Рішення: Видаліть або оновіть драйвер-блокер перед повторною спробою. Не намагайтеся штурмувати оновлення — блок існує, бо наслідок зазвичай нестабільний.

Завдання 13: Перевірити встановлені драйвери і знайти підозрілі

cr0x@server:~$ pnputil /enum-drivers | findstr /i "Published Name Original Name Provider Class"
Published Name : oem12.inf
Original Name  : badvpnfilter.inf
Provider Name  : Contoso Networking
Class Name     : NetService

Що це означає: Ви можете зіставити oem12.inf з реальним компонентом.

Рішення: Видаліть відповідний додаток/драйвер або замініть на оновлений варіант, протестований для 24H2.

Завдання 14: Акуратно видалити проблемний драйвер

cr0x@server:~$ pnputil /delete-driver oem12.inf /uninstall /force
Driver package deleted successfully.

Що це означає: Драйвер видалено зі сховища драйверів і деінстальовано.

Рішення: Перезавантажтеся, якщо потрібно. Потім повторіть оновлення. Якщо драйвер відповідав за мережу, майте під рукою офлайн-інсталятор драйвера.

Завдання 15: Коли Setup не бачить ваш диск (WinPE/Setup: завантажити драйвер, підтвердити диск)

cr0x@server:~$ diskpart
DISKPART> list disk

  Disk ###  Status         Size     Free     Dyn  Gpt
  --------  -------------  -------  -------  ---  ---
  Disk 0    Online          953 GB      0 B        *

Що це означає: Диск тепер видно. Якщо його не було видно до завантаження драйверів — ви щойно довели, що це проблема драйвера сховища, а не померлий SSD.

Рішення: Продовжуйте інсталяцію. Після першого завантаження встановіть відповідний пакет драйверів сховища у Windows, щоб уникнути сюрпризів.

Завдання 16: Виправити записи завантаження, коли машина не завантажується після конверсії/оновлення

cr0x@server:~$ bcdboot C:\Windows /f UEFI
Boot files successfully created.

Що це означає: Файли завантаження відновлено на EFI System Partition.

Рішення: Перезавантажтеся. Якщо прошивка все ще не завантажує Windows — перевірте порядок завантаження і наявність правильного запису «Windows Boot Manager».

Завдання 17: Перевірити наявність EFI-розділу і чи достатньо там місця (WinRE)

cr0x@server:~$ diskpart
DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 1         SYSTEM       FAT32  Partition    100 MB  Healthy    System
  Volume 2     C                NTFS   Partition    475 GB  Healthy    Boot

Що це означає: ESP існує (FAT32, «System»). 100 МБ може бути замало залежно від надмірного завантажувача від постачальника.

Рішення: Якщо оновлення скаржаться на простір системного розділу — розгляньте розширення ESP (складно, ризиковано) або очистку невикористаних EFI-записів. Якщо ви не впевнені — не робіть вільно операцій з розділами.

Швидкий план діагностики

Коли оновлення не вдається, ви можете витратити години на лог-файли — або ж провести триаж цілеспрямовано.

По-перше: це проблема видимості (диск/завантаження) чи сумісності (драйвери/політики)?

1. Чи бачить Windows Setup цільовий диск?
   • Якщо ні: підозрівайте режим сховища (VMD/RAID), відсутній драйвер або помилку SSD.
   • Якщо так: рухайтесь далі; ваш вузький профіль ймовірно — сумісність, місце або здоров’я образу.
2. Чи завантажується поточна Windows надійно?
   • Якщо ні: не робіть оновлення на місці сліпо. Спочатку виправте завантаження/пошкодження ФС.

По-друге: перевірте три поширених вбивці оновлень

1. Вільне місце: якщо менше ~30–40 ГБ — виправте це.
2. Здоров’я диска/образу: виконайте SFC + DISM; оновлення на пошкодженому образі — марна трата часу.
3. Блоки драйверів: запустіть SetupDiag; видаліть/оновіть драйвер, що блокує.

По-третє: перевірте передумови ланцюга завантаження

1. Підтверджений режим завантаження UEFI
2. Диск — GPT
3. Secure Boot підтримується (увімкнений, якщо можливо)
4. TPM присутній і готовий

По-четверте: лише потім ускладнюйте

• Проблеми з розміром ESP
• Дивні OEM-розділи відновлення
• Баги прошивки / оновлення BIOS
• Екзотичні фільтрувальні драйвери (DLP, VPN, старі прискорювачі сховища)

Типові помилки: симптом → причина → виправлення

1) «This PC can’t run Windows 11» під час setup

Симптом: Setup блокує через вимоги, хоча апарат «повинен» бути придатний.

Причина: Інсталятор завантажено в Legacy-режимі, TPM вимкнено, Secure Boot недоступний через увімкнений CSM або диск — MBR.

Виправлення: Завантажуйте інсталятор явно в UEFI, увімкніть TPM (PTT/fTPM) в BIOS, конвертуйте диск у GPT з MBR2GPT, потім увімкніть Secure Boot.

2) Диск не знайдено / «We couldn’t find any drives»

Симптом: Windows Setup не бачить NVMe/SSD.

Причина: Увімкнено Intel VMD/RST без потрібного драйвера, або контролер сховища потребує OEM-драйвер.

Виправлення: Завантажте драйвер сховища під час setup або переключіться на AHCI тільки якщо готові виправити конфігурацію драйверів у існуючій Windows.

3) Запит ключа відновлення BitLocker після оновлення

Симптом: Після перезавантаження запитують 48-значний ключ відновлення.

Причина: TPM вимірювальне завантаження змінилося через зміни прошивки, відновлення завантажувача, перемикання Secure Boot або зміну PCR-профілю.

Виправлення: Введіть ключ, завантажтеся, потім призупиніть/відновіть BitLocker, щоб повторно запечатати. Перед майбутніми оновленнями: призупиняйте захисники до змін.

4) Оновлення відкатується на ~70–90%

Симптом: «Undoing changes» і ви повертаєтеся на стару збірку.

Причина: Блок сумісності драйвера, проблеми з фільтрувальним драйвером або невдала міграція пристрою (часто сховище, мережа, агенти безпеки).

Виправлення: Запустіть SetupDiag, видаліть/оновіть драйвер, що позначено; відключіть непотрібні периферійні пристрої; повторіть спробу.

5) «Windows can’t be installed on this disk» (невідповідність стилю розділу)

Симптом: Setup каже, що потрібен GPT або що не можна інсталювати на GPT-диск.

Причина: Ви завантажили інсталятор у неправильному режимі (UEFI vs Legacy) щодо стилю розділу диска.

Виправлення: Завантажуйте інсталятор в UEFI для GPT-дисків. Якщо винятково маєте лишатися в Legacy (не рекомендовано) — використовуйте MBR.

6) «We couldn’t update the system reserved partition»

Симптом: Оновлення провалюється через помилки розділів резервного/системного простору.

Причина: ESP занадто маленький або заповнений фірмовими EFI-файлами; макет розділів відновлення перешкоджає зміні розміру.

Виправлення: Очистіть невикористані EFI-записи або обережно збільшіть ESP за допомогою інструментів розділів. Якщо ви не впевнені — робіть чисту інсталяцію з коректним макетом розділів.

7) Після оновлення: Wi‑Fi відсутній або мережа нестабільна

Симптом: Немає мережі, пристрій невідомий або переривчасті з’єднання.

Причина: Відсутній OEM-драйвер бездротового адаптера або його замінив універсальний драйвер.

Виправлення: Встановіть OEM-чипсетні та Wi‑Fi драйвери. Тримайте їх офлайн на USB перед оновленням, якщо це ноутбук.

8) Після оновлення: випадкові зависання під навантаженням

Симптом: Система «зависає» під час ігор, компіляції або інтенсивного IO.

Причина: Старий драйвер сховища, баг прошивки або нестабільність через розгін/пониження напруги, яка виявилася новим ядром/драйвером.

Виправлення: Оновіть BIOS і драйвери сховища, поверніться до заводських налаштувань, потім поступово відновлюйте налаштування тонкого налаштування.

Три корпоративні міні-історії з практики

Інцидент через хибне припущення: «Це ж просто оновлення на місці»

Середня компанія вирішила оновити флот ноутбуків до нового Windows-білду. План був простий: оновлення на місці вночі, збереження додатків, збереження файлів, збереження спокою. Керівник проєкту припустив, що Secure Boot вже увімкнено, бо пристрої «сучасні». Вони були сучасні. Вони також мали увімкнений CSM через старий іміджувальний процес, про який ніхто не хотів згадувати.

Оновлення пройшло. Багато пристроїв оновилися, перезавантажилися й опинилися в запиті відновлення. Не BitLocker-процедура — а відновлення завантаження. Деякі системи не могли знайти завантажувальну ОС, бо інсталятор був завантажений у неправильному режимі на підмножині пристроїв, і записи завантаження вийшли непослідовними. Декілька машин завантажилися, але їхній рівень безпеки розрізнявся: UEFI-параметри та записи завантаження були неуніфіковані. Гарно для аудиту безпеки, якщо вам подобається драма.

Відповідь не була героїчною. Це була інвентаризація. Вони зібрали звіт по режиму завантаження, стилю розділів і стану Secure Boot. Потім встановили правило: оновлення тільки якщо підтверджено UEFI+GPT і принаймні підтримка Secure Boot. Для пристроїв поза вимогою запускали MBR2GPT у контрольованому вікні, перемикали налаштування прошивки, валідували завантаження і лише потім оновлювалися.

Урок не в тому, щоб «не оновлювати». Урок — «не оновлювати керуючись припущеннями». Дрейт конфігурацій реальний. Єдина виграшна стратегія — спочатку виміряти, потім змінювати.

Оптимізація, яка відкотилась: зекономили час, пропустивши підготовку драйверів

Інша організація вирішила бути хитрішою. Вони оновлювали змішані десктопи і висококласні ноутбуки. Хтось сказав, що збирати OEM-драйвери — марна робота: «Windows Update впорається». Для більшості десктопів це здебільшого правда. Але для частини ноутбуків це виявилося хибним у найзатратніший спосіб.

Ці ноутбуки використовували конфігурацію зберігання, що залежить від певного Intel-стека. Оновлення пройшло на деяких машинах і провалилося на інших, залежно від тонких версій BIOS і увімкнення VMD. Коли setup не бачив диск, кількість запитів у службу підтримки зросла. Віддалено допомогти виявилося неможливо, бо, дивно, не зайдеш у машину, що застрягла всередині Windows Setup без диска.

Вони врешті відправили техніків на місця з USB зі стіком драйверів сховища. Це та частина, на яку ніхто не закладає бюджет: логістична вартість «ми вирішимо пізніше». Пізніше завжди дорожче.

Після того тижня план драйверів став нудним і обов’язковим: драйвери сховища і мережі підготовлені локально перед оновленням. Вони навіть стандартизували бандл драйверів на модель. Економія часу від пропуску підготовки була реальна — поки не стала від’ємною.

Нудно, але правильно, що врятувало день: призупинити BitLocker, документувати ключі відновлення, потім відновити

Фінансова організація проводила оновлення під суворим контролем безпеки. BitLocker мав залишатися увімкненим. TPM мав залишатися увімкненим. Ніхто не мав право «тимчасово вимикати безпеку», якщо немає документованої процедури і доказів відновлення контролів.

Тому вони зробили нудну, але правильну річ: перед будь-яким оновленням перевірили, що ключі відновлення збережені й доступні, потім призупинили захисники BitLocker на найкоротший практичний час. Після оновлення і першого успішного завантаження знову ввімкнули захисники і задокументували стан. Також вони розглядали оновлення BIOS як окреме вікно змін, а не щось, що роблять разом з оновленням ОС.

Під час розгортання частина машин все одно запросила ключі відновлення — бо налаштування прошивки мали дрейф, і одна модель мала застосований раніше BIOS-апдейт. Але оскільки ключі були відомі і процес відрепетируваний, користувачі не були заблоковані на годинник. Вони ввели ключ, завантажилися, захисники були повторно запечатані, і інцидент залишився приміткою, а не пожежною тривогою.

Служба безпеки це любила, бо зменшився ризик. Операції — бо зменшилося простоювання. Користувачі — бо їхній день не змінився. Ось як виглядає «нудно», коли зроблено правильно.

Поширені питання

1) Чи можу я встановити Windows 11 24H2 без втрати файлів, якщо завантажитися з USB?

Іноді. Завантаження з USB підвищує ризик втрати додатків і налаштувань. Якщо Windows ще завантажується, запустіть setup із середовища Windows і оберіть «Keep personal files and apps». Це надійний шлях зберегти все.

2) Чи потрібно увімкнути Secure Boot для встановлення Windows 11?

Потрібна можливість Secure Boot, і в багатьох середовищах очікують, що він увімкнений. Якщо ви вже на UEFI/GPT — увімкніть Secure Boot, якщо немає сумісних причин його вимикати.

3) Я на MBR. Чи можу конвертувати в GPT без очищення?

Часто так, за допомогою mbr2gpt, за умови сумісності макету розділів. Спочатку валідуйте, потім конвертуйте, потім переключіть прошивку на UEFI. Якщо валідація не пройшла — не брутфорсуйте; проаналізуйте розділи і усуньте блокери.

4) Чи варто перемикати режим зберігання BIOS з RAID/VMD на AHCI?

Тільки з наміром. Переключення може зробити існуючу Windows незавантажувальною, якщо драйвери AHCI не були увімкнені. Якщо Setup не бачить диск, завантаження правильного драйвера зазвичай безпечніше, ніж переключення BIOS посеред процесу.

5) Скільки вільного місця мені дійсно потрібно?

Для спокійного оновлення прагніть до 40 ГБ вільного на C:. Можна вкластися і менше, але ймовірність збоїв і відкатів зростає, а діагностика ускладнюється.

6) Чи втрачу я файли, якщо оновлення відкотиться?

Зазвичай ні; відкат має відновити попередній стан ОС. Але «зазвичай» ≠ «завжди». На машині, яка вам дорога, зробіть резервну копію незамінних даних.

7) Який найшвидший спосіб знайти причину невдачі оновлення?

Запустіть SetupDiag і прочитайте профіль результату. Якщо він вказує на драйвер (oemXX.inf), зіставте його з pnputil, потім оновіть/видаліть і спробуйте ще раз.

8) Після оновлення з’явився запит BitLocker. Чи втратив я шифрування?

Ні. Це означає, що TPM зафіксував зміну вимірюваного стану завантаження і BitLocker просить підтвердити вашу авторизацію. Введіть ключ відновлення, завантажтесь, і потім повторно запечатайте, призупинивши/відновивши захисники.

9) Чи збережу я файли, якщо зроблю чисту інсталяцію?

Автоматично — ні. Треба скопіювати дані заздалегідь (зовнішній диск/хмара) і відновити потім. Деякі намагаються покладатися на Windows.old від інсталяції без форматування; це працює, але не гарантовано і зазвичай втрачає програми.

10) Чи варто оновлювати BIOS перед встановленням Windows 11 24H2?

Якщо ви стабільні і BIOS не застарілий, не комбінуйте оновлення BIOS і OS в одному вікні змін. Якщо BIOS потрібен заради стабільності TPM/Secure Boot або видимості сховища — зробіть його першим, перезавантажтеся, підтвердіть стабільність, потім оновлюйте ОС.

Наступні кроки, які варто зробити

1. Інвентаризуйте ланцюг завантаження: підтвердіть UEFI + GPT + TPM готовий + можливість Secure Boot.
2. Контролюйте BitLocker: перевірте доступ до ключа відновлення, призупиніть на вікно оновлення, відновіть після.
3. Підготуйте драйвери: драйвер сховища і мережі на USB. Хочете бачити диск і мати доступ до мережі, навіть якщо Windows помилиться у вгадуванні.
4. Запустіть перевірки здоров’я: SFC + DISM. Виправте корупцію перш ніж просити Setup виконувати фігури.
5. Якщо можливо — оновлюйте зсередини Windows: це найкращий шлях для збереження додатків і стану користувача.
6. Після оновлення: переконайтеся, що Диспетчер пристроїв чистий, шифрування відновлено, і лише потім робіть «хот-хардварні» оновлення драйверів.

Якщо ви дотримаєтесь цього порядку, Windows 11 24H2 стане рутинною зміною, а не захоплюючою подією. В оперуванні «захоплююче» — не комплімент.