Windows Secure Boot 2026: Microsoft wydaje ostateczne ostrzeżenie dotyczące wygasających certyfikatów

Microsoft rozpoczął już wdrażanie zastępczego łańcucha certyfikatów Secure Boot, którego system Windows będzie potrzebował, gdy oryginalne certyfikaty z 2011 roku zaczną wygasać w czerwcu 2026 roku. Notebookcheck niedawno omówił ostrzeżenie Microsoftu i sygnały wczesnego wdrażania pojawiające się w ostatnich aktualizacjach zbiorczych, ale następna faza dotyczy mniej systemu Windows, a bardziej gotowości oprogramowania układowego.

Jeśli oprogramowanie układowe UEFI komputera nie jest przygotowane do przyjęcia i zachowania nowych certyfikatów 2023, usługa Windows Update może podjąć próbę przekazania i nadal pozostawić urządzenie w stanie opisywanym przez Microsoft jako zdegradowany stan bezpieczeństwa, w którym przyszłe aktualizacje zabezpieczeń związane z rozruchem mogą nie zostać zastosowane w sposób czysty.

Co tak naprawdę wygasa i kiedy?

Długotrwałe kotwice zaufania Microsoftu Secure Boot z 2011 roku zaczynają wygasać pod koniec czerwca 2026 roku, a dodatkowe wygasają później w 2026 roku. Zestawienie firmy Dell jest jednym z najbardziej przejrzystych publicznych harmonogramów, wymieniając pierwszą datę wygaśnięcia certyfikatu z 2011 roku na 24 czerwca 2026 roku (Microsoft Corporation KEK CA 2011), a następnie 27 czerwca 2026 roku (Microsoft Corporation UEFI CA 2011), a kolejny kluczowy certyfikat wygasa 19 października 2026 roku (Microsoft Windows Production PCA 2011).

Praktycznie rzecz biorąc, wielu dostawców powtarza ten sam wniosek: oczekuje się, że systemy będą nadal uruchamiać się, ale urządzenia, które nie przejdą na łańcuch certyfikatów z 2023 roku, mogą utracić możliwość otrzymywania przyszłych aktualizacji bootloadera i Secure Boot, skąd pochodzi sformułowanie "zdegradowane bezpieczeństwo".

Część Microsoftu: Windows może dostarczyć nowy łańcuch zaufania, ale tylko wtedy, gdy oprogramowanie układowe będzie współpracować

Kluczowy czynnik techniczny jest już w obsługiwanych kompilacjach systemu Windows. Microsoft KB5036210 zauważa że aktualizacje systemu Windows wydane 13 lutego 2024 r. i później obejmują możliwość zastosowania certyfikatu Windows UEFI CA 2023 do bazy danych podpisów UEFI Secure Boot Allowed Signature Database (db), a aktualizacja db jest potrzebna do otrzymywania przyszłych aktualizacji programu ładującego rozruch poprzez comiesięczne aktualizacje.

Microsoft twierdzi również, że "większość osobistych urządzeń z systemem Windows" powinna automatycznie otrzymywać nowe certyfikaty za pośrednictwem aktualizacji zarządzanych przez Microsoft, ale wyraźnie ostrzega, że niektóre urządzenia mogą wymagać aktualizacji oprogramowania układowego OEM w celu prawidłowego zastosowania nowych certyfikatów.

Gdzie wkraczają producenci OEM: Aktywne klucze a klucze domyślne i dlaczego resetowanie może Państwa ugryźć

W tym miejscu polityka producenta oprogramowania układowego ma większe znaczenie niż większość użytkowników domowych zdaje sobie sprawę. Dell Secure Boot Transition FAQ rozróżnia aktywną bazę danych Secure Boot (to, co system faktycznie wymusza podczas rozruchu i co Windows Update często modyfikuje) oraz domyślną bazę danych Secure Boot (zestaw resetowania fabrycznego, zwykle aktualizowany poprzez flashowanie BIOS-u). Dell ostrzega również, że niektóre działania oprogramowania układowego, takie jak przełączanie "trybu klucza eksperta", mogą wymazać aktywne zmienne pochodzące z Windows Update, jeśli domyślna baza danych nie została odpowiednio zaktualizowana.

W tym samym dokumencie Dell opisuje również "strategię podwójnego certyfikatu", mówiąc, że Dell zaczął dostarczać zarówno certyfikaty 2011, jak i 2023 na nowo uruchomionych platformach pod koniec 2024 roku i rozszerzył to podejście na trwałe platformy wysyłane z fabryk do końca 2025 roku.

Własne wytyczne Lenovo dla komercyjnych komputerów PC podobnie określają poprawkę jako aktualizację BIOS-u, która dodaje certyfikaty 2023 do domyślnych zmiennych Secure Boot, z dodatkowymi krokami czasami potrzebnymi do aktywacji zmiennych 2023 w systemach, które nie są jeszcze wstępnie skonfigurowane. Wskazuje również odzyskiwanie BitLocker jako potencjalny efekt uboczny, dlatego też tworzenie kopii zapasowych kluczy odzyskiwania przed zmianami oprogramowania układowego pozostaje dobrą praktyką.

Doradca HP twierdzi również, że współpracuje z Microsoftem w celu przygotowania produktów HP z obsługą Secure Boot na nowe certyfikaty i ostrzega, że wygaśnięcie certyfikatu może uniemożliwić systemom otrzymywanie aktualizacji zabezpieczeń związanych z Secure Boot i Windows Boot Manager, zwiększając narażenie na zagrożenia typu bootkit.

Problem z płytami głównymi dla majsterkowiczów i graczy: czasami trzeba samemu "zainstalować domyślne klucze"

ASUS jest jednym z niewielu producentów skierowanych do konsumentów, który opublikował wysoce proceduralny przewodnik krok po kroku dotyczący tego przejścia, w tym jak potwierdzić obecność nowych wpisów 2023 w oprogramowaniu układowym i co zrobić, jeśli ich nie ma.

W FAQ dotyczącym wsparcia https://www.asus.com/support/faq/1055903/aSUS opisuje poruszanie się po zarządzaniu kluczami UEFI Secure Boot i sprawdzanie, czy KEK zawiera "Microsoft Corporation KEK 2K CA 2023" oraz czy db zawiera "Windows UEFI CA 2023" (wraz z innymi wpisami Microsoft z 2023 roku). Dokumentuje również kroki naprawcze, takie jak "Zainstaluj domyślne klucze bezpiecznego rozruchu" lub "Przywróć klucze fabryczne" po aktualizacji systemu BIOS, co skutecznie ponownie wypełnia bazy danych kluczy z domyślnego magazynu oprogramowania układowego.

Jest to luka, która zwykle najbardziej uderza w systemy DIY: Windows może dostarczać aktualizacje, ale oprogramowanie układowe płyty głównej może nadal wymagać ręcznej interwencji, zanim nowe klucze będą w pełni obecne i aktywne.

Jak sprawdzić gotowość za pomocą oficjalnych sygnałów Microsoftu?

Dla flot zarządzanych przez IT, podręcznik Microsoftu Secure Boot przedstawia konkretne wskaźniki, które można monitorować.

Microsoft twierdzi, że pomyślne wdrożenie można potwierdzić, przeprowadzając audyt wpisów dziennika zdarzeń systemu Windows dla identyfikatora zdarzenia 1808, a niepowodzenia w stosowaniu zaktualizowanych certyfikatów są powiązane z identyfikatorem zdarzenia 1801. Ten sam podręcznik odwołuje się również do klucza rejestru UEFICA2023Status który powinien ostatecznie brzmieć "Updated" i zauważa, że klucz UEFICA2023Error nie powinien istnieć, chyba że błąd jest w toku.

Podręcznik wyraźnie zaleca również stosowanie aktualizacji oprogramowania układowego OEM przed aktualizacjami systemu Windows związanymi z Secure Boot, jeśli organizacja zidentyfikowała problemy lub producent OEM zaleca aktualizację systemu BIOS, co wzmacnia ogólny temat: strona Windows to tylko połowa historii.

Przypadek "zombie" w systemie Windows 10 jest nadal realny

Wreszcie, odświeżenie certyfikatu jest kolejnym punktem nacisku dla użytkowników Windows 10. Własna dokumentacja pomocy technicznej Microsoftu stwierdza, że wsparcie dla systemu Windows 10 zakończyło się 14 października 2025 r., A Microsoft pozycjonuje rozszerzone aktualizacje zabezpieczeń systemu Windows 10 (ESU) jako płatną ścieżkę dalszego otrzymywania aktualizacji zabezpieczeń po tej dacie.

Wytyczne Microsoftu dotyczące bezpiecznego rozruchu również powtarzają, że urządzenia z nieobsługiwanymi wersjami systemu Windows nie otrzymują aktualizacji systemu Windows, dlatego też Secure Boot jest skutecznie powiązane z pozostaniem na obsługiwanej ścieżce serwisowej (lub ESU dla Windows 10, w stosownych przypadkach).