Secure Boot je dlouhodobě jedním ze základních stavebních kamenů bezpečnosti platformy operačního systému Windows chránící samotný start systému, kdy dochází k ověřování jeho bezpečnostní konzistence. Nyní ale přichází zásadní milník. Původní certifikáty použité pro řetězec důvěry (root of trust) pro tento proces vyprší v létě roku 2026.
Pokud jste domácím uživatelem s Windows Home a pravidelně aktualizujete svoje zařízení za pomocí Windows Update a stejně tak firmware výrobce daného zařízení, pak jste s největší pravděpodobností na tuto změnu v pořádku připraveni.
Zpozornět by ale měli správci firemního IT. Pro ty to není jen další aktualizace, jde o změnu, která zasahuje firmware, správu zařízení i dlouhodobou kompatibilitu prostředí a to i virtualizovaného a také serverů.
Co se tedy mění? Secure Boot funguje na principu důvěryhodného řetězce. Firmware (UEFI) ověřuje podpisy boot komponent pomocí uložených certifikátů. Tyto certifikáty, konkrétně Microsoft UEFI CA 2011 a Microsoft Windows Production PCA 2011 právě v roce 2026 vyprší.
Již v roce 2023 byly nahrazeny novými certifikáty, které používají modernější kryptografii a najdete je v nových zařízeních instalovaných zhruba od roku 2024 dále. A právě starší zařízení před tímto datem jsou nyní v ohrožení.
Po vypršení platnosti se zařízení nerozbijí, ale systém přejde do degradovaného bezpečnostního stavu a nebude možné přijímat nové Secure Boot aktualizace a může dojít ke ztrátě důvěry v nově podepsané komponenty (bootloadery, firmware, ovladače). Speciální výjimkou může být stav, kdy explicitně ověřujete pomocí bezpečnostních nástrojů, že Secure Boot není jen zapnutý, ale konkrétní výsledky jeho specifických kontrol. Stejně tak se zvyšuje možnost útoků na samotný proces Secure Boot, kterému nepůjde ověřit validitu komponent.
Problém se tak týká firemních zařízení Windows, jejich fyzických i virtualizovaných instalací (vzpomeňte na svoji VDE/VDI platformu) a stejně Windows Server prostředí.
Co za vás Microsoft udělá:
- distribuuje nové certifikáty přes Windows Update
- spolupracuje s OEM výrobci na firmware updatech
- poskytuje deployment scénáře pro firemní správce (Intune, GPO, …)
Ale nijak za vás nevyřeší:
- konkrétní aktualizaci, pokud zasahujete do výchozích Windows Update procesů
- aktualizace samotného firmware, který často musí dodat právě nejdříve onen OEM výrobce
- aktualizaci Windows Server bez dodatečného nastavení
- zajištění kompatibility s virtualizační platformou, která může vyžadovat další aktualizace
Doporučeným postupem je tedy inventarizace prostředí a ověření, jak se konkrétně problém dotýká vašich zařízení a serverů. Nápomocen může být klíč UEFICA2023Status. Následným krokem je ověření stavu aktualizací a připravenosti u vašich OEM výrobců klientských i serverových stanic a platformy pro virtualizaci. Po nastudování dokumentace byste měli být schopni do poloviny roku 2026 vše technicky zvládnout připravit a realizovat. A kdyby ne, je čas na to najít odborníky.
Potřebné zdroje:
- Windows 11 and Secure Boot – Microsoft Support
- Act now: Secure Boot certificates expire in June 2026 – Windows IT Pro Blog
- Secure Boot playbook for certificates expiring in 2026
- Windows Secure Boot certificate expiration and CA updates – Microsoft Support
- Secure Boot Certificate updates: Guidance for IT professionals and organizations – Microsoft Support
Buďte první kdo přidá komentář