Microsoft ostrzega użytkowników Windows przed zbliżającym się wygaśnięciem certyfikatów Secure Boot w czerwcu 2026 r. Brak aktualizacji może oznaczać brak dostępu do kluczowych poprawek bezpieczeństwa, co narazi systemy na ataki malware, takie jak bootkity – złośliwe oprogramowanie przejmujące kontrolę nad komputerem podczas rozruchu.
Firma przygotowała szczegółowy FAQ, który wyjaśnia, jak użytkownicy domowi i firmy mogą przygotować swoje urządzenia, korzystając z automatycznych aktualizacji lub ręcznych metod, aby zapewnić ciągłość ochrony. Dla użytkowników Windows 10 i 11 proces aktualizacji certyfikatów różni się w zależności od tego, czy urządzenie jest zarządzane przez Microsoft, czy przez firmowe działy IT.
Co to jest Secure Boot i dlaczego certyfikaty wygasają?
Secure Boot to kluczowa funkcja bezpieczeństwa wprowadzona przez Microsoft w 2011 r., która weryfikuje firmware i bootloader podczas uruchamiania komputera. Zapewnia, iż system bootuje tylko zaufane oprogramowanie, chroniąc przed złośliwymi atakami.
Pierwsze certyfikaty Secure Boot mają ważność 15 lat i wygasną w czerwcu 2026 r.. To poważny problem, bo po tej dacie Windows nie będzie mógł instalować niektórych aktualizacji bezpieczeństwa, w tym tych dla Boot Managera. Konsekwencja? Zwiększone ryzyko infekcji bootkitami – malware, które atakuje na poziomie bootowania i może całkowicie przejąć kontrolę nad urządzeniem.
Secure Boot w systemie Windows 11Microsoft podkreśla: „Aktualizacja certyfikatów nie jest codziennym zadaniem dla przeciętnego użytkownika”. Dlatego firma przygotowała dedykowany dokument FAQ, dostępny na stronie wsparcia, z odpowiedziami na wszystkie najważniejsze pytania. jeżeli Twój domowy PC korzysta z Windows Update, nie musisz się martwić – aktualizacje przejdą w tle. Pamiętaj jednak, by nie wyłączać automatycznych aktualizacji na dłuższy czas!
Koniec wsparcia Windows 10 – co zrobić?
Wsparcie dla Windows 10 kończy się 14 października 2025 r., co komplikuje sprawę dla użytkowników nieplanujących migracji do Windows 11. Bez aktualizacji certyfikatów Secure Boot systemy staną się podatne na luki bezpieczeństwa. Microsoft radzi: zapisz się do programu Extended Security Updates (ESU), by otrzymywać poprawki, w tym nowe certyfikaty.
Wyjątek stanowią wydania Windows 10 LTSC/LTSB, które będą wspierane dłużej i automatycznie dostaną aktualizacje. Dla pozostałych wersji nieobsługiwanych Windows – zero nowych certyfikatów. jeżeli masz starszy system, rozważ upgrade do Windows 11 lub LTSC.
W przypadku środowisk wirtualnych (np. Azure, Hyper-V, VMware) ich twórcy zaktualizują firmware, tak, aby nowo tworzone maszyny wirtualne posiadały aktualny certyfikat. W istniejących maszynach aktualizacje przejdą przez Windows, o ile firmware wspiera Secure Boot.
Jak Microsoft aktualizuje certyfikaty – automatycznie czy manualnie?
Dla urządzeń zarządzanych przez Microsoft (z udostępnianymi danymi diagnostycznymi i podłączonych do chmury lub Intune) aktualizacje Secure Boot przechodzą automatycznie przez Windows Update. Dotyczy to wspieranych wersji OS, ale nie zawsze – blokady firewalli organizacyjnych lub problemy z firmware mogą to uniemożliwić.
W środowiskach firmowych lub IT, gdzie dane diagnostyczne nie są dzielone z Microsoft, administratorzy muszą manualnie zastosować poprawki. Instrukcja dostępna pod linkiem aka.ms/getsecureboot.
Co jeżeli zresetujesz firmware?
Uwaga na pułapki! jeżeli zresetujesz firmware do domyślnych ustawień, które nie zawierają certyfikatu Windows UEFI CA 2023, komputer może odmówić bootowania. Systemy używające już managera boot z nowymi certyfikatami przestaną działać po resecie.
Jak temu zaradzić? Użyj nośnika recovery USB:
- Włóż pendrive z Windows (utwórz go via Media Creation Tool).
- Uruchom komputer w trybie recovery.
- Zastosuj certyfikat 2023 wg instrukcji Microsoft: How to manage Windows Boot Manager revocations.
Nie zmieniaj konfiguracji Secure Boot, chyba iż OEM wydał nową wersję firmware z certyfikatami 2023. Dla Windows 10 LTSC z wyłączonym Secure Boot: podczas upgrade’u do Windows 11 LTSC postępuj według ówczesnych kroków migracji, by uniknąć blokady.
Przygotuj się na czerwiec 2026
Wygasające certyfikaty Secure Boot to nie żart – bez nich Windows traci tarczę przed zaawansowanym malware. Dla większości użytkowników domowych Microsoft załatwi sprawę w tle, ale firmy i miłośnicy LTSC muszą działać. Sprawdź ustawienia Windows Update już dziś.
Źródło: Neowin / Microsoft
