V systémech Windows 11 a Windows 10 společnost Microsoft postupně ověřuje a aktualizuje certifikáty Secure Boot prostřednictvím standardních aktualizací systému. Ve většině případů stačí sledovat pouze měsíční aktualizace zabezpečení , abyste zajistili, že vaše zařízení bude připraveno před termínem v červnu 2026.
Pokud si však chcete novější certifikáty Secure Boot z roku 2023 ověřit nebo použít sami, můžete proces provést ručně. Tato příručka vás provede jednotlivými kroky.
Secure Boot je bezpečnostní funkce na úrovni firmwaru zabudovaná do rozhraní UEFI (Unified Extensible Firmware Interface). Zajišťuje, aby se zařízení spouštělo pouze se softwarem digitálně podepsaným a důvěryhodným schválenými certifikačními autoritami. Ověřením bootloaderů a komponent firmwaru před spuštěním operačního systému pomáhá Secure Boot zabránit rootkitům a dalšímu malwaru nízké úrovně v narušení procesu spouštění.
Pro vynucení této ochrany se Secure Boot spoléhá na kryptografické klíče známé jako certifikační autority (CA). Tyto klíče vytvářejí řetězec důvěry mezi firmwarem a operačním systémem a blokují nepodepsaný nebo pozměněný kód během raného spouštění.
Podobně jako všechny digitální certifikáty mají i certifikační autority Secure Boot data vypršení platnosti. Původní certifikáty z roku 2011 vyprší v červnu 2026. Systémy musí mít před tímto datem nainstalovány aktualizované certifikáty z roku 2023, aby se předešlo chybám při ověřování důvěryhodnosti, problémům se spouštěním nebo potenciálnímu přerušení přijímání budoucích aktualizací.
Počítače vyrobené v roce 2024 nebo později se obvykle dodávají s již nainstalovanými certifikáty z roku 2023. U staršího hardwaru společnost Microsoft dodává aktualizované certifikáty prostřednictvím služby Windows Update v rámci průběžné údržby zabezpečení, ale nové certifikáty můžete také nainstalovat a nahradit ručně.
V této příručce nastíním jednoduché kroky pro kontrolu a ruční aktualizaci certifikátů Secure Boot na vašem zařízení s Windows 11.
Důležité: Přestože se jedná o nedestruktivní proces, doporučuje se před pokračováním vytvořit úplnou zálohu počítače . Byli jste varováni.
Instalace certifikátů Secure Boot 2023 ve Windows 11
Pokud je BitLocker aktivní, musíte šifrování dočasně deaktivovat v PowerShellu ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), než firmware bude moci úspěšně zapsat nové klíče do zařízení. Před pokračováním se také ujistěte, že je váš počítač plně aktualizován na bezpečnostní aktualizaci z února 2026 (KB5077181) nebo novější.
Chcete-li aktualizovat certifikáty Secure Boot před vypršením jejich platnosti v roce 2026, postupujte takto:
Otevřete Start .
Vyhledejte PowerShell (nebo Terminál ), klikněte pravým tlačítkem myši na první výsledek a vyberte možnost Spustit jako správce .
Zadejte tento příkaz pro ověření, zda zařízení používá UEFI s povoleným Secure Boot, a zadejte :
Potvrzení SecureBootUEFI
Rychlá poznámka: Pokud je výstup „True“, můžete pokračovat podle níže uvedených kroků. V opačném případě budete muset povolit zabezpečené spouštění . Pokud používáte Windows 10, možná budete muset přepnout ze staršího systému BIOS na UEFI .
Zadejte tento příkaz pro kontrolu data vypršení platnosti certifikátů Secure Boot a stiskněte klávesu Enter :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(Výstup 1) Pokud je výstup „True“, máte nový certifikát (platný do roku 2053). Zastavte a nepokračujte.
(Výstup 2) Pokud je výstup „Nepravda“, pravděpodobně stále používáte certifikát z roku 2011 (platnost vyprší v roce 2026). Pokračujte podle níže uvedených kroků.
Zadejte tento příkaz pro nastavení klíče registru pro nasazení všech požadovaných certifikátů a stiskněte klávesu Enter :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Zadejte tento příkaz pro ruční spuštění změn certifikátu a stiskněte klávesu Enter :
Start-ScheduledTask-NázevÚlohy "\Microsoft\Windows\PI\Secure-Boot-Update"
Restartujte počítač jednou.
Restartujte zařízení podruhé a pokračujte v procesu kontroly certifikátů.
Stručná poznámka: Aktualizace obvykle vyžaduje dva restarty, aby se plně projevila. Po prvním restartu systém aktualizuje správce spouštění. Po druhém restartu dokončí zápis certifikátu do databáze UEFI.
Otevřete Start .
Vyhledejte PowerShell (nebo Terminál ), klikněte pravým tlačítkem myši na první výsledek a vyberte možnost Spustit jako správce.
Zadejte tento příkaz pro ověření, zda se aktualizace úspěšně dokončila, a stiskněte klávesu Enter :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Po dokončení kroků, pokud je výstup „True“, máte nové certifikáty (platné do roku 2053) úspěšně nainstalované do počítače. Pokud je výstup „False“, certifikáty se nenainstalovaly správně.
Je důležité si uvědomit, že hodnota „True“ potvrzuje registraci certifikační autority 2023, ale ve všech scénářích okamžitě neodstraní certifikát 2011. Některé systémy mohou dočasně zobrazovat obojí.
Pokud výstup po dokončení procesu zůstane „False“, zkontrolujte Prohlížeč událostí > Protokoly aplikací a služeb > Microsoft > Windows > SecureBoot-Update, zda se v něm nevyskytují chyby. Také spuštěním příkazu ověřte existenci naplánované úlohy Get-ScheduledTask -TaskName "Secure-Boot-Update".
Pokud jste po aktualizaci museli zakázat BitLocker, můžete šifrování obnovit spuštěním příkazu Resume-BitLocker -MountPoint "C:", i když -RebootCount 2se po dvou restartech automaticky obnoví.
Je třeba poznamenat, že certifikáty Secure Boot z roku 2023 se neobjevují jen tak z ničeho nic. Společnost Microsoft zahrnuje nové certifikáty do servisních aktualizací systému Windows, obvykle jako součást kumulativní aktualizace nebo aktualizace zabezpečení pro systém Windows 11 a podporovaná zařízení s Windows 10.
Společnost ve skutečnosti zahrnuje nové certifikáty Secure Boot již od vydání bezpečnostní aktualizace z února 2026 (a vyšších verzí).
Tyto certifikáty, známé jako Windows UEFI CA 2023, jsou digitálně podepsány společností Microsoft a důvěryhodné pro Secure Boot.
Pokud certifikáty již máte v počítači, tyto pokyny vám pomohou je okamžitě použít, aniž byste museli čekat, až systém automaticky zpracuje aktualizaci.
Chcete-li odinstalovat funkci Recall v systému Windows 11, otevřete Nastavení > Systém > Volitelné funkce > Další funkce systému Windows a zrušte zaškrtnutí políčka Recall.
Naučte se, jak používat přepínač Robocopys /MT ve Windows 11 ke kopírování souborů rychleji než v Průzkumníku souborů s vícevláknovými přenosy pro SSD disky a sítě.
Chcete-li vytvořit bootovací USB disk pro instalaci Windows 11, můžete použít Rufus, Ventoy, příkazový řádek nebo nástroj pro tvorbu médií. Zde je návod.
Build 17634 pro Windows 10 verze 1809 se nyní zavádí pro počítače registrované v režimu Fast Ring s možností Přeskočit vpřed. V této nové aktualizaci Redstone 5 společnost Microsoft představuje novou funkci vyhledávání v Kalendáři a aktualizovanou funkci Cortana Show Me s podporou hlasových příkazů. Zde je vše, co potřebujete vědět...
Chcete-li resetovat systém Windows 11 na uchovávání souborů, otevřete Nastavení > Obnovení, klikněte na Obnovit počítač, vyberte Zachovat soubory a poté Místní přeinstalace nebo Stažení z cloudu.
Jak spustit systém Windows 11 z USB pomocí spouštěcí nabídky, Nastavení nebo UEFI. Jednoduché kroky pro přístup k nástrojům pro obnovení nebo instalaci operačního systému.
Společnost Microsoft přepracovává nabídku Start ve Windows 11 s lepšími možnostmi přizpůsobení, rychlejším výkonem a novými ovládacími prvky pro změnu velikosti a zjednodušení rozvržení.
Aktualizace KB5083726 (sestavení 26300.8276) pro Windows 11 přichází s vylepšeními Nastavení, Průzkumníka souborů a Windows Hello. Zde je vše, co potřebujete vědět.
Chcete-li povolit ochranu správce v systému Windows 11, můžete použít Editor zásad skupiny, registr nebo aplikaci Zabezpečení systému Windows. Zde je návod.
Systém Windows 11 23H2 již není podporován, proto upgradujte na systém Windows 11 25H2 mpw pomocí souboru ISO, Průvodce instalací nebo služby Windows Update.
