V systémech Windows 11 a Windows 10 společnost Microsoft postupně ověřuje a aktualizuje certifikáty Secure Boot prostřednictvím standardních aktualizací systému. Ve většině případů stačí sledovat pouze měsíční aktualizace zabezpečení , abyste zajistili, že vaše zařízení bude připraveno před termínem v červnu 2026.
Pokud si však chcete novější certifikáty Secure Boot z roku 2023 ověřit nebo použít sami, můžete proces provést ručně. Tato příručka vás provede jednotlivými kroky.
Secure Boot je bezpečnostní funkce na úrovni firmwaru zabudovaná do rozhraní UEFI (Unified Extensible Firmware Interface). Zajišťuje, aby se zařízení spouštělo pouze se softwarem digitálně podepsaným a důvěryhodným schválenými certifikačními autoritami. Ověřením bootloaderů a komponent firmwaru před spuštěním operačního systému pomáhá Secure Boot zabránit rootkitům a dalšímu malwaru nízké úrovně v narušení procesu spouštění.
Pro vynucení této ochrany se Secure Boot spoléhá na kryptografické klíče známé jako certifikační autority (CA). Tyto klíče vytvářejí řetězec důvěry mezi firmwarem a operačním systémem a blokují nepodepsaný nebo pozměněný kód během raného spouštění.
Podobně jako všechny digitální certifikáty mají i certifikační autority Secure Boot data vypršení platnosti. Původní certifikáty z roku 2011 vyprší v červnu 2026. Systémy musí mít před tímto datem nainstalovány aktualizované certifikáty z roku 2023, aby se předešlo chybám při ověřování důvěryhodnosti, problémům se spouštěním nebo potenciálnímu přerušení přijímání budoucích aktualizací.
Počítače vyrobené v roce 2024 nebo později se obvykle dodávají s již nainstalovanými certifikáty z roku 2023. U staršího hardwaru společnost Microsoft dodává aktualizované certifikáty prostřednictvím služby Windows Update v rámci průběžné údržby zabezpečení, ale nové certifikáty můžete také nainstalovat a nahradit ručně.
V této příručce nastíním jednoduché kroky pro kontrolu a ruční aktualizaci certifikátů Secure Boot na vašem zařízení s Windows 11.
Důležité: Přestože se jedná o nedestruktivní proces, doporučuje se před pokračováním vytvořit úplnou zálohu počítače . Byli jste varováni.
Instalace certifikátů Secure Boot 2023 ve Windows 11
Pokud je BitLocker aktivní, musíte šifrování dočasně deaktivovat v PowerShellu ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), než firmware bude moci úspěšně zapsat nové klíče do zařízení. Před pokračováním se také ujistěte, že je váš počítač plně aktualizován na bezpečnostní aktualizaci z února 2026 (KB5077181) nebo novější.
Chcete-li aktualizovat certifikáty Secure Boot před vypršením jejich platnosti v roce 2026, postupujte takto:
Otevřete Start .
Vyhledejte PowerShell (nebo Terminál ), klikněte pravým tlačítkem myši na první výsledek a vyberte možnost Spustit jako správce .
Zadejte tento příkaz pro ověření, zda zařízení používá UEFI s povoleným Secure Boot, a zadejte :
Potvrzení SecureBootUEFI
Rychlá poznámka: Pokud je výstup „True“, můžete pokračovat podle níže uvedených kroků. V opačném případě budete muset povolit zabezpečené spouštění . Pokud používáte Windows 10, možná budete muset přepnout ze staršího systému BIOS na UEFI .
Zadejte tento příkaz pro kontrolu data vypršení platnosti certifikátů Secure Boot a stiskněte klávesu Enter :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(Výstup 1) Pokud je výstup „True“, máte nový certifikát (platný do roku 2053). Zastavte a nepokračujte.
(Výstup 2) Pokud je výstup „Nepravda“, pravděpodobně stále používáte certifikát z roku 2011 (platnost vyprší v roce 2026). Pokračujte podle níže uvedených kroků.
Zadejte tento příkaz pro nastavení klíče registru pro nasazení všech požadovaných certifikátů a stiskněte klávesu Enter :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Zadejte tento příkaz pro ruční spuštění změn certifikátu a stiskněte klávesu Enter :
Start-ScheduledTask-NázevÚlohy "\Microsoft\Windows\PI\Secure-Boot-Update"
Restartujte počítač jednou.
Restartujte zařízení podruhé a pokračujte v procesu kontroly certifikátů.
Stručná poznámka: Aktualizace obvykle vyžaduje dva restarty, aby se plně projevila. Po prvním restartu systém aktualizuje správce spouštění. Po druhém restartu dokončí zápis certifikátu do databáze UEFI.
Otevřete Start .
Vyhledejte PowerShell (nebo Terminál ), klikněte pravým tlačítkem myši na první výsledek a vyberte možnost Spustit jako správce.
Zadejte tento příkaz pro ověření, zda se aktualizace úspěšně dokončila, a stiskněte klávesu Enter :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Po dokončení kroků, pokud je výstup „True“, máte nové certifikáty (platné do roku 2053) úspěšně nainstalované do počítače. Pokud je výstup „False“, certifikáty se nenainstalovaly správně.
Je důležité si uvědomit, že hodnota „True“ potvrzuje registraci certifikační autority 2023, ale ve všech scénářích okamžitě neodstraní certifikát 2011. Některé systémy mohou dočasně zobrazovat obojí.
Pokud výstup po dokončení procesu zůstane „False“, zkontrolujte Prohlížeč událostí > Protokoly aplikací a služeb > Microsoft > Windows > SecureBoot-Update, zda se v něm nevyskytují chyby. Také spuštěním příkazu ověřte existenci naplánované úlohy Get-ScheduledTask -TaskName "Secure-Boot-Update".
Pokud jste po aktualizaci museli zakázat BitLocker, můžete šifrování obnovit spuštěním příkazu Resume-BitLocker -MountPoint "C:", i když -RebootCount 2se po dvou restartech automaticky obnoví.
Je třeba poznamenat, že certifikáty Secure Boot z roku 2023 se neobjevují jen tak z ničeho nic. Společnost Microsoft zahrnuje nové certifikáty do servisních aktualizací systému Windows, obvykle jako součást kumulativní aktualizace nebo aktualizace zabezpečení pro systém Windows 11 a podporovaná zařízení s Windows 10.
Společnost ve skutečnosti zahrnuje nové certifikáty Secure Boot již od vydání bezpečnostní aktualizace z února 2026 (a vyšších verzí).
Tyto certifikáty, známé jako Windows UEFI CA 2023, jsou digitálně podepsány společností Microsoft a důvěryhodné pro Secure Boot.
Pokud certifikáty již máte v počítači, tyto pokyny vám pomohou je okamžitě použít, aniž byste museli čekat, až systém automaticky zpracuje aktualizaci.
Sestavení 26120.3671 (KB5055622) pro Windows 11 přidává možnost změny velikosti ikon na hlavním panelu, získání testovacího balíčku pro QMR a změny ve sdílení a umělé inteligenci.
Microsoft Copilot získává nové funkce, včetně Paměti, Akcí, Zraku, Stránek, Podcastů, Nakupování, Hloubkového výzkumu a Vyhledávání pro Windows 11.
Aktualizace Windows 11 22635.5170 (KB5055623) přináší změny pro Průzkumníka souborů a přenáší novou nabídku Start s větším rozvržením do verze 23H2.
Ve Windows 11 použijte tyto kroky k automatickému přepínání mezi světlým a tmavým barevným režimem podle plánu nebo při západu a východu slunce.
Chcete-li automaticky přepínat barevný režim systému Windows 11 ze světlého na tmavý, nainstalujte si PowerToys a použijte funkci Přepínač světel. Zde je návod.
Aktualizace KB5050087 pro Windows 11 (build 22635.4870) přichází v beta verzi s úpravami a změnami widgetů zamykací obrazovky v Průzkumníku souborů.
Aktualizace KB5077202 (sestavení 26300.7760) pro Windows 11 (Deb) přidává nové ovládací prvky pro otáčení a naklápění kamery, Emoji 16 a vylepšení hlavního panelu. Beta verze obsahuje KB5077201 se stejnými změnami.
Windows 11 získává nový bezpečnostní model zaměřený na transparentnost, souhlas uživatelů a omezení toho, co aplikace a umělá inteligence mohou ve výchozím nastavení dělat.
Chcete-li v systému Windows 11 trvale zakázat antivirový program Microsoft Defender, otevřete registr a nakonfigurujte tyto klíče a parametry DWORD. Funguje ve verzi 2023.
Pro čistou instalaci Windows 11 z USB, nástroje Media Creation Tool, resetování počítače, připojení ISO na SSD nebo HDD v notebooku nebo PC postupujte takto.
