Microsoft v sistemu Windows 11 nadomešča potekla potrdila Secure Boot – vse podrobnosti in kako posodobiti svoja

• Varni zagon preprečuje, da bi nizkonivojska zlonamerna programska oprema ogrozila postopek zagona sistema Windows 11.
• Microsoftovi originalni certifikati Secure Boot iz leta 2011 potečejo junija 2026, novi certifikati iz leta 2023 pa zaščito podaljšujejo do leta 2053.
• Naprave, kupljene leta 2024 in kasneje, verjetno že imajo najnovejša potrdila. Druge jih prejemajo postopoma prek storitve Windows Update.
• Stanje potrdila lahko preverite s PowerShellom in potrdila ročno posodobite s prilagoditvami registra in načrtovanimi opravili, če posodobitve niso prispele samodejno.

Potrdilo za modul Secure Boot vašega računalnika poteče junija 2026. Microsoft je z varnostno posodobitvijo iz januarja 2026 začel postopno uvajanje novega potrdila, ki bo vašemu računalniku omogočilo nadaljnji pravilen zagon in prejemanje varnostnih posodobitev.

V sistemu Windows 11 je Secure Boot varnostna funkcija, ki je na voljo v vdelani programski opremi UEFI (Unified Extensible Firmware Interface), ki preprečuje nepooblaščene spremembe kritičnih sistemskih datotek med zagonom. Posledično zagotavlja, da se naprava zažene samo s programsko opremo, ki ji zaupa proizvajalec.

Z drugimi besedami, Secure Boot pomaga zaščititi vaše naprave pred nizkonivojsko zlonamerno programsko opremo (kot so bootkiti in rootkiti), ki lahko okužijo postopek zagona in prevzamejo nadzor nad vašim računalnikom, še preden se operacijski sistem in protivirusna programska oprema sploh naložita.

Razumevanje potrdil Secure Boot

Kot del postopka funkcija uporablja kriptografske ključe (znane kot overitelji potrdil (CA)) za potrditev, da moduli vdelane programske opreme prihajajo iz zaupanja vrednega vira, kar pomaga preprečiti zagon zlonamerne programske opreme v zgodnjih fazah zagona naprave.

Potrdila za varen zagon so vedno imela datume poteka veljavnosti, saj pomagajo zagotoviti, da vaš računalnik še naprej prejema varnostne posodobitve in se pravilno zažene. Zato morate namestiti potrdila za leto 2023, preden junija 2026 začnejo poteči potrdila za leto 2011.

Če imate napravo, kupljeno leta 2024 (ali kasneje), obstaja velika verjetnost, da so najnovejša potrdila že nameščena. Vendar pa Microsoft za preostale računalnike zdaj uvaja nova potrdila Secure Boot prek storitve Windows Update.

V varnostni posodobitvi »2026-01 (KB5074109) (26200.7623)«, ki je bila izdana 13. januarja 2026, je programski velikan ugotovil, da posodobitve zdaj vključujejo podmnožico podatkov o ciljanju naprav z visoko stopnjo zaupanja, ki identificirajo naprave, ki so upravičene do samodejnega prejema novih potrdil Secure Boot. Naprave bodo nova potrdila prejele šele po tem, ko bodo pokazale dovolj uspešnih signalov za posodobitev, kar zagotavlja varno in postopno uvajanje.

To pomeni, da vam za posodobitev programa Secure Boot ni treba izvesti nobenih ročnih korakov , razen da sistemu omogočite nadaljnje prejemanje posodobitev. Vsaj od zdaj do junija 2026, ko bo na voljo varnostna posodobitev.

Preverite datum poteka veljavnosti potrdila Secure Boot

Ker ne boste prejeli obvestila, da vaš računalnik zdaj vključuje najnovejše overitelje potrdil, je pomembno preveriti, ali vaša naprava še vedno potrebuje posodobitev.

Windows 11 nima izvornega ukaza za prikaz datuma poteka veljavnosti vdelane programske opreme, ki ga lahko bere človek. Vendar pa lahko preverite, ali imate »posodobljena« potrdila za leto 2023 (ki nadomeščajo tista, ki potečejo leta 2026), tako da uporabite ta navodila:

Odprite PowerShell (skrbniški vmesnik) in zaženite:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -ujemanje 'Windows UEFI CA 2023'

• Res je: Imate novo potrdilo (veljavno do leta 2053).
• Napačno: Verjetno še vedno uporabljate potrdilo iz leta 2011 (ki poteče leta 2026).

Preverjanje poteka veljavnosti certifikata Secure Boot v PowerShellu / Slika: Mauro Huculak

Skoraj vse sodobne verige Secure Boot se zanašajo na Microsoftova potrdila iz leta 2011, ki imajo naslednje datume poteka veljavnosti :

• Microsoft Corporation KEK CA 2011 (24. junij 2026). 
• Microsoft Corporation UEFI CA 2011 (27. junij 2026).
• Posodabljanje UEFI ROM-a za Microsoft Option 2011 (27. junij 2026).
• Microsoft Windows Production PCA 2011 (19. oktober 2026).

Za referenco, to počne vsako potrdilo:

• Potrdilo KEK: sidro zaupanja, ki omogoča posodabljanje podatkovnih baz podpisov Secure Boot (DB/DBX).
• Potrdila UEFI CA: Zaupajte podpisom zagonskih nalagalnikov in komponent vdelane programske opreme (vključno z aplikacijami EFI tretjih oseb).
• ROM CA z možnostjo: Zaupa modulom ROM z možnostjo vdelane programske opreme.
• Microsoft Windows Production PCA 2011: Zagotavlja, da vdelana programska oprema v varnem zagonu zaupa zagonskemu nalagalniku sistema Windows in povezanim binarnim datotekam.

Posodobite potrdila za varen zagon v sistemu Windows 11

Če se bliža poteku veljavnosti vaših potrdil, bosta Microsoft in proizvajalec računalnika (OEM) samodejno poslala posodobitve vdelane programske opreme ali posodobitve »DBX« prek storitve Windows Update ali sistemskih posodobitev, da se vpišejo nova potrdila CA za leto 2023. Vendar pa lahko svoj Secure Boot posodobite ročno.

Opozorilo: Preden nadaljujete, se prepričajte, da imate shranjen ključ za obnovitev BitLocker in da je vaš BIOS (UEFI) posodobljen. Če vdelana programska oprema vašega računalnika ne podpira novih potrdil, se računalnik po posodobitvi morda ne bo zagnal. Priporočljivo je tudi, da pred nadaljevanjem ustvarite popolno varnostno kopijo računalnika.

Odprite PowerShell (skrbniški vmesnik) in zaženite:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Ta ukaz nastavi ključ registra, ki operacijskemu sistemu naroči, naj namesti vsa potrebna potrdila (vključno z upravljalnikom zagona, podpisanim s PCA 2023).

Vrednost 0x5944je koda za »popolno ublažitev«, ki omogoča vse ustrezne posodobitve potrdil.

Windows 11 ima vgrajeno nalogo, ki obdeluje te spremembe potrdil, in jo lahko ročno sprožite, da se izognete 12-urnemu čakanju z naslednjim ukazom:

Start-ScheduledTask-Name "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell posodablja certifikat Secure Boot / Slika: Mauro Huculak

Posodobitev običajno zahteva dva ponovna zagona, da se v celoti uporabi. Po prvem ponovnem zagonu sistem posodobi upravitelja zagona. Po drugem dokonča vpis potrdila v zbirko podatkov UEFI.

Po ponovnem zagonu lahko preverite, ali je »UEFI CA 2023« zdaj prisoten v vaši bazi podatkov, tako da zaženete ta ukaz PowerShell (kot skrbnik):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -ujemanje 'Windows UEFI CA 2023'

• Res je: Vaš sistem je zdaj zavarovan z novimi potrdili.
• Napačno: Če po več ponovnih zagonih ostane napačno, je vdelana programska oprema matične plošče morda prestara, da bi sprejela novo obliko potrdila. Na spletnem mestu proizvajalca preverite posodobitev BIOS-a, povezano z varnim zagonom.

Če je BitLocker aktiven, boste morda morali začasno onemogočiti šifriranjeSuspend-BitLocker -MountPoint "C:" -RebootCount 2 ( ), preden lahko vdelana programska oprema uspešno zapiše nove ključe v napravo.