V systémoch Windows 11 a Windows 10 spoločnosť Microsoft postupne overuje a aktualizuje certifikáty Secure Boot prostredníctvom štandardných aktualizácií systému. Vo väčšine prípadov stačí sledovať mesačné aktualizácie zabezpečenia , aby bolo vaše zariadenie pripravené pred termínom v júni 2026.
Ak si však chcete overiť alebo použiť novšie certifikáty Secure Boot z roku 2023 sami, môžete proces dokončiť manuálne. Táto príručka vás prevedie jednotlivými krokmi.
Secure Boot je bezpečnostná funkcia na úrovni firmvéru zabudovaná do rozhrania UEFI (Unified Extensible Firmware Interface). Zaisťuje, že zariadenie sa spustí iba so softvérom digitálne podpísaným a dôveryhodným schválenými certifikačnými autoritami. Overením bootloaderov a komponentov firmvéru pred spustením operačného systému pomáha Secure Boot predchádzať narušeniu procesu spúšťania rootkitmi a iným nízkoúrovňovým malvérom.
Na vynútenie tejto ochrany sa Secure Boot spolieha na kryptografické kľúče známe ako certifikačné autority (CA). Tieto kľúče vytvárajú reťazec dôvery medzi firmvérom a operačným systémom a blokujú nepodpísaný alebo sfalšovaný kód počas skorého spustenia.
Podobne ako všetky digitálne certifikáty, aj certifikačné autority Secure Boot majú dátumy expirácie. Pôvodné certifikáty z roku 2011 vypršia v júni 2026. Systémy musia mať pred týmto dátumom nainštalované aktualizované certifikáty z roku 2023, aby sa predišlo chybám pri overovaní dôveryhodnosti, problémom so zavádzaním alebo potenciálnym prerušeniam prijímania budúcich aktualizácií.
Počítače vyrobené v roku 2024 alebo neskôr sa zvyčajne dodávajú s už nainštalovanými certifikátmi z roku 2023. V prípade staršieho hardvéru spoločnosť Microsoft dodáva aktualizované certifikáty prostredníctvom služby Windows Update ako súčasť prebiehajúcej údržby zabezpečenia, ale nové certifikáty môžete nainštalovať a nahradiť aj manuálne.
V tejto príručke načrtnem jednoduché kroky na kontrolu a manuálnu aktualizáciu certifikátov Secure Boot na vašom zariadení so systémom Windows 11.
Dôležité: Hoci ide o nedeštruktívny proces, pred pokračovaním sa odporúča vytvoriť si úplnú zálohu počítača . Boli ste upozornení.
Nainštalujte certifikáty Secure Boot 2023 v systéme Windows 11
Ak je BitLocker aktívny, musíte dočasne vypnúť šifrovanie v PowerShell ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), aby firmvér mohol úspešne zapísať nové kľúče do zariadenia. Pred pokračovaním sa tiež uistite, že váš počítač je plne aktualizovaný na aktualizáciu zabezpečenia z februára 2026 (KB5077181) alebo novšiu.
Ak chcete aktualizovať certifikáty Secure Boot pred ich vypršaním v roku 2026, postupujte podľa týchto krokov:
Otvorte Štart .
Vyhľadajte PowerShell (alebo Terminál ), kliknite pravým tlačidlom myši na prvý výsledok a vyberte možnosť Spustiť ako správca .
Zadajte tento príkaz, aby ste potvrdili, že zariadenie používa rozhranie UEFI so zapnutým zabezpečeným spustením, a zadajte ho :
Potvrdiť SecureBootUEFI
Rýchla poznámka: Ak je výstup „True“, môžete pokračovať podľa krokov uvedených nižšie. V opačnom prípade budete musieť povoliť funkciu Secure Boot . Ak používate systém Windows 10, možno budete musieť dokonca prejsť zo staršieho systému BIOS na UEFI .
Zadajte tento príkaz na kontrolu dátumu expirácie certifikátov Secure Boot a stlačte kláves Enter :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(Výstup 1) Ak je výstup „True“, máte nový certifikát (platný do roku 2053). Zastavte a nepokračujte.
(Výstup 2) Ak je výstup „Nepravda“, pravdepodobne stále používate certifikát z roku 2011 (platnosť vyprší v roku 2026). Pokračujte podľa krokov uvedených nižšie.
Zadajte tento príkaz na nastavenie kľúča databázy Registry na nasadenie všetkých požadovaných certifikátov a stlačte kláves Enter :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Zadajte tento príkaz na manuálne spustenie zmien certifikátu a stlačte kláves Enter :
Start-ScheduledTask-NázovÚlohy "\Microsoft\Windows\PI\Secure-Boot-Update"
Reštartujte počítač raz.
Reštartujte zariadenie druhýkrát a pokračujte v procese kontroly certifikátov.
Stručná poznámka: Aktualizácia zvyčajne vyžaduje dva reštarty, aby sa úplne uplatnila. Po prvom reštarte systém aktualizuje správcu zavádzania. Po druhom reštarte dokončí zápis certifikátu do databázy UEFI.
Otvorte Štart .
Vyhľadajte PowerShell (alebo Terminál ), kliknite pravým tlačidlom myši na prvý výsledok a vyberte možnosť Spustiť ako správca.
Zadajte tento príkaz a skontrolujte, či sa aktualizácia úspešne dokončila, a stlačte kláves Enter :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Po dokončení krokov, ak je výstup „True“ (True), máte nové certifikáty (platné do roku 2053) úspešne nainštalované v počítači. Ak je výstup „False“ (Nepravda), certifikáty sa nenainštalovali správne.
Je dôležité poznamenať, že hodnota „True“ potvrdzuje registráciu certifikačnej autority z roku 2023, ale neodstraňuje certifikát z roku 2011 okamžite vo všetkých scenároch. Niektoré systémy môžu dočasne zobrazovať obe.
Ak výstup po dokončení procesu zostane „False“, skontrolujte, či sa v časti Zobrazovač udalostí > Denníky aplikácií a služieb > Microsoft > Windows > SecureBoot-Update nevyskytujú chyby. Spustením príkazu tiež overte existenciu naplánovanej úlohy Get-ScheduledTask -TaskName "Secure-Boot-Update".
Ak ste po aktualizácii museli vypnúť nástroj BitLocker, môžete šifrovanie obnoviť spustením príkazu Resume-BitLocker -MountPoint "C:", aj keď -RebootCount 2sa po dvoch reštartoch automaticky obnoví.
Treba poznamenať, že certifikáty Secure Boot z roku 2023 nevznikajú len tak z ničoho nič. Spoločnosť Microsoft pridáva nové certifikáty do servisných aktualizácií systému Windows, zvyčajne ako súčasť kumulatívnej aktualizácie alebo aktualizácie zabezpečenia pre systém Windows 11 a podporované zariadenia so systémom Windows 10.
V skutočnosti spoločnosť pridáva nové certifikáty Secure Boot od vydania aktualizácie zabezpečenia z februára 2026 (a vyšších vydaní).
Tieto certifikáty, známe ako Windows UEFI CA 2023, sú digitálne podpísané spoločnosťou Microsoft a dôveryhodné pre Secure Boot.
Ak už certifikáty máte v počítači, tieto pokyny vám pomôžu okamžite ich použiť bez čakania na automatické spracovanie aktualizácie systémom.
Obmedzte nabíjanie batérie na zariadeniach Surface so systémom Windows 11 na 80 percent pomocou funkcie Inteligentné nabíjanie v aplikácii Surface, aby ste predĺžili výdrž batérie.
Ak chcete obnoviť nastavenie systému Windows 11, prejdite do časti Nastavenia > Ochrana osobných údajov a zabezpečenie > Nastavenie a snímky > Rozšírené nastavenia a potom kliknite na možnosť Obnoviť nastavenie.
Ak chcete naformátovať disk pomocou súborového systému FAT32 v systéme Windows 11 (alebo 10), otvorte Prieskumníka súborov, kliknite pravým tlačidlom myši na disk, vyberte položku Formátovať, vyberte položku FAT32 a kliknite na tlačidlo Štart
Systém Windows 11 pridáva rozhranie príkazového riadka obchodu Store, ktoré umožňuje vyhľadávať, inštalovať a aktualizovať aplikácie z obchodu Microsoft Store priamo z príkazového riadka alebo prostredia PowerShell.
Systém Windows 11 by mohol konečne opäť priniesť možnosť presúvania a zmeny veľkosti panela úloh, keďže spoločnosť Microsoft pracuje na oprave verejného imidžu operačného systému.
Aktualizácia KB5077221 (zostavenie 28020.1611) pre Windows 11 natívne pridáva nástroj Sysmon a vylepšuje používateľské rozhranie služby Windows Share pre súbory OneDrive.
Zostavenie systému Windows 11 27881 pridáva v Canary Channel funkciu Zhrnutie reči, filtre hlasového písania, vylepšenia používateľského rozhrania a nové možnosti zdieľania.
Zostava 26200.5603 (KB5058488) pre Windows 11 prichádza s akciami umelej inteligencie pre Prieskumníka súborov, novými rozšírenými nastaveniami a zmenami v častiach Zdieľanie, Napájanie a Widgety.
Ak chcete spustiť systém Windows 10 a 11 na dvoch miestach (alebo naopak), môžete zmenšiť primárny oddiel alebo použiť VHDX. Kompletný návod krok za krokom.
Spoločnosť Microsoft vytvára v aplikácii Nastavenia agenta s umelou inteligenciou, ktorý bude poskytovať riešenia a podporu na základe vášho popisu.
