V systémoch Windows 11 a Windows 10 spoločnosť Microsoft postupne overuje a aktualizuje certifikáty Secure Boot prostredníctvom štandardných aktualizácií systému. Vo väčšine prípadov stačí sledovať mesačné aktualizácie zabezpečenia , aby bolo vaše zariadenie pripravené pred termínom v júni 2026.
Ak si však chcete overiť alebo použiť novšie certifikáty Secure Boot z roku 2023 sami, môžete proces dokončiť manuálne. Táto príručka vás prevedie jednotlivými krokmi.
Secure Boot je bezpečnostná funkcia na úrovni firmvéru zabudovaná do rozhrania UEFI (Unified Extensible Firmware Interface). Zaisťuje, že zariadenie sa spustí iba so softvérom digitálne podpísaným a dôveryhodným schválenými certifikačnými autoritami. Overením bootloaderov a komponentov firmvéru pred spustením operačného systému pomáha Secure Boot predchádzať narušeniu procesu spúšťania rootkitmi a iným nízkoúrovňovým malvérom.
Na vynútenie tejto ochrany sa Secure Boot spolieha na kryptografické kľúče známe ako certifikačné autority (CA). Tieto kľúče vytvárajú reťazec dôvery medzi firmvérom a operačným systémom a blokujú nepodpísaný alebo sfalšovaný kód počas skorého spustenia.
Podobne ako všetky digitálne certifikáty, aj certifikačné autority Secure Boot majú dátumy expirácie. Pôvodné certifikáty z roku 2011 vypršia v júni 2026. Systémy musia mať pred týmto dátumom nainštalované aktualizované certifikáty z roku 2023, aby sa predišlo chybám pri overovaní dôveryhodnosti, problémom so zavádzaním alebo potenciálnym prerušeniam prijímania budúcich aktualizácií.
Počítače vyrobené v roku 2024 alebo neskôr sa zvyčajne dodávajú s už nainštalovanými certifikátmi z roku 2023. V prípade staršieho hardvéru spoločnosť Microsoft dodáva aktualizované certifikáty prostredníctvom služby Windows Update ako súčasť prebiehajúcej údržby zabezpečenia, ale nové certifikáty môžete nainštalovať a nahradiť aj manuálne.
V tejto príručke načrtnem jednoduché kroky na kontrolu a manuálnu aktualizáciu certifikátov Secure Boot na vašom zariadení so systémom Windows 11.
Dôležité: Hoci ide o nedeštruktívny proces, pred pokračovaním sa odporúča vytvoriť si úplnú zálohu počítača . Boli ste upozornení.
Nainštalujte certifikáty Secure Boot 2023 v systéme Windows 11
Ak je BitLocker aktívny, musíte dočasne vypnúť šifrovanie v PowerShell ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), aby firmvér mohol úspešne zapísať nové kľúče do zariadenia. Pred pokračovaním sa tiež uistite, že váš počítač je plne aktualizovaný na aktualizáciu zabezpečenia z februára 2026 (KB5077181) alebo novšiu.
Ak chcete aktualizovať certifikáty Secure Boot pred ich vypršaním v roku 2026, postupujte podľa týchto krokov:
Otvorte Štart .
Vyhľadajte PowerShell (alebo Terminál ), kliknite pravým tlačidlom myši na prvý výsledok a vyberte možnosť Spustiť ako správca .
Zadajte tento príkaz, aby ste potvrdili, že zariadenie používa rozhranie UEFI so zapnutým zabezpečeným spustením, a zadajte ho :
Potvrdiť SecureBootUEFI
Rýchla poznámka: Ak je výstup „True“, môžete pokračovať podľa krokov uvedených nižšie. V opačnom prípade budete musieť povoliť funkciu Secure Boot . Ak používate systém Windows 10, možno budete musieť dokonca prejsť zo staršieho systému BIOS na UEFI .
Zadajte tento príkaz na kontrolu dátumu expirácie certifikátov Secure Boot a stlačte kláves Enter :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(Výstup 1) Ak je výstup „True“, máte nový certifikát (platný do roku 2053). Zastavte a nepokračujte.
(Výstup 2) Ak je výstup „Nepravda“, pravdepodobne stále používate certifikát z roku 2011 (platnosť vyprší v roku 2026). Pokračujte podľa krokov uvedených nižšie.
Zadajte tento príkaz na nastavenie kľúča databázy Registry na nasadenie všetkých požadovaných certifikátov a stlačte kláves Enter :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Zadajte tento príkaz na manuálne spustenie zmien certifikátu a stlačte kláves Enter :
Start-ScheduledTask-NázovÚlohy "\Microsoft\Windows\PI\Secure-Boot-Update"
Reštartujte počítač raz.
Reštartujte zariadenie druhýkrát a pokračujte v procese kontroly certifikátov.
Stručná poznámka: Aktualizácia zvyčajne vyžaduje dva reštarty, aby sa úplne uplatnila. Po prvom reštarte systém aktualizuje správcu zavádzania. Po druhom reštarte dokončí zápis certifikátu do databázy UEFI.
Otvorte Štart .
Vyhľadajte PowerShell (alebo Terminál ), kliknite pravým tlačidlom myši na prvý výsledok a vyberte možnosť Spustiť ako správca.
Zadajte tento príkaz a skontrolujte, či sa aktualizácia úspešne dokončila, a stlačte kláves Enter :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Po dokončení krokov, ak je výstup „True“ (True), máte nové certifikáty (platné do roku 2053) úspešne nainštalované v počítači. Ak je výstup „False“ (Nepravda), certifikáty sa nenainštalovali správne.
Je dôležité poznamenať, že hodnota „True“ potvrdzuje registráciu certifikačnej autority z roku 2023, ale neodstraňuje certifikát z roku 2011 okamžite vo všetkých scenároch. Niektoré systémy môžu dočasne zobrazovať obe.
Ak výstup po dokončení procesu zostane „False“, skontrolujte, či sa v časti Zobrazovač udalostí > Denníky aplikácií a služieb > Microsoft > Windows > SecureBoot-Update nevyskytujú chyby. Spustením príkazu tiež overte existenciu naplánovanej úlohy Get-ScheduledTask -TaskName "Secure-Boot-Update".
Ak ste po aktualizácii museli vypnúť nástroj BitLocker, môžete šifrovanie obnoviť spustením príkazu Resume-BitLocker -MountPoint "C:", aj keď -RebootCount 2sa po dvoch reštartoch automaticky obnoví.
Treba poznamenať, že certifikáty Secure Boot z roku 2023 nevznikajú len tak z ničoho nič. Spoločnosť Microsoft pridáva nové certifikáty do servisných aktualizácií systému Windows, zvyčajne ako súčasť kumulatívnej aktualizácie alebo aktualizácie zabezpečenia pre systém Windows 11 a podporované zariadenia so systémom Windows 10.
V skutočnosti spoločnosť pridáva nové certifikáty Secure Boot od vydania aktualizácie zabezpečenia z februára 2026 (a vyšších vydaní).
Tieto certifikáty, známe ako Windows UEFI CA 2023, sú digitálne podpísané spoločnosťou Microsoft a dôveryhodné pre Secure Boot.
Ak už certifikáty máte v počítači, tieto pokyny vám pomôžu okamžite ich použiť bez čakania na automatické spracovanie aktualizácie systémom.
Zostava 28000.1362 (KB5073095) pre Windows 11 26H1 obsahuje niekoľko nových funkcií, vizuálne vylepšenia a opravy. Tu je všetko, čo potrebujete vedieť.
Aktualizácia KB5046716 (zostavenie 22635.4510) pre Windows 11 prináša možnosť zdieľania pre zoznam odkazov, rozloženie klávesnice gamepadu a zmeny v prístupnosti.
Zostavy 26200.5581 (KB5055651) a 26120.3950 (KB5055653) pre Windows 11 prinášajú nové vizuálne efekty funkcie Obnoviť, nové možnosti HDR, vylepšenia panela úloh a ďalšie funkcie.
Zistite, ako resetovať ethernetový adaptér v systéme Windows 11, aby ste rýchlo vyriešili problémy so sieťou a obnovili pripojenie pri použití káblového pripojenia.
Ak chcete vyriešiť problémy s Wi-Fi v systéme Windows 11, otvorte Nastavenia > Sieť a internet > Rozšírené nastavenia siete, kliknite na Obnovenie siete a reštartujte počítač.
Ak chcete nainštalovať zostavy Windows 11 Insider Preview, najskôr zaregistrujte svoj počítač do programu a pomocou nastavení služby Windows Update nainštalujte najnovšiu zostavu.
Systém Windows 11 teraz umožňuje preskočiť aktualizácie počas inštalácie, čím sa skracujú čakacie doby a počítač sa dostanete rýchlejšie ako kedykoľvek predtým.
Ak chcete vytvoriť nálepku s umelou inteligenciou, otvorte program Skicár, kliknite na tlačidlo Nálepky, vyberte možnosť Generovať nálepky, napíšte textovú výzvu a kliknite na tlačidlo Generovať.
Ak chcete zakázať automatické aktualizácie v systéme Windows 11, použite možnosť Pozastaviť v službe Windows Update alebo v skupinovej politike, aby ste ich natrvalo vypli. Tu je postup.
Nová funkcia Zdieľaný zvuk v systéme Windows 11 vám umožňuje zdieľať zvuk cez Bluetooth s inou osobou pomocou technológie LE Audio. Teraz je k dispozícii aj na počítačoch Copilot+.
