V systémoch Windows 11 a Windows 10 spoločnosť Microsoft postupne overuje a aktualizuje certifikáty Secure Boot prostredníctvom štandardných aktualizácií systému. Vo väčšine prípadov stačí sledovať mesačné aktualizácie zabezpečenia , aby bolo vaše zariadenie pripravené pred termínom v júni 2026.
Ak si však chcete overiť alebo použiť novšie certifikáty Secure Boot z roku 2023 sami, môžete proces dokončiť manuálne. Táto príručka vás prevedie jednotlivými krokmi.
Secure Boot je bezpečnostná funkcia na úrovni firmvéru zabudovaná do rozhrania UEFI (Unified Extensible Firmware Interface). Zaisťuje, že zariadenie sa spustí iba so softvérom digitálne podpísaným a dôveryhodným schválenými certifikačnými autoritami. Overením bootloaderov a komponentov firmvéru pred spustením operačného systému pomáha Secure Boot predchádzať narušeniu procesu spúšťania rootkitmi a iným nízkoúrovňovým malvérom.
Na vynútenie tejto ochrany sa Secure Boot spolieha na kryptografické kľúče známe ako certifikačné autority (CA). Tieto kľúče vytvárajú reťazec dôvery medzi firmvérom a operačným systémom a blokujú nepodpísaný alebo sfalšovaný kód počas skorého spustenia.
Podobne ako všetky digitálne certifikáty, aj certifikačné autority Secure Boot majú dátumy expirácie. Pôvodné certifikáty z roku 2011 vypršia v júni 2026. Systémy musia mať pred týmto dátumom nainštalované aktualizované certifikáty z roku 2023, aby sa predišlo chybám pri overovaní dôveryhodnosti, problémom so zavádzaním alebo potenciálnym prerušeniam prijímania budúcich aktualizácií.
Počítače vyrobené v roku 2024 alebo neskôr sa zvyčajne dodávajú s už nainštalovanými certifikátmi z roku 2023. V prípade staršieho hardvéru spoločnosť Microsoft dodáva aktualizované certifikáty prostredníctvom služby Windows Update ako súčasť prebiehajúcej údržby zabezpečenia, ale nové certifikáty môžete nainštalovať a nahradiť aj manuálne.
V tejto príručke načrtnem jednoduché kroky na kontrolu a manuálnu aktualizáciu certifikátov Secure Boot na vašom zariadení so systémom Windows 11.
Dôležité: Hoci ide o nedeštruktívny proces, pred pokračovaním sa odporúča vytvoriť si úplnú zálohu počítača . Boli ste upozornení.
Nainštalujte certifikáty Secure Boot 2023 v systéme Windows 11
Ak je BitLocker aktívny, musíte dočasne vypnúť šifrovanie v PowerShell ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), aby firmvér mohol úspešne zapísať nové kľúče do zariadenia. Pred pokračovaním sa tiež uistite, že váš počítač je plne aktualizovaný na aktualizáciu zabezpečenia z februára 2026 (KB5077181) alebo novšiu.
Ak chcete aktualizovať certifikáty Secure Boot pred ich vypršaním v roku 2026, postupujte podľa týchto krokov:
Otvorte Štart .
Vyhľadajte PowerShell (alebo Terminál ), kliknite pravým tlačidlom myši na prvý výsledok a vyberte možnosť Spustiť ako správca .
Zadajte tento príkaz, aby ste potvrdili, že zariadenie používa rozhranie UEFI so zapnutým zabezpečeným spustením, a zadajte ho :
Potvrdiť SecureBootUEFI
Rýchla poznámka: Ak je výstup „True“, môžete pokračovať podľa krokov uvedených nižšie. V opačnom prípade budete musieť povoliť funkciu Secure Boot . Ak používate systém Windows 10, možno budete musieť dokonca prejsť zo staršieho systému BIOS na UEFI .
Zadajte tento príkaz na kontrolu dátumu expirácie certifikátov Secure Boot a stlačte kláves Enter :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(Výstup 1) Ak je výstup „True“, máte nový certifikát (platný do roku 2053). Zastavte a nepokračujte.
(Výstup 2) Ak je výstup „Nepravda“, pravdepodobne stále používate certifikát z roku 2011 (platnosť vyprší v roku 2026). Pokračujte podľa krokov uvedených nižšie.
Zadajte tento príkaz na nastavenie kľúča databázy Registry na nasadenie všetkých požadovaných certifikátov a stlačte kláves Enter :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Zadajte tento príkaz na manuálne spustenie zmien certifikátu a stlačte kláves Enter :
Start-ScheduledTask-NázovÚlohy "\Microsoft\Windows\PI\Secure-Boot-Update"
Reštartujte počítač raz.
Reštartujte zariadenie druhýkrát a pokračujte v procese kontroly certifikátov.
Stručná poznámka: Aktualizácia zvyčajne vyžaduje dva reštarty, aby sa úplne uplatnila. Po prvom reštarte systém aktualizuje správcu zavádzania. Po druhom reštarte dokončí zápis certifikátu do databázy UEFI.
Otvorte Štart .
Vyhľadajte PowerShell (alebo Terminál ), kliknite pravým tlačidlom myši na prvý výsledok a vyberte možnosť Spustiť ako správca.
Zadajte tento príkaz a skontrolujte, či sa aktualizácia úspešne dokončila, a stlačte kláves Enter :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Po dokončení krokov, ak je výstup „True“ (True), máte nové certifikáty (platné do roku 2053) úspešne nainštalované v počítači. Ak je výstup „False“ (Nepravda), certifikáty sa nenainštalovali správne.
Je dôležité poznamenať, že hodnota „True“ potvrdzuje registráciu certifikačnej autority z roku 2023, ale neodstraňuje certifikát z roku 2011 okamžite vo všetkých scenároch. Niektoré systémy môžu dočasne zobrazovať obe.
Ak výstup po dokončení procesu zostane „False“, skontrolujte, či sa v časti Zobrazovač udalostí > Denníky aplikácií a služieb > Microsoft > Windows > SecureBoot-Update nevyskytujú chyby. Spustením príkazu tiež overte existenciu naplánovanej úlohy Get-ScheduledTask -TaskName "Secure-Boot-Update".
Ak ste po aktualizácii museli vypnúť nástroj BitLocker, môžete šifrovanie obnoviť spustením príkazu Resume-BitLocker -MountPoint "C:", aj keď -RebootCount 2sa po dvoch reštartoch automaticky obnoví.
Treba poznamenať, že certifikáty Secure Boot z roku 2023 nevznikajú len tak z ničoho nič. Spoločnosť Microsoft pridáva nové certifikáty do servisných aktualizácií systému Windows, zvyčajne ako súčasť kumulatívnej aktualizácie alebo aktualizácie zabezpečenia pre systém Windows 11 a podporované zariadenia so systémom Windows 10.
V skutočnosti spoločnosť pridáva nové certifikáty Secure Boot od vydania aktualizácie zabezpečenia z februára 2026 (a vyšších vydaní).
Tieto certifikáty, známe ako Windows UEFI CA 2023, sú digitálne podpísané spoločnosťou Microsoft a dôveryhodné pre Secure Boot.
Ak už certifikáty máte v počítači, tieto pokyny vám pomôžu okamžite ich použiť bez čakania na automatické spracovanie aktualizácie systémom.
Zostavenie systému Windows 11 26120.4441 (KB5060816) v beta verzii prináša export funkcie Recall v Európe, hodiny Centra upozornení so sekundami a ďalšie zmeny.
Zostava 27902 pre Windows 11 je teraz k dispozícii v kanáli Canary Channel a obsahuje opravy systému, zmeny v Prieskumníkovi súborov, známe problémy a možnosť sťahovania súborov ISO.
Inštalácia a odinštalovanie aplikácií systému Windows v systéme Zorin pomocou Wine, čo funguje, čo nie a aké obmedzenia by ste mali poznať predtým, ako sa naň spoľahnete.
Skontrolujte, ako dlho beží váš počítač so systémom Windows 11, pomocou Správcu úloh, Nastavenia, Ovládacieho panela, Príkazového riadka alebo PowerShellu.
Spoločnosť Microsoft predstavuje Copilot Tasks, ktoré umožňujú umelej inteligencii plánovať a dokončovať viacstupňové pracovné postupy v rôznych aplikáciách so súhlasom a dohľadom používateľa.
Ak chcete nainštalovať systém Windows 11 25H2 skôr, použite na vytvorenie inštalačného média USB službu Windows Update, balík Enablement Package alebo súbor ISO. Tu je postup.
Celý proces čistej inštalácie systému Windows 11 LSTC a podrobnosti, ktoré potrebujete vedieť pred začatím používania verzie LSTC.
Aktualizácia KB5083822 (zostavenie 26300.8155) pre Windows 11 pridáva hmatovú spätnú väzbu, zmeny režimu Xbox a vylepšenia spustenia. Tu sú novinky.
Ak chcete nastaviť Google ako predvolený vyhľadávací nástroj v prehliadači Microsoft Edge, otvorte stránku edge://settings/search a vyberte možnosť Google.
Ak chcete v systéme Windows 11 (alebo 10) povoliť režim napájania Ultimate Performance, použite príkaz powercfg -duplicatescheme e9a42b02-d5df-448d-aa00-03f14749eb61.
