Platí pro
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Původní datum publikování: úterý 26. června 2025

ID znalostní báze: 5062710

Změnit datum

Změnit popis

středa 3. února 2026

  • Byl přidán nový oddíl "Dopad vypršení platnosti certifikátu zabezpečeného spouštění".

  • Odebrali jsme poznámky označené jako Důležité nad a pod oddílem "Výzva k akci".

úterý 10. listopadu 2025

Opravili jsme dva překlepy v části Nový certifikát:

  • z Microsoft Corporation KEK CA 2023" na "Microsoft Corporation KEK 2K CA 2023"

  • a z "Microsoft Option ROM CA 2023" na "Microsoft Option ROM UEFI CA 2023"

Co je zabezpečené spouštění?

Zabezpečené spouštění je funkce zabezpečení ve firmwaru založeném na rozhraní UEFI (Unified Extensible Firmware Interface), která pomáhá zajistit, aby během spouštěcí (spouštěcí) sekvence zařízení běžel jenom důvěryhodný software. Funguje tak, že ověřuje digitální podpis softwaru před spuštěním na sadě důvěryhodných digitálních certifikátů (označovaných také jako certifikační autorita nebo CA) uložených ve firmwaru zařízení. Zabezpečené spouštění rozhraní UEFI definuje, jak firmware platformy spravuje certifikáty, ověřuje firmware a jak se s tímto procesem komunikuje operační systém (OS). Další podrobnosti o rozhraní UEFI a zabezpečeném spouštění najdete v tématu Zabezpečené spouštění.

Zabezpečené spouštění bylo poprvé zavedeno v Windows 8, aby bylo v té době chráněno před vznikající hrozbou před spuštěním malwaru (známého také jako bootkit). V rámci inicializace platformy zabezpečené spouštění ověřuje moduly firmwaru před spuštěním. Tyto moduly zahrnují ovladače firmwaru UEFI (jako jsou optionové romy), zavaděče spouštění a aplikace. Jako poslední krok procesu zabezpečeného spouštění firmware ověří, jestli zabezpečené spouštění důvěřuje zavaděče spouštění. Pak firmware předá řízení zavaděče spouštění, který pak ověří, načte do paměti a spustí operační systém Windows.

Zabezpečené spouštění definuje důvěryhodný kód prostřednictvím zásad firmwaru nastavených během výroby. Změny této zásady, například přidání nebo odvolání certifikátů, jsou řízeny hierarchií klíčů. Tato hierarchie začíná klíčem platformy (PK), který obvykle vlastní výrobce hardwaru, následovaným klíčem KEK (Key Enrollment Key) (označovaným také jako klíč výměny klíčů), který může obsahovat klíč Microsoft KEK a další klíče KEK OEM. Databáze povolených podpisů (DB) a Databáze zakázaných podpisů (DBX) určují, který kód může běžet v prostředí UEFI před spuštěním operačního systému. Databáze zahrnuje certifikáty spravované Microsoftem a výrobcem OEM, zatímco databáze DBX je aktualizována Microsoftem o nejnovější odvolání. Databáze a DBX může aktualizovat libovolná entita s klíči KEK.

Dopad vypršení platnosti certifikátu zabezpečeného spouštění

Společnost Microsoft aktualizuje certifikáty zabezpečeného spouštění, které byly původně vydány v roce 2011, aby zařízení s Windows nadále ověřují důvěryhodný spouštěcí software. Platnost těchto starších certifikátů začne platit v červnu 2026. Zařízení, která neobdržela novější certifikáty 2023, se budou dál spouštět a fungovat normálně a budou se dál instalovat standardní aktualizace Windows. Tato zařízení však už nebudou moci přijímat nové bezpečnostní ochrany pro proces předčasného spouštění, včetně aktualizací Správce spouštění systému Windows, databází zabezpečeného spouštění, seznamů odvolání nebo zmírnění nově zjištěných ohrožení zabezpečení na úrovni spouštění. 

Postupem času to omezuje ochranu zařízení před vznikajícími hrozbami a může to ovlivnit scénáře, které spoléhají na důvěryhodnost zabezpečeného spouštění, jako je posílení zabezpečení bitlockeru nebo zaváděcí nástroje třetích stran. Většina zařízení s Windows obdrží aktualizované certifikáty automaticky a mnoho OEM poskytuje aktualizace firmwaru v případě potřeby. Udržování zařízení s těmito aktualizacemi v aktuálním stavu pomáhá zajistit, aby mohlo dál dostávat úplnou sadu bezpečnostních ochran, které má zabezpečené spouštění poskytovat.

Platnost certifikátů zabezpečeného spouštění Systému Windows vyprší v roce 2026

Od doby, kdy systém Windows zavedl podporu zabezpečeného spouštění, všechna zařízení s Windows nesla stejnou sadu certifikátů Microsoftu v klíčích KEK a DB. U těchto původních certifikátů se blíží datum vypršení platnosti a pokud má některou z uvedených verzí certifikátů, bude to mít vliv na vaše zařízení. Pokud chcete dál používat Windows a dostávat pravidelné aktualizace pro konfiguraci zabezpečeného spouštění, budete muset tyto certifikáty aktualizovat.

Terminologie

  • KEK: Klíč registrace klíče

  • CA: Certifikační autorita

  • DB: Databáze podpisů zabezpečeného spouštění

  • DBX: Databáze odvolaných podpisů zabezpečeného spouštění

Vypršení platnosti certifikátu

Datum vypršení platnosti

Nový certifikát

Umístění uložení

Účel

Microsoft Corporation KEK CA 2011

Červen 2026

Microsoft Corporation KEK 2K CA 2023

Uloženo v KEK

Podepíše aktualizace databází a DBX.

Microsoft Windows Production PCA 2011

Říjen 2026

Windows UEFI CA 2023

Uložená v databázi

Používá se k podepisování zavaděče spouštění systému Windows.

Microsoft UEFI CA 2011*

Červen 2026

Microsoft UEFI CA 2023

Uložená v databázi

Podepíše zavaděče spouštění třetích stran a aplikace EFI.

Microsoft UEFI CA 2011*

Červen 2026

Microsoft Option ROM UEFI CA 2023

Uložená v databázi

Podepíše opční romy třetích stran.

*Během obnovování platnosti certifikátu Microsoft Corporation UEFI CA 2011 oddělují podpis zavaděče spouštění od možnosti podepisování ROM dva certifikáty. To umožňuje jemnější kontrolu nad vztahem důvěryhodnosti systému. Například systémy, které potřebují důvěřovat variantám ROM, můžou přidat Microsoft Option ROM UEFI CA 2023 bez přidání důvěryhodnosti pro zavaděče spouštění třetích stran.

Společnost Microsoft vydala aktualizované certifikáty, které zajišťují kontinuitu ochrany zabezpečeného spouštění na zařízeních s Windows. Microsoft bude spravovat proces aktualizace těchto nových certifikátů na významné části zařízení s Windows. Kromě toho nabídneme podrobné pokyny pro organizace, které spravují aktualizace vlastních zařízení.

Výzva k akci

Možná budete muset provést akci, která zajistí, že vaše zařízení s Windows zůstane zabezpečené i po vypršení platnosti certifikátů v roce 2026. Databáze zabezpečeného spouštění rozhraní UEFI i klíč KEK musí být aktualizovány odpovídajícími novými verzemi certifikátu 2023. Další informace o nových certifikátech najdete v tématu Pokyny k vytvoření a správě klíče zabezpečeného spouštění Windows

Vaše akce se budou lišit v závislosti na typu zařízení s Windows, které máte. V nabídce na levé straně vyberte typ zařízení a konkrétní akci, kterou musíte provést.  

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti