Platí pro
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Původní datum publikování: úterý 15. září 2025

ID znalostní báze: 5068008

Obecné nejčastější dotazy k zabezpečenému spouštění

Nejlepší je aktualizovat certifikáty zabezpečeného spouštění před datem vypršení platnosti v červnu 2026. 

Pokud vaše zařízení spravuje Microsoft a sdílí s Microsoftem diagnostická data, pokusí se Microsoft ve většině případů automaticky aktualizovat certifikáty zabezpečeného spouštění. I když se Společnost Microsoft bude vylepšovat, aby aktualizovala zabezpečené spouštění, v některých situacích nebude zaručeno, že se aktualizace použije, a bude vyžadovat akci zákazníka. Zákazník je nakonec zodpovědný za aktualizaci certifikátů zabezpečeného spouštění. 

Mezi ukázkové situace, kdy se neaktualizují spravovaná zařízení Microsoftu se sdílenými diagnostickými daty, jsou následující: 

  • Aktualizace zabezpečeného spouštění od Microsoftu fungují jenom u některých verzí systému Windows s podporou.

  • Diagnostická data povolená na vašem zařízení může blokovat brána firewall ve vaší organizaci, která se nedotáhá k Microsoftu.

  • Na zařízení může být něco špatně s firmwarem.

Poznámka Co znamená být spravovaný microsoftem? Systém sdílí diagnostická data a spravuje ho Microsoft Cloud nebo Intune. 

Pokud vaše zařízení nesdílí diagnostická data s Microsoftem a spravuje ho IT oddělení vaší organizace nebo zákazník, it oddělení může systémy aktualizovat podle pokynů Microsoftu v tématu Vypršení platnosti certifikátu zabezpečeného spouštění Windows a aktualizace certifikační autority.

Pokud je počítač spravovaný Microsoftem, certifikáty zabezpečeného spouštění se aktualizují prostřednictvím služba Windows Update.  

Pokud je počítač spravovaný vaší organizací nebo podnikovým správcem IT, it oddělení má metody, jak aktualizovat systém pomocí pokynů v tématu Vypršení platnosti certifikátu zabezpečeného spouštění Windows a aktualizace certifikační autority

Počítač bude systém Windows stále normálně spouštět, i když certifikáty zabezpečeného spouštění nejsou aktualizovány.  Počítač nakonec přestane od společnosti Microsoft dostávat určité aktualizace zabezpečení systému Windows, včetně aktualizací zabezpečení správce spouštění a součásti zabezpečeného spouštění. Zařízení tak bude ohroženo sadami BootKit, které by mohly převzít plnou kontrolu nad počítačem.

Podpora Windows 10 končí 14. října 2025. Další informace najdete v tématu Windows 10 podpora končí 14. října 2025

Pokud chcete Aktualizace zabezpečení dostávat i po tomto datu, zákazníci, kteří zůstávají na Windows 10, se můžou zaregistrovat k: 

Poznámka

  • Windows 10 Enterprise LTSC je možné zakoupit buď jako samostatnou skladovou položku, nebo jako součást předplatného Windows Enterprise E3.

  • Windows IoT Enterprise LTSC je možné zakoupit přímo od výrobce OEM nebo prostřednictvím licence dodavatele jako samostatnou skladovou položku.

Nejčastější dotazy k zabezpečenému spouštění spravovaných systémů zákazníka nebo IT

Existují dvě možné cesty: 

Očekává se, že tyto kroky budou oslovovat většinu zákazníků, aniž by potřebovali aktualizaci firmwaru od OEM. V některých případech se však aktualizace nebudou vztahovat kvůli známým nebo neznámým problémům ve firmwaru zařízení. V takových případech postupujte podle pokynů výrobce OEM k aktualizacím firmwaru. 

Poznámka Výše uvedený postup použije aktivní proměnné zabezpečeného spouštění prostřednictvím operačního systému. Výchozí hodnoty firmwaru zabezpečeného spouštění se uchovávají ve firmwaru vydaném výrobcem OEM. Pokyny jsou neměnit ani aktualizovat konfiguraci zabezpečeného spouštění, pokud výrobce OEM nevydá aktualizaci, která změní výchozí nastavení firmwaru na nové certifikáty.

 Pokud platnost certifikátů vyprší, je ochrana zabezpečeného spouštění degradovaná. Pokud systém splňuje požadavky na novější operační systém, jako je Windows 11, bude možné upgradovat na novější verzi operačního systému Windows 11.  

Pokud na vašich zařízeních Windows 10 LTSC není povolené zabezpečené spouštění, nejsou součástí aktuálního zavedení nových certifikátů zabezpečeného spouštění. Když začnete s upgradem na Windows 11 LTSC, budete muset postupovat podle konkrétních kroků migrace, které jsou v daném okamžiku relevantní, abyste zajistili, že budou zahrnuty nové certifikáty 2023.

Certifikáty získají jenom podporované verze operačního systému Windows. 

Po vypršení platnosti certifikátů se zařízení bude dál spouštět beze změny, ale přestane dostávat aktualizace zabezpečení pro správce spouštění a součásti zabezpečeného spouštění. Tím bude celé zařízení vystaveno riziku malwaru bootkitu, který může ovlivnit všechny aspekty zabezpečení zařízení.

Pro Windows běžící ve virtuálním prostředí existují dvě metody přidání nových certifikátů do proměnných firmwaru zabezpečeného spouštění: 

  • Tvůrce virtuálního prostředí (AWS, Azure, Hyper-V, VMware atd.) může poskytnout aktualizaci prostředí a zahrnout nové certifikáty do virtualizovaného firmwaru. To by fungovalo pro nová virtualizovaná zařízení.

  • Pokud virtualizovaný firmware podporuje aktualizace zabezpečeného spouštění, je možné aktualizace v systému Windows použít v systému Windows jako na všech ostatních zařízeních.

Tato prostředí spravovaná zákazníkem nebo IT často nemají dostatek diagnostických dat, aby Microsoft s jistotou a bezpečně zaváděl nové funkce. It oddělení navíc obvykle preferují zachování úplné kontroly nad načasováním aktualizací a obsahem, aby se zajistilo dodržování předpisů, stabilita a kompatibilita s interními nástroji a pracovními postupy. Mnoho podnikových zařízení také funguje v citlivých nebo omezených prostředích, kde externí přístup nebo správa – vyplývající z CFR – může být nežádoucí nebo zakázaná.

Pokud systém Windows už používá správce spouštění podepsaného 2023, ale firmware je resetovaný na výchozí hodnoty, které neobsahují certifikát Windows UEFI CA 2023, zabezpečené spouštění zablokuje proces spuštění. 

Pokud chcete tento problém vyřešit, musíte znovu použít certifikát 2023 v databázi firmwaru pomocí aplikace pro obnovení. To se provádí vytvořením usb pro obnovení a následným spuštěním příslušného zařízení z tohoto USB, aby se obnovil chybějící certifikát. 

Podrobné pokyny najdete v oficiálních doprovodných materiálech microsoftu k aktualizaci instalačního média Windows

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti