Původní datum publikování: úterý 26. června 2025
ID znalostní báze: 5062710
Co je zabezpečené spouštění?
Zabezpečené spouštění je funkce zabezpečení ve firmwaru založeném na rozhraní UEFI (Unified Extensible Firmware Interface), která pomáhá zajistit, aby během spouštěcí (spouštěcí) sekvence zařízení běžel jenom důvěryhodný software. Funguje tak, že ověřuje digitální podpis softwaru před spuštěním na sadě důvěryhodných digitálních certifikátů (označovaných také jako certifikační autorita nebo CA) uložených ve firmwaru zařízení. Zabezpečené spouštění rozhraní UEFI definuje, jak firmware platformy spravuje certifikáty, ověřuje firmware a jak se s tímto procesem komunikuje operační systém (OS). Další podrobnosti o rozhraní UEFI a zabezpečeném spouštění najdete v tématu Zabezpečené spouštění.
Zabezpečené spouštění bylo poprvé zavedeno v Windows 8, aby bylo v té době chráněno před vznikající hrozbou před spuštěním malwaru (známého také jako bootkit). V rámci inicializace platformy zabezpečené spouštění ověřuje moduly firmwaru před spuštěním. Tyto moduly zahrnují ovladače firmwaru UEFI (jako jsou optionové romy), zavaděče spouštění a aplikace. Jako poslední krok procesu zabezpečeného spouštění firmware ověří, jestli zabezpečené spouštění důvěřuje zavaděče spouštění. Pak firmware předá řízení zavaděče spouštění, který pak ověří, načte do paměti a spustí operační systém Windows.
Zabezpečené spouštění definuje důvěryhodný kód prostřednictvím zásad firmwaru nastavených během výroby. Změny této zásady, například přidání nebo odvolání certifikátů, jsou řízeny hierarchií klíčů. Tato hierarchie začíná klíčem platformy (PK), který obvykle vlastní výrobce hardwaru, následovaným klíčem KEK (Key Enrollment Key) (označovaným také jako klíč výměny klíčů), který může obsahovat klíč Microsoft KEK a další klíče KEK OEM. Databáze povolených podpisů (DB) a Databáze zakázaných podpisů (DBX) určují, který kód může běžet v prostředí UEFI před spuštěním operačního systému. Databáze zahrnuje certifikáty spravované Microsoftem a výrobcem OEM, zatímco databáze DBX je aktualizována Microsoftem o nejnovější odvolání. Databáze a DBX může aktualizovat libovolná entita s klíči KEK.
Platnost certifikátů zabezpečeného spouštění Systému Windows vyprší v roce 2026
Od doby, kdy systém Windows zavedl podporu zabezpečeného spouštění, všechna zařízení s Windows nesla stejnou sadu certifikátů Microsoftu v klíčích KEK a DB. U těchto původních certifikátů se blíží datum vypršení platnosti a pokud má některou z uvedených verzí certifikátů, bude to mít vliv na vaše zařízení. Pokud chcete dál používat Windows a dostávat pravidelné aktualizace pro konfiguraci zabezpečeného spouštění, budete muset tyto certifikáty aktualizovat.
Terminologie
-
KEK: Klíč registrace klíče
-
CA: Certifikační autorita
-
DB: Databáze podpisů zabezpečeného spouštění
-
DBX: Databáze odvolaných podpisů zabezpečeného spouštění
|
Vypršení platnosti certifikátu |
Datum vypršení platnosti |
Nový certifikát |
Umístění uložení |
Účel |
|
Microsoft Corporation KEK CA 2011 |
Červen 2026 |
Microsoft Corporation KEK CA 2023 |
Uloženo v KEK |
Podepíše aktualizace databází a DBX. |
|
Microsoft Windows Production PCA 2011 |
Říjen 2026 |
Windows UEFI CA 2023 |
Uložená v databázi |
Používá se k podepisování zavaděče spouštění systému Windows. |
|
Microsoft UEFI CA 2011* |
Červen 2026 |
Microsoft UEFI CA 2023 |
Uložená v databázi |
Podepíše zavaděče spouštění třetích stran a aplikace EFI. |
|
Microsoft UEFI CA 2011* |
Červen 2026 |
Microsoft Option ROM CA 2023 |
Uložená v databázi |
Podepíše opční romy třetích stran. |
*Během obnovování platnosti certifikátu Microsoft Corporation UEFI CA 2011 oddělují podpis zavaděče spouštění od možnosti podepisování ROM dva certifikáty. To umožňuje jemnější kontrolu nad vztahem důvěryhodnosti systému. Například systémy, které potřebují důvěřovat variantám ROM, můžou přidat Microsoft Option ROM UEFI CA 2023 bez přidání důvěryhodnosti pro zavaděče spouštění třetích stran.
Společnost Microsoft vydala aktualizované certifikáty, které zajišťují kontinuitu ochrany zabezpečeného spouštění na zařízeních s Windows. Microsoft bude spravovat proces aktualizace těchto nových certifikátů na významné části zařízení s Windows. Kromě toho nabídneme podrobné pokyny pro organizace, které spravují aktualizace vlastních zařízení.
Důležité Po vypršení platnosti certifikačních autorit 2011 přestanou zařízení s Windows, která nemají nové certifikáty 2023, dostávat opravy zabezpečení pro součásti před spuštěním, které by ohrozily zabezpečení spouštění Windows.
Výzva k akci
Možná budete muset provést akci, která zajistí, že vaše zařízení s Windows zůstane zabezpečené i po vypršení platnosti certifikátů v roce 2026. Databáze zabezpečeného spouštění rozhraní UEFI i klíč KEK musí být aktualizovány odpovídajícími novými verzemi certifikátu 2023. Další informace o nových certifikátech najdete v tématu Pokyny k vytvoření a správě klíče zabezpečeného spouštění Windows.
Důležité Bez aktualizací hrozí, že zařízení s Windows s povoleným zabezpečeným spouštěním nebudou dostávat aktualizace zabezpečení nebo budou důvěřovat novým zavaděčům spouštění, což by ohrozilo použitelnost i zabezpečení.
Vaše akce se budou lišit v závislosti na typu zařízení s Windows, které máte. V nabídce na levé straně vyberte typ zařízení a konkrétní akci, kterou musíte provést.
