Napomena
- Izvorni datum objave: Rujna 15, 2025
- ID baze znanja: 5068008
Zapisnik promjena
| Promjena datuma | Opis izmjene |
|---|---|
| Veljače 23, 2026 |
|
| Veljače 9, 2026 |
|
| Veljače 3, 2026 |
|
| Siječanj 12, 2026 |
|
Općenita najčešća pitanja o sigurnom pokretanju sustava
P1: Što se događa ako moj uređaj ne dobije nove certifikate za sigurno pokretanje prije isteka starih?
Nakon isteka certifikata za sigurno pokretanje, uređaji koji nisu primili novije certifikate za 2023. nastavit će se pokretati i normalno funkcionirati, a standardna ažuriranja sustava Windows nastavit će se instalirati. No ti uređaji više neće moći primati nove sigurnosne zaštite za proces ranog pokretanja, uključujući ažuriranja upravitelja pokretanja sustava Windows, baze podataka sigurnog pokretanja, popise opozvanih sustava ili mjere ublažavanja novootkrivenih ranjivosti na razini pokretanja.
S vremenom to ograničava zaštitu uređaja od novih prijetnji i može utjecati na scenarije koji se oslanjaju na pouzdano sigurno pokretanje, kao što je BitLocker pojačavanje otpornosti ili bootloaderi drugih proizvođača. Većina uređaja sa sustavom Windows automatski će primiti ažurirane certifikate, a mnogi OEM-ovi omogućili su ažuriranja opreme kada je to potrebno. Ažurnost uređaja s ovim ažuriranjima osigurava da će moći nastaviti primati sve sigurnosne zaštite koje je sigurno pokretanje dizajnirano pružiti.
P2: Kada treba ažurirati certifikate za sigurno pokretanje?
Certifikate za sigurno pokretanje najbolje je ažurirati znatno prije datuma isteka u lipnju 2026.
Ako vašim uređajem upravlja Microsoft i dijeli dijagnostičke podatke s tvrtkom Microsoft, Microsoft će u većini slučajeva pokušati automatski ažurirati certifikate za sigurno pokretanje. Iako će Microsoft dati sve od sebe da ažurira sigurno pokretanje, u nekim situacijama neće biti zajamčeno da će se ažuriranje primijeniti i za to će biti potrebna akcija korisnika. Korisnik je u konačnici odgovoran za ažuriranje certifikata za sigurno pokretanje.
Primjeri situacija u kojima uređaji kojima upravlja Microsoft s omogućenim dijagnostičkim podacima možda neće primati ažuriranja obuhvaćaju sljedeće:
- Ažuriranja Microsoftova sigurnog pokretanja primjenjuju se samo na neke verzije sustava Windows za koje je uključena podrška.
- Dijagnostičke podatke omogućene na uređaju možda je blokirao vatrozid u vašoj tvrtki ili ustanovi i ne mogu doći do Microsofta.
- Možda nešto nije u redu s firmverom na uređaju.
Napomena Što znači biti "Upravlja Microsoft"? Sustav zajednički koristi dijagnostičke podatke, a njima upravljaju Microsoft Cloud ili Intune.
Ako vaš uređaj ne dijeli dijagnostičke podatke s tvrtkom Microsoft i njime upravlja IT odjel vaše tvrtke ili ustanove ili korisnik, IT odjel tada može ažurirati sustave slijedeći Microsoftove smjernice o isteku certifikata za sigurno pokretanje sustava Windows i ažuriranjima ustanove za izdavanje certifikata.
P3: Kako se ažuriraju certifikati za sigurno pokretanje?
Ako računalom upravlja Microsoft, certifikati za sigurno pokretanje ažuriraju se putem servisa Windows Update.
Ako računalom upravlja IT administrator tvrtke ili ustanove, IT odjel ima metode za ažuriranje sustava pomoću smjernica o isteku certifikata za sigurno pokretanje sustava Windows i ažuriranjima ustanove za izdavanje certifikata.
P4: Što se događa sa sustavima Windows 10 nakon proširenog sigurnosnog ažuriranja (ESU) od 14. listopada 2025.?
Podrška za Windows 10 završava 14. listopada 2025. Dodatne informacije potražite u članku Podrška za Windows 10 završava 14. listopada 2025.
Da bi nastavili primati sigurnosna ažuriranja nakon tog datuma, korisnici koji ostaju na sustavu Windows 10 mogu se prijaviti za sljedeće:
- Program Proširena sigurnosna Ažuriranja (ESU) za Windows 10, pročitajte odjeljak Program Proširena sigurnosna Ažuriranja (ESU) za Windows 10
- Ako pak imate podržanu verziju sustava Windows 10 putem LTSC-a, ona će nastaviti pribavljati sigurnosna ažuriranja sve do datuma isteka LTSC-a. Na primjer, pogledajte odjeljak Program Proširena sigurnosna ažuriranja (ESU) za Windows 10
Napomena
- Windows 10 Enterprise LTSC dostupan je za kupnju kao samostalni SKU ili kao dio pretplate Windows Enterprise E3.
- Windows IoT Enterprise LTSC može se kupiti izravno od OEM-a ili putem licence dobavljača kao samostalni SKU.
P5: Kako se koriste certifikati za sigurno pokretanje?
Certifikati sigurnog pokretanja omogućuju firmveru da provjeri jesu li kritične komponente, kao što su upravitelji pokretanja, opcijski ROM-ovi (upravljački programi firmvera) i drugi softver koji se temelji na opremi, pouzdane i da im nitko nije neovlašteno mijenjan. Microsoft te certifikate koristi za potpisivanje upravitelja pokretanja i drugih komponenti koje se smatraju pouzdanima, kao i ažuriranja sigurnog pokretanja. Kada stariji certifikati isteknu, oni se više ne mogu koristiti za potpisivanje novih komponenti ili ažuriranja.
P6: Kakav je utjecaj na uređaje s onemogućenim sigurnim pokretanjem?
Uređaji s onemogućenim sigurnim pokretanjem neće u programskoj opremi primiti nove certifikate za sigurno pokretanje. Zbog toga će ostati izloženi zlonamjernom softveru na razini pokretanja, kao što su bootkiti, jer se ne primjenjuje zaštita sigurnog pokretanja.
P7: Hoće li Microsoft ažurirati sve certifikate za sigurno pokretanje, uključujući one u KEK i DB?
Za uređaje koji ispunjavaju uvjete – kao što su oni koji primaju kumulativna ažuriranja putem implementacije utemeljene na pouzdanosti ili su registrirani za kontrolirano uvođenje značajki (CFR) s omogućenim dijagnostičkim podacima – Microsoft će pokušati ažurirati sve primjenjive certifikate. No ta se ažuriranja pružaju kao pomoć, a ne kao jamstvo. IT administratori ostaju odgovorni za ažuriranje cijele flote korištenjem Microsoftovog automatiziranog CFR-a i drugih dokumentiranih metoda implementacije.
P8: Kada su isporučeni ažurirani certifikati za sigurno pokretanje sustava 2023.?
Certifikati su uključeni u kumulativna ažuriranja (LCU) od 13. svibnja 2025. i novija. No ne primjenjuju se automatski, potrebni su dodatni koraci. Smjernice za implementaciju potražite u članku https://aka.ms/getsecureboot.
P9: Koja je razlika između ažuriranja opreme i ažuriranja za Windows pri primjeni certifikata za sigurno pokretanje?
Oni služe u različite svrhe.
Ažuriranja programske opreme mogu ažurirati zadane varijable sigurnog pokretanja pohranjene u firmveru. To je prvenstveno korisno ako se postavke sigurnog pokretanja poslije vrate na zadane vrijednosti jer zadane postavke programske opreme određuju koji će se certifikati vratiti u tom scenariju.
Windows primjenjuje promjene na aktivne varijable sigurnog pokretanja koje se primjenjuju tijekom uobičajenog pokretanja. Te su aktivne varijable ono što firmver koristi za provjeru valjanosti komponenti za pokretanje i na što se Windows oslanja za buduće zaštite sigurnog pokretanja.
U praksi, Windows je odgovoran za održavanje aktivne konfiguracije sigurnog pokretanja sustava. Ažuriranja opreme osiguravaju da se ažuriraju i zadane vrijednosti, čime se smanjuje rizik u slučaju ponovnog postavljanja ili ponovne inicijalizacije sigurnog pokretanja u budućnosti.
Administratori bi trebali osigurati ažuriranje aktivnih varijabli sigurnog pokretanja i pratiti status implementacije, bez obzira na to jesu li ažuriranja programske opreme dostupna.
Najčešća pitanja o sigurnom pokretanju sustava kojima upravljaju korisnici/IT odjeli
P1: Što se može učiniti da bi funkcija sigurnog pokretanja zadržala na starijim računalima kojima upravlja korisnik / IT odjel i koja možda ne primaju ažuriranja opreme od OEM-a?
Moguća su dva načina:
- Ako računalom upravlja Microsoft s dijagnostičkim podacima koji se dijele i ako je OS podržan, Microsoft će pokušati ažurirati.
- Ako uređajem upravlja korisnik ili njime upravlja IT administrator, IT odjel može primijeniti ažuriranja na provjerenom skupu računala koja mogu sigurno preuzimati ažuriranja prema Microsoftovim uputama o isteku certifikata za sigurno pokretanje sustava Windows i ažuriranjima ustanove za izdavanje certifikata.
Očekuje se da će ovi koraci biti prilagođeni većini korisnika bez potrebe za ažuriranjem opreme od OEM-ova. Međutim, postoje određeni slučajevi u kojima se ažuriranja neće primjenjivati zbog poznatih ili nepoznatih problema u opremi uređaja. U takvim slučajevima slijedite upute OEM-a o ažuriranjima opreme.
Napomena Gornji postupak primjenjuje aktivne varijable sigurnog pokretanja sustava putem operacijskog sustava. Zadane vrijednosti opreme za sigurno pokretanje održavaju se u programskoj opremi koju izdaje OEM. Smjernica je da ne mijenjate ni ne ažurirate konfiguraciju sigurnog pokretanja osim ako OEM nije izdao ažuriranje kojim se mijenjaju zadane postavke opreme na nove certifikate.
P2: Ako su na računalu istekli certifikati za sigurno pokretanje, hoće li biti moguće instalirati novu verziju sustava Windows?
Ako certifikati isteknu, zaštita sigurnog pokretanja je smanjena. Ako sustav ispunjava zahtjeve za noviji OS kao što je Windows 11, bit će moguće nadograditi na noviju verziju OS-a Windows 11.
P3: Što se događa prilikom nadogradnje računala sa sustavom Windows 10 LTSC bez omogućenog sigurnog pokretanja sustava na Windows 11 LTSC nakon datuma isteka certifikata?
Ako sigurno pokretanje nije omogućeno na uređajima sa sustavom Windows 10 LTSC, oni nisu obuhvaćeni trenutačnim implementiranjem novih certifikata za sigurno pokretanje. Kada započnete nadogradnju na Windows 11 LTSC, morat ćete slijediti specifične korake za migraciju relevantne u to vrijeme da biste bili sigurni da su novi certifikati za 2023. uključeni.
P4: Hoće li verzije sustava Windows koje više nisu obuhvaćene podrškom dobiti ažurirane certifikate?
Certifikate će dobiti samo podržane verzije operacijskog sustava Windows.
P5: Kako virtualizirana okruženja funkcioniraju s ažuriranjima certifikata za sigurno pokretanje?
Za Windows koji se izvodi u virtualnom okruženju postoje dva načina dodavanja novih certifikata u varijable opreme sigurnog pokretanja sustava:
- Kreator virtualnog okruženja (AWS, Azure, Hyper-V, VMware, itd.) može osigurati ažuriranje za okruženje i uključiti nove certifikate u virtualizirani firmware. To bi funkcioniralo za nove virtualizirane uređaje.
- Za Windows koji se dugoročno izvodi u VM-u, ažuriranja se mogu primijeniti putem sustava Windows kao bilo koji drugi uređaj, ako virtualizirana oprema podržava ažuriranja sigurnog pokretanja.
P6: Zašto Microsoft ne može implementirati u moju upravljanu skupinu za tvrtku/IT odjel pomoću kontroliranog uvođenja značajki (CFR) koji se koristi u Microsoftovim upravljanim sustavima?
Tim okruženjima kojima upravlja klijent/IT odjel često nedostaje dovoljno dijagnostičkih podataka da bi Microsoft mogao pouzdano i sigurno uvesti nove značajke. Osim toga, IT odjeli obično preferiraju potpunu kontrolu nad tempiranjem i sadržajem ažuriranja da bi se zajamčila usklađenost, stabilnost i kompatibilnost s internim alatima i tijekovima rada. Mnogi poslovni uređaji također rade u osjetljivim ili ograničenim okruženjima u kojima vanjski pristup ili upravljanje – implicirano CFR-om – mogu biti nepoželjeni ili zabranjeni.
P7: Uređaj se prestao pokretati nakon vraćanja firmvera na zadane postavke – što se dogodilo i kako to riješiti?
Ako Windows već koristi upravitelj pokretanja potpisan za 2023., ali je oprema ponovno postavljena na zadane vrijednosti koje ne uključuju certifikat Windows UEFI CA 2023, sigurno pokretanje blokirat će proces pokretanja.
Da biste to popravili, morate ponovno primijeniti certifikat za 2023. na bazu podataka firmvera pomoću aplikacije za oporavak. To se postiže stvaranjem USB-a za oporavak, zatim pokretanjem zahvaćenog uređaja s tog USB-a radi vraćanja certifikata koji nedostaje.
Detaljne upute potražite u Microsoftovim službenim uputama za ažuriranje instalacijskog medija sustava Windows.
P8: Ako su certifikati za sigurno pokretanje na mom uređaju već istekli, mogu li i dalje primati ažurirane certifikate?
Da. Kumulativna ažuriranja koja sadrže nove certifikate za sigurno pokretanje mogu se primijeniti čak i ako su postojeći certifikati istekli. Ako uređaj može pokrenuti Windows i instalirati ažuriranja, ažurirani certifikati mogu se zapisati u opremu slijedeći objavljene smjernice za implementaciju. Većina uređaja ta će ažuriranja primiti automatski, ali neki bi sustavi mogli zahtijevati dodatna ažuriranja programske opreme.