Primjenjuje se na
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Izvorni datum objave: 26. lipnja 2025.

ID baze znanja: 5062710

Promijeni datum

Promijeni opis

3. veljače 2026.

  • Dodan je novi odjeljak "Utjecaj isteka certifikata za sigurno pokretanje".

  • Uklonjene bilješke označene kao "Važno" iznad i ispod odjeljka "Poziv na akciju".

10. studenog 2025.

Corrected two typos under "New Certificate":

  • od Microsoft Corporation KEK CA 2023" do "Microsoft Corporation KEK 2K CA 2023"

  • i iz "Microsoft Option ROM CA 2023" u "Microsoft Option ROM UEFI CA 2023"

Što je sigurno pokretanje?

Sigurno pokretanje sigurnosna je značajka u firmveru jedinstvenog sučelja za proširivu opremu (UEFI) koja osigurava da se tijekom pokretanja (pokretanja) uređaja pokreće samo pouzdani softver. Funkcionira potvrđivanjem digitalnog potpisa predizdanja softvera u odnosu na skup pouzdanih digitalnih certifikata (poznatih i kao ustanova za izdavanje certifikata ili CA) pohranjenih u programske opreme uređaja. Kao industrijski standard, UEFI Secure Boot definira način na koji oprema platforme upravlja certifikatima, provjerava autentičnost programske opreme i kako se operacijski sustav (OS) sučelja s tim postupkom. Dodatne informacije o UEFI-ju i sigurnom pokretanju potražite u članku Sigurno pokretanje.

Sigurno pokretanje prvi je put uvedeno Windows 8 zaštitu od nove prijetnje predizdanja zlonamjernog softvera (poznate i kao bootkit) u to vrijeme. Kao dio inicijalizacije platforme, Sigurno pokretanje provjerava autentičnost modula programske opreme prije izvršavanja. Ti moduli obuhvaćaju upravljačke programe opreme za UEFI (kao što su ROM-ovi mogućnosti), učitavači pokretanja i aplikacije. Kao posljednji korak procesa sigurnog pokretanja, firmver provjerava smatra li sigurno pokretanje pouzdanim učitavatelj pokretanja. Zatim oprema prosljeđuje kontrolu učitavatelju pokretanja, koji za redom provjerava, učitava u memoriju i pokreće operacijski sustav Windows.

Sigurno pokretanje definira pouzdani kod putem pravilnika programske opreme postavljenog tijekom proizvodnje. Promjenama ovog pravilnika, kao što je dodavanje ili opoziv certifikata, upravlja hijerarhija ključeva. Ta hijerarhija započinje ključem platforme (PK), koji je obično u vlasništvu proizvođača hardvera, a zatim ključem za pristupni ključ (KEK) (koji se naziva i ključem sustava Exchange), koji može obuhvaćati Microsoft KEK i druge OEM KEK-ove. Baza podataka dopuštenih potpisa (DB) i baza podataka za nedopuštene potpise (DBX) određuju koji se kod može pokrenuti u UEFI okruženju prije pokretanja OS-a. Baza podataka obuhvaća certifikate kojima upravlja Microsoft i OEM, dok Microsoft ažurira DBX najnovijim opomenom. Svaki entitet s KEK-om može ažurirati DB i DBX.

Utjecaj isteka certifikata sigurnog pokretanja

Microsoft ažurira certifikate za sigurno pokretanje koji su izvorno izdani 2011. kako bi se osiguralo da uređaji sa sustavom Windows i dalje provjeravaju pouzdani softver za pokretanje. Ti stariji certifikati počinju istječe u lipnju 2026. Uređaji koji nisu primili novije certifikate za 2023 nastavit će funkcionirati normalno i funkcionirat će normalno, a standardna ažuriranja sustava Windows nastavit će se instalirati. Međutim, ti uređaji više neće moći primati nove sigurnosne zaštite za proces ranog pokretanja, uključujući ažuriranja upravitelja pokretanja sustava Windows, baza podataka sigurnog pokretanja, popisa opoziva ili ublažavanja za novootkrivene slabe točke na razini pokretanja. 

Time se s vremenom ograničava zaštita uređaja od novih prijetnji i može utjecati na scenarije koji se oslanjaju na pouzdanost sigurnog pokretanja, kao što su BitLocker očvaranja ili bootloaderi drugih proizvođača. Većina uređaja sa sustavom Windows automatski će primiti ažurirane certifikate, a mnogi OEM-i po potrebi pružaju ažuriranja programske opreme. Održavanje uređaja ažutnim uz ta ažuriranja osigurava da može nastaviti primati cijeli skup sigurnosnih zaštita koje je sigurnosno pokretanje osmišljeno za pružanje.

Certifikati za sigurno pokretanje sustava Windows istječe 2026.

Budući da je Windows uveo podršku za sigurno pokretanje, svi uređaji sa sustavom Windows imaju isti skup Microsoftovih certifikata u KEK i DB. Ti se izvorni certifikati približavaju datumu isteka i to utječe na vaš uređaj ako ima neku od navedenih verzija certifikata. Da biste nastavili koristiti Windows i primali redovita ažuriranja za konfiguraciju sigurnog pokretanja, morat ćete ažurirati te certifikate.

Terminologija

  • KEK: Ključ pristupnice

  • CA: Ustanova za izdavanje potvrda

  • DB: Baza podataka potpisa sigurnog pokretanja

  • DbX: Baza podataka s opozvanim potpisom sigurnog pokretanja

Potvrda o istječe

Rok trajanja

Novi certifikat

Mjesto za pohranu

Svrhu

Microsoft Corporation KEK CA 2011

Lipnja 2026.

Microsoft Corporation KEK 2K CA 2023

Pohranjeno u KEK-u

Potpisuje ažuriranja za DB i DBX.

Microsoft Windows Production PCA 2011

Listopad 2026.

Windows UEFI CA 2023

Pohranjeno u DB-u

Koristi se za potpisivanje učitavača pokretanja sustava Windows.

Microsoft UEFI CA 2011*

Lipnja 2026.

Microsoft UEFI CA 2023

Pohranjeno u DB-u

Potpisuje učitavače za pokretanje drugih proizvođača i EFI aplikacije.

Microsoft UEFI CA 2011*

Lipnja 2026.

Microsoft Option ROM UEFI CA 2023

Pohranjeno u DB-u

Potpisuje MOGUĆNOST DRUGIH PROIZVOĐAČA ROM-ova

*Tijekom obnove certifikata microsoft Corporation UEFI CA 2011 dva certifikata razdvajaju potpisivanje učitavača pokretanja od potpisivanja MOGUĆNOSTI ROM-a. To omogućuje bolju kontrolu nad pouzdanim sustavom. Na primjer, sustavi kojima je potrebna mogućnost pouzdanosti ROM-ovi mogu dodati Microsoft Option ROM UEFI CA 2023 bez dodavanja pouzdanosti za učitavanja pokretanja drugih proizvođača.

Microsoft je izdao ažurirane certifikate radi osiguravanja kontinuiteta zaštite od sigurnog pokretanja na uređajima sa sustavom Windows. Microsoft će upravljati postupkom ažuriranja za te nove certifikate na značajnom dijelu uređaja sa sustavom Windows. Osim toga, nudit ćemo detaljne smjernice tvrtkama ili ustanovama koje upravljaju vlastitim ažuriranjima uređaja.

Poziv na akciju

Možda ćete morati poduzeti radnje da biste bili sigurni da će uređaj sa sustavom Windows ostati siguran kada certifikati istječu u 2026. I UEFI Secure Boot DB i KEK moraju se ažurirati odgovarajućim novim verzijama certifikata 2023. Dodatne informacije o novim certifikatima potražite u članku Smjernice za stvaranje i upravljanje ključem za sigurno pokretanje sustava Windows

Akcije će se razlikovati ovisno o vrsti uređaja sa sustavom Windows. Odaberite na izborniku s lijeve strane za vrstu uređaja i određenu akciju koju morate poduzeti.  

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost