Uwaga
- Data pierwotnej publikacji: 26 czerwca 2025 r
- Identyfikator KB: 5062710
Dziennik zmian
| Zmień datę | Opis zmiany |
|---|---|
| 18 maja 2026 r |
|
| 5 maja 2026 r |
|
| 3 luty 2026 r |
|
| 10 listopada 2025 r. | Poprawiono dwie literówki w sekcji "Nowy certyfikat":
|
Co to jest bezpieczny rozruch?
Bezpieczny rozruch to funkcja zabezpieczeń w oprogramowaniu układowym opartym na interfejsie UEFI (Unified Extensible Firmware Interface), która pomaga zapewnić, że tylko zaufane oprogramowanie będzie działało podczas sekwencji rozruchu (uruchamiania) urządzenia. Jego działanie polega na sprawdzaniu podpisu cyfrowego oprogramowania przed rozruchem względem zestawu zaufanych certyfikatów cyfrowych (nazywanych również urzędem certyfikacji) przechowywanych w oprogramowaniu układowym urządzenia. Jako standard branżowy, UEFI Secure Boot określa, w jaki sposób oprogramowanie układowe platformy zarządza certyfikatami, uwierzytelnia oprogramowanie układowe i jak system operacyjny (OS) łączy się z tym procesem. Aby uzyskać więcej informacji na temat interfejsu UEFI i bezpiecznego rozruchu, zobacz Bezpieczny rozruch.
Funkcja bezpiecznego rozruchu została po raz pierwszy wprowadzona w systemie Windows 8 w celu ochrony przed pojawiającym się wówczas złośliwym oprogramowaniem (znanym również jako bootkit). W ramach inicjalizacji platformy bezpieczny rozruch uwierzytelnia moduły oprogramowania układowego przed wykonaniem. Moduły te obejmują sterowniki oprogramowania układowego UEFI (takie jak opcjonalne ROM-y), programy ładujące rozruchu i aplikacje. Jako ostatni krok procesu bezpiecznego rozruchu oprogramowanie układowe sprawdza, czy bezpieczny rozruch ufa programowi ładującemu rozruchu. Następnie oprogramowanie układowe przekazuje kontrolę do programu ładującego rozruchowego, który z kolei weryfikuje, ładuje do pamięci i uruchamia system operacyjny Windows.
Bezpieczny rozruch definiuje zaufany kod za pośrednictwem zasad oprogramowania układowego ustawionych podczas produkcji. Zmiany tych zasad, takie jak dodawanie lub odwoływanie certyfikatów, są kontrolowane przez hierarchię kluczy. Ta hierarchia zaczyna się od klucza platformy (PK), zwykle należącego do producenta sprzętu, po którym następuje klucz rejestracji klucza (KEK) (znany również jako klucz wymiany kluczy), który może zawierać klucz KEK firmy Microsoft i inne klucze KEK producenta OEM. Baza danych dozwolonych podpisów (DB) i baza danych niedozwolonych podpisów (DBX) określają, który kod może być uruchamiany w środowisku UEFI przed uruchomieniem systemu operacyjnego. Baza danych zawiera certyfikaty zarządzane przez firmę Microsoft i producenta OEM, natomiast baza danych DBX jest aktualizowana przez firmę Microsoft przy użyciu najnowszych odwołań. Dowolna jednostka z kluczem KEK może zaktualizować bazę danych i DBX.
Wpływ wygaśnięcia certyfikatu bezpiecznego rozruchu
Firma Microsoft aktualizuje certyfikaty bezpiecznego rozruchu pierwotnie wydane w 2011 roku, aby zapewnić, że urządzenia z systemem Windows nadal weryfikują zaufane oprogramowanie rozruchowe. Te starsze certyfikaty zaczynają wygasać w czerwcu 2026 r. Urządzenia, które nie otrzymały nowszych certyfikatów z 2023 r., będą nadal uruchamiać się i działać normalnie, a standardowe aktualizacje systemu Windows będą nadal instalowane. Jednak te urządzenia nie będą już mogły otrzymywać nowych zabezpieczeń dla procesu wczesnego rozruchu, w tym aktualizacji Menedżera rozruchu systemu Windows, baz danych bezpiecznego rozruchu, list odwołania lub środków zaradczych dla nowo wykrytych luk w zabezpieczeniach na poziomie rozruchu.
Z czasem ogranicza to ochronę urządzenia przed pojawiającymi się zagrożeniami i może mieć wpływ na scenariusze polegające na zaufaniu bezpiecznego rozruchu, takie jak wzmacnianie funkcjonalności funkcji BitLocker lub programy ładujące innych firm. Większość urządzeń z systemem Windows automatycznie otrzyma zaktualizowane certyfikaty, a wielu producentów OEM zapewnia aktualizacje oprogramowania układowego w razie potrzeby. Aktualizowanie urządzenia za pomocą tych aktualizacji pomaga zapewnić, że może ono nadal otrzymywać pełny zestaw zabezpieczeń, do których służy bezpieczny rozruch.
Certyfikaty bezpiecznego rozruchu systemu Windows wygasają w 2026 r.
Odkąd w systemie Windows wprowadzono obsługę bezpiecznego rozruchu, wszystkie urządzenia z systemem Windows mają ten sam zestaw certyfikatów Microsoft w KEK i DB. Zbliża się data wygaśnięcia tych oryginalnych certyfikatów, a problem dotyczy Twojego urządzenia, jeśli ma dowolną z wymienionych wersji certyfikatu. Aby nadal korzystać z systemu Windows i otrzymywać regularne aktualizacje konfiguracji bezpiecznego rozruchu, należy zaktualizować te certyfikaty.
Terminologia
- KEK: Klucz rejestracji klucza
- CA: Urząd certyfikacji
- DB: Baza danych sygnatur bezpiecznego rozruchu
- DBX: Baza danych odwołanych podpisów bezpiecznego rozruchu
| Wygasający certyfikat | Data wygaśnięcia | Nowy certyfikat | Lokalizacja przechowywania | Zastosowanie |
|---|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | 24 czerwca 2026 r | Microsoft Corporation KEK 2K CA 2023 | Przechowywany w KEK | Podpisuje aktualizacje plików DB i DBX. |
| Microsoft Windows Production PCA 2011 | 19 października 2026 r. | Windows UEFI CA 2023 | Przechowywane w bazie danych | Służy do podpisywania modułu ładującego rozruchu systemu Windows. |
| Microsoft UEFI CA 2011*** | 27 czerwca 2026 r | Microsoft UEFI CA 2023 | Przechowywane w bazie danych | Podpisuje programy ładujące rozruchu innych firm i aplikacje EFI. |
| Microsoft UEFI CA 2011*** | 27 czerwca 2026 r | Microsoft Option ROM UEFI CA 2023 | Przechowywane w bazie danych | Podpisuje opcjonalne pamięci ROM innych firm |
Uwaga
*Podczas odnawiania certyfikatu Microsoft Corporation UEFI CA 2011 dwa certyfikaty oddzielają podpisywanie modułu ładującego rozruchu od podpisywania opcji ROM. Pozwala to na dokładniejszą kontrolę nad zaufaniem systemu. Na przykład systemy, które muszą ufać opcjonalnym ROM-om, mogą dodać opcję Microsoft ROM UEFI CA 2023 bez dodawania zaufania do programów ładujących innych firm.
Firma Microsoft wydała zaktualizowane certyfikaty, aby zapewnić ciągłość ochrony bezpiecznego rozruchu na urządzeniach z systemem Windows. Firma Microsoft będzie zarządzać procesem aktualizacji tych nowych certyfikatów na znacznej części urządzeń z systemem Windows. Ponadto będziemy oferować szczegółowe wskazówki dla organizacji, które samodzielnie zarządzają aktualizacjami urządzeń.
Wezwanie do działania
Może być konieczne podjęcie działań w celu zapewnienia, że urządzenie z systemem Windows pozostanie bezpieczne, gdy certyfikaty wygasną w 2026 roku. Zarówno baza danych bezpiecznego rozruchu UEFI, jak i KEK muszą zostać zaktualizowane do odpowiednich nowych wersji certyfikatów z 2023 r. Aby uzyskać więcej informacji na temat nowych certyfikatów, zobacz Wskazówki dotyczące tworzenia i zarządzania kluczem bezpiecznego rozruchu systemu Windows.
Twoje działania będą się różnić w zależności od typu posiadanego urządzenia z systemem Windows. Wybierz z menu po lewej stronie typ urządzenia i konkretne działanie, które należy wykonać.
Zasoby pomocy technicznej firmy Microsoft
Aby skontaktować się z pomoc techniczna firmy Microsoft, zobacz:
Pomoc techniczna firmy Microsoft, a następnie kliknij pozycję Windows.
Pomoc techniczna dla firm , a następnie kliknij pozycję Utwórz , aby utworzyć nowy wniosek o pomoc techniczną.
Po utworzeniu nowego wniosku o pomoc techniczną powinien on wyglądać następująco: