Najčastejšie otázky týkajúce sa procesu aktualizácie zabezpečeného spustenia

Po uplynutí platnosti certifikátov zabezpečeného spustenia sa zariadenia, ktoré nedostali novšie certifikáty verzie 2023, budú naďalej spúšťať a fungovať normálne a štandardné aktualizácie Windowsu sa budú naďalej inštalovať. Tieto zariadenia však už nebudú môcť prijímať nové ochrany zabezpečenia pre proces skorého spustenia vrátane aktualizácií správcu spúšťania systému Windows, databáz zabezpečeného spustenia, zoznamov zrušenia alebo zmiernení pre novoobjavené chyby na úrovni spustenia. 

V priebehu času to obmedzuje ochranu zariadenia pred novými hrozbami a môže ovplyvniť scenáre, ktoré závisia od dôveryhodnosti zabezpečeného spustenia, ako je napríklad stvrdnutie šifrovania BitLocker alebo zavádzacie servery tretích strán. Väčšina zariadení s Windowsom dostane aktualizované certifikáty automaticky a mnohé OEM poskytli aktualizácie firmvéru v prípade potreby. Udržiavanie zariadenia v aktuálnom prúde s týmito aktualizáciami pomáha zabezpečiť, aby mohlo naďalej dostávať celú množinu zabezpečenia, ktoré je zabezpečené spustenie navrhnuté tak, aby poskytovalo.

Najlepšie je aktualizovať certifikáty zabezpečeného spustenia ešte pred dátumom uplynutia platnosti v júni 2026. 

Ak vaše zariadenie spravuje spoločnosť Microsoft a zdieľa diagnostické údaje so spoločnosťou Microsoft, spoločnosť Microsoft sa vo väčšine prípadov pokúsi automaticky aktualizovať certifikáty zabezpečeného spustenia. Hoci spoločnosť Microsoft urobí všetko pre to, aby aktualizovala zabezpečené spustenie, v niektorých situáciách nebude zaručená aplikácia aktualizácie a bude potrebovať akciu zákazníka. Zákazník je v konečnom dôsledku zodpovedný za aktualizáciu certifikátov zabezpečeného spustenia. 

Príklady situácií, v ktorých zariadenia spravované spoločnosťou Microsoft so zapnutými diagnostickými údajmi nemusia dostávať aktualizácie:

• Aktualizácie zabezpečeného spustenia od spoločnosti Microsoft sa vzťahujú len na niektoré podporované verzie Windowsu.

• Diagnostické údaje povolené vo vašom zariadení môže blokovať brána firewall vo vašej organizácii a nemusia sa dostať k spoločnosti Microsoft.

• Možno sa vyskytol problém s firmvérom v zariadení.

Poznámka Čo znamená byť spravovaný spoločnosťou Microsoft? Systém zdieľa diagnostické údaje a spravuje ich cloud spoločnosti Microsoft alebo Intune. 

Ak vaše zariadenie nez zdieľa diagnostické údaje so spoločnosťou Microsoft a spravuje ich IT oddelenie vašej organizácie alebo zákazník, IT oddelenie môže aktualizovať systémy podľa pokynov spoločnosti Microsoft v prípade uplynutia platnosti certifikátu zabezpečeného spustenia systému Windows a aktualizácií certifikačnej autority.

Ak počítač spravuje spoločnosť Microsoft, certifikáty zabezpečeného spustenia sa aktualizujú prostredníctvom Windows Update.  

Ak počítač spravuje vaša organizácia alebo podnikový správca IT, IT oddelenie má metódy na aktualizáciu systému pomocou pokynov v oblasti uplynutia platnosti certifikátu zabezpečeného spustenia systému Windows a aktualizácií certifikačnej autority. 

Windows 10 Podpora sa končí 14. októbra 2025. Ďalšie informácie nájdete v téme Windows 10 podpora sa končí 14. októbra 2025. 

Ak chcete aj po tomto dátume naďalej dostávať Aktualizácie zabezpečenia, zákazníci, ktorí zostali na Windows 10, si môžu zaregistrovať: 

• Program Windows 10 Extended Security Aktualizácie (ESU) nájdete v téme Windows 10 programe Esu (Extended Security Aktualizácie)

• Ak máte podporovanú verziu Windows 10 LTSC, bude naďalej dostávať bezpečnostné Aktualizácie až do dátumu uplynutia platnosti LTSC. Informácie o Windows 10 nájdete napríklad v programe Rozšírené zabezpečenie Aktualizácie (ESU)

Poznámka

• Windows 10 Enterprise LTSC je k dispozícii na zakúpenie buď ako samostatná jednotka SKU, alebo ako súčasť predplatného na Windows Enterprise E3.

• Windows IoT Enterprise LTSC je možné zakúpiť priamo od výrobcu OEM alebo prostredníctvom licencie dodávateľa ako samostatnú skladovú jednotku SKU.

Certifikáty zabezpečeného spustenia umožňujú firmvéru overiť, či sú kritické súčasti, ako sú správcovia spúšťania, možnosti ROM (ovládače firmvéru) a iný softvér založený na firmvéri, dôveryhodné a neboli s nimi manipulované. Spoločnosť Microsoft používa tieto certifikáty na podpísanie správcov spúšťania a iných súčastí, ktoré by mali byť dôveryhodné, ako aj aktualizácie zabezpečeného spustenia. Po uplynutí platnosti starších certifikátov sa už nemôžu použiť na podpísanie nových súčastí alebo aktualizácií.

Zariadenia so zakázaným zabezpečeným spustením nedostanú nové certifikáty zabezpečeného spustenia do firmvéru. V dôsledku toho zostanú zraniteľné voči malvéru na úrovni spustenia, ako sú napríklad súpravy bootkit, pretože nie sú vynútené ochrany zabezpečeného spustenia. 

V prípade oprávnených zariadení, ako sú napríklad tie, ktoré dostávajú kumulatívne aktualizácie prostredníctvom nasadenia založeného na spoľahlivosti alebo zaregistrovaných v riadenom zavádzaní funkcií (CFR) s povolenými diagnostickými údajmi, sa spoločnosť Microsoft pokúsi aktualizovať všetky príslušné certifikáty. Tieto aktualizácie sa však poskytujú ako pomoc, nie ako záruka. IT správcovia sú naďalej zodpovední za zaistenie aktualizácie celej ich flotily pomocou automatizovaného CFR spoločnosti Microsoft a iných zdokumentovaných metód nasadenia.

Certifikáty boli zahrnuté do 13. mája 2025, kumulatívnych aktualizácií (LCU) a novších. Nevyžadujú sa však automaticky ďalšie kroky. Pokyny na nasadenie nájdete v téme https://aka.ms/getsecureboot.

Slúžia na rôzne účely.

Aktualizácie firmvéru môžu aktualizovať predvolené premenné zabezpečeného spustenia uložené vo firmvéri. Je to užitočné najmä vtedy, ak sa nastavenia zabezpečeného spustenia neskôr obnovia na predvolené hodnoty, pretože predvolené nastavenia firmvéru určujú, ktoré certifikáty sa v tomto scenári obnovia.

Windows použije zmeny na aktívne premenné zabezpečeného spustenia, ktoré sa vynucujú počas normálneho spustenia. Tieto aktívne premenné sú to, čo firmvér používa na overenie súčastí spúšťania, a na čo sa Windows spolieha, aby poskytoval budúce ochrany zabezpečeného spustenia.

V praxi je systém Windows zodpovedný za udržiavanie aktívnej konfigurácie zabezpečeného spustenia v aktuálnom nastavení. Aktualizácie firmvéru pomáhajú zabezpečiť, aby sa aktualizovali aj predvolené hodnoty, čím sa znižuje riziko, ak sa v budúcnosti obnoví alebo znova inicializuje zabezpečené spustenie.

Správcovia by mali zabezpečiť aktualizáciu aktívnych premenných zabezpečeného spustenia a monitorovať stav nasadenia bez ohľadu na to, či sú k dispozícii aktualizácie firmvéru.

Existujú dve možné cesty: 

• Ak počítač spravuje spoločnosť Microsoft so zdieľanými diagnostickými údajmi a operačný systém je podporovaný, spoločnosť Microsoft sa pokúsi o aktualizáciu.

• Ak je zariadenie spravované zákazníkom alebo spravované it správcom, IT oddelenie môže použiť aktualizácie na overenej množine počítačov, ktoré môžu bezpečne prijímať aktualizácie podľa pokynov spoločnosti Microsoft v prípade uplynutia platnosti certifikátu zabezpečeného spustenia systému Windows a aktualizácií certifikačnej autority.

Očakáva sa, že tieto kroky sa budú týkať väčšiny zákazníkov bez potreby aktualizácie firmvéru od OEM. V určitých prípadoch sa však aktualizácie nepoužijú z dôvodu známych alebo neznámych problémov firmvéru zariadenia. V takýchto prípadoch postupujte podľa pokynov OEM týkajúcich sa aktualizácií firmvéru. 

Poznámka Vyššie uvedený proces používa aktívne premenné zabezpečeného spustenia prostredníctvom operačného systému. Predvolené hodnoty firmvéru zabezpečeného spustenia sa uchovávajú v firmvéri, ktorý vydáva OEM. Pokyny sú nemenia ani neaktualizujú konfiguráciu zabezpečeného spustenia, pokiaľ OEM nevydá aktualizáciu na zmenu predvolených nastavení firmvéru na nové certifikáty.

 Ak platnosť certifikátov uplynie, ochrana zabezpečeného spustenia sa zhorší. Ak systém spĺňa požiadavky pre novší operačný systém, ako je napríklad Windows 11, bude možné inovovať na novšiu verziu operačného systému Windows 11.  

Ak vo vašich Windows 10 zariadeniach LTSC nie je zapnuté zabezpečené spustenie, nie sú zahrnuté v aktuálnom zavádzaní pre nové certifikáty zabezpečeného spustenia. Keď spustíte inováciu na Windows 11 LTSC, budete musieť postupovať podľa konkrétnych krokov migrácie, ktoré sú v danom čase relevantné, aby ste sa uistili, že nové certifikáty 2023 sú zahrnuté.

Certifikáty získajú iba podporované verzie operačného systému Windows. 

Vo Windowse spustenom vo virtuálnom prostredí existujú dva spôsoby pridania nových certifikátov do premenných firmvéru zabezpečeného spustenia: 

• Tvorca virtuálneho prostredia (AWS, Azure, Hyper-V, VMware atď.) môže poskytnúť aktualizáciu prostredia a zahrnúť nové certifikáty do virtualizovaného firmvéru. To by fungovalo pre nové virtualizované zariadenia.

• Ak virtualizovaný firmvér podporuje aktualizácie zabezpečeného spustenia, pre Windows, ktorý je dlhodobo spustený vo virtuálnom počítači, je možné aktualizácie použiť prostredníctvom Windowsu ako všetky ostatné zariadenia.

Tieto prostredia spravované zákazníkmi a IT službami často nemajú dostatočné diagnostické údaje pre spoločnosť Microsoft na sebavedomé a bezpečné uvedenie nových funkcií. Okrem toho IT oddelenia zvyčajne uprednostňujú úplnú kontrolu nad načasovaním aktualizácií a obsahom, aby sa zabezpečilo dodržiavanie súladu, stabilita a kompatibilita s internými nástrojmi a pracovnými postupmi. Mnohé podnikové zariadenia tiež pracujú v citlivých alebo obmedzených prostrediach, v ktorých môže byť externý prístup alebo správa, implicitná CFR, nežiaduca alebo zakázaná.

Ak Systém Windows už používa správcu spúšťania podpísaný verziou 2023, ale firmvér sa obnoví na predvolené hodnoty, ktoré neobsahujú certifikát Windows UEFI CA 2023, zabezpečené spustenie zablokuje proces spúšťania. 

Ak chcete tento problém vyriešiť, musíte znova použiť certifikát z roku 2023 v databáze firmvéru pomocou aplikácie na obnovenie. Vykoná sa to vytvorením usb na obnovenie a následným spustením príslušného zariadenia z tohto USB kľúča na obnovenie chýbajúceho certifikátu. 

Podrobné pokyny nájdete v oficiálnych pokynoch spoločnosti Microsoft na aktualizáciu inštalačného média systému Windows. 

​​​​​​​Áno. Kumulatívne aktualizácie, ktoré obsahujú nové certifikáty zabezpečeného spustenia, sa môžu použiť aj po uplynutí platnosti existujúcich certifikátov. Ak zariadenie môže spúšťať Windows a inštalovať aktualizácie, aktualizované certifikáty je možné zapísať do firmvéru podľa publikovaných pokynov na nasadenie. Väčšina zariadení dostane tieto aktualizácie automaticky, ale niektoré systémy môžu vyžadovať ďalšie aktualizácie firmvéru.