Najčastejšie otázky týkajúce sa procesu aktualizácie zabezpečeného spustenia

Najlepšie je aktualizovať certifikáty zabezpečeného spustenia ešte pred dátumom uplynutia platnosti v júni 2026. 

Ak vaše zariadenie spravuje spoločnosť Microsoft a zdieľa diagnostické údaje so spoločnosťou Microsoft, spoločnosť Microsoft sa vo väčšine prípadov pokúsi automaticky aktualizovať certifikáty zabezpečeného spustenia. Zatiaľ čo spoločnosť Microsoft sa pokúsi aktualizovať zabezpečené spustenie, v niektorých situáciách sa aktualizácia nebude zaručene uplatňovať a bude potrebovať akciu zákazníka. Zákazník je v konečnom dôsledku zodpovedný za aktualizáciu certifikátov zabezpečeného spustenia. 

Niektoré príklady situácií, v ktorých sa zariadenia spravované spoločnosťou Microsoft so zdieľanými diagnostickými údajmi neaktualizujú, sú nasledovné: 

• Aktualizácie zabezpečeného spustenia od spoločnosti Microsoft fungujú len v niektorých podporovaných verziách Windowsu.

• Diagnostické údaje povolené vo vašom zariadení môže blokovať brána firewall vo vašej organizácii a nemusia sa dostať k spoločnosti Microsoft.

• Možno sa vyskytol problém s firmvérom v zariadení.

Poznámka Čo znamená byť spravovaný spoločnosťou Microsoft? Systém zdieľa diagnostické údaje a spravuje ich cloud spoločnosti Microsoft alebo Intune. 

Ak vaše zariadenie nez zdieľa diagnostické údaje so spoločnosťou Microsoft a spravuje ich IT oddelenie vašej organizácie alebo zákazník, IT oddelenie môže aktualizovať systémy podľa pokynov spoločnosti Microsoft v prípade uplynutia platnosti certifikátu zabezpečeného spustenia systému Windows a aktualizácií certifikačnej autority.

Ak počítač spravuje spoločnosť Microsoft, certifikáty zabezpečeného spustenia sa aktualizujú prostredníctvom Windows Update.  

Ak počítač spravuje vaša organizácia alebo podnikový správca IT, IT oddelenie má metódy na aktualizáciu systému pomocou pokynov v oblasti uplynutia platnosti certifikátu zabezpečeného spustenia systému Windows a aktualizácií certifikačnej autority. 

Windows 10 Podpora sa končí 14. októbra 2025. Ďalšie informácie nájdete v téme Windows 10 podpora sa končí 14. októbra 2025. 

Ak chcete aj po tomto dátume naďalej dostávať Aktualizácie zabezpečenia, zákazníci, ktorí zostali na Windows 10, si môžu zaregistrovať: 

• Program Windows 10 Extended Security Aktualizácie (ESU) nájdete v téme Windows 10 programe Esu (Extended Security Aktualizácie)

• Ak máte podporovanú verziu Windows 10 LTSC, bude naďalej dostávať bezpečnostné Aktualizácie až do dátumu uplynutia platnosti LTSC. Informácie o Windows 10 nájdete napríklad v programe Rozšírené zabezpečenie Aktualizácie (ESU)

Poznámka

• Windows 10 Enterprise LTSC je k dispozícii na zakúpenie buď ako samostatná jednotka SKU, alebo ako súčasť predplatného na Windows Enterprise E3.

• Windows IoT Enterprise LTSC je možné zakúpiť priamo od výrobcu OEM alebo prostredníctvom licencie dodávateľa ako samostatnú skladovú jednotku SKU.

Zariadenie sa bude naďalej spúšťať a normálne fungovať. Už však nebude mať nárok na prijímanie opráv zabezpečenia súvisiacich s aktualizáciami správcu spúšťania systému Windows alebo so zabezpečením spustenia.

Certifikáty zabezpečeného spustenia umožňujú firmvéru overiť, či sú kritické súčasti, ako sú správcovia spúšťania, možnosti ROM (ovládače firmvéru) a iný softvér založený na firmvéri, dôveryhodné a neboli s nimi manipulované. Spoločnosť Microsoft používa tieto certifikáty na podpísanie správcov spúšťania a iných súčastí, ktoré by mali byť dôveryhodné, ako aj aktualizácie zabezpečeného spustenia. Po uplynutí platnosti starších certifikátov sa už nemôžu použiť na podpísanie nových súčastí alebo aktualizácií.

Zariadenia so zakázaným zabezpečeným spustením nedostanú nové certifikáty zabezpečeného spustenia do firmvéru. V dôsledku toho zostanú zraniteľné voči malvéru na úrovni spustenia, ako sú napríklad súpravy bootkit, pretože nie sú vynútené ochrany zabezpečeného spustenia. 

V prípade oprávnených zariadení, ako sú napríklad tie, ktoré dostávajú kumulatívne aktualizácie prostredníctvom nasadenia založeného na spoľahlivosti alebo zaregistrovaných v riadenom zavádzaní funkcií (CFR) s povolenými diagnostickými údajmi, sa spoločnosť Microsoft pokúsi aktualizovať všetky príslušné certifikáty. Tieto aktualizácie sa však poskytujú ako pomoc, nie ako záruka. IT správcovia sú naďalej zodpovední za zaistenie aktualizácie celej ich flotily pomocou automatizovaného CFR spoločnosti Microsoft a iných zdokumentovaných metód nasadenia.

Certifikáty boli zahrnuté do 13. mája 2025, kumulatívnych aktualizácií (LCU) a novších. Nevyžadujú sa však automaticky ďalšie kroky. Pokyny na nasadenie nájdete v téme https://aka.ms/getsecureboot.

Existujú dve možné cesty: 

• Ak počítač spravuje spoločnosť Microsoft so zdieľanými diagnostickými údajmi a operačný systém je podporovaný, spoločnosť Microsoft sa pokúsi o aktualizáciu.

• Ak je zariadenie spravované zákazníkom alebo spravované it správcom, IT oddelenie môže použiť aktualizácie na overenej množine počítačov, ktoré môžu bezpečne prijímať aktualizácie podľa pokynov spoločnosti Microsoft v prípade uplynutia platnosti certifikátu zabezpečeného spustenia systému Windows a aktualizácií certifikačnej autority.

Očakáva sa, že tieto kroky sa budú týkať väčšiny zákazníkov bez potreby aktualizácie firmvéru od OEM. V určitých prípadoch sa však aktualizácie nepoužijú z dôvodu známych alebo neznámych problémov firmvéru zariadenia. V takýchto prípadoch postupujte podľa pokynov OEM týkajúcich sa aktualizácií firmvéru. 

Poznámka Vyššie uvedený proces používa aktívne premenné zabezpečeného spustenia prostredníctvom operačného systému. Predvolené hodnoty firmvéru zabezpečeného spustenia sa uchovávajú v firmvéri, ktorý vydáva OEM. Pokyny sú nemenia ani neaktualizujú konfiguráciu zabezpečeného spustenia, pokiaľ OEM nevydá aktualizáciu na zmenu predvolených nastavení firmvéru na nové certifikáty.

 Ak platnosť certifikátov uplynie, ochrana zabezpečeného spustenia sa zhorší. Ak systém spĺňa požiadavky pre novší operačný systém, ako je napríklad Windows 11, bude možné inovovať na novšiu verziu operačného systému Windows 11.  

Ak vo vašich Windows 10 zariadeniach LTSC nie je zapnuté zabezpečené spustenie, nie sú zahrnuté v aktuálnom zavádzaní pre nové certifikáty zabezpečeného spustenia. Keď spustíte inováciu na Windows 11 LTSC, budete musieť postupovať podľa konkrétnych krokov migrácie, ktoré sú v danom čase relevantné, aby ste sa uistili, že nové certifikáty 2023 sú zahrnuté.

Certifikáty získajú iba podporované verzie operačného systému Windows. 

Vo Windowse spustenom vo virtuálnom prostredí existujú dva spôsoby pridania nových certifikátov do premenných firmvéru zabezpečeného spustenia: 

• Tvorca virtuálneho prostredia (AWS, Azure, Hyper-V, VMware atď.) môže poskytnúť aktualizáciu prostredia a zahrnúť nové certifikáty do virtualizovaného firmvéru. To by fungovalo pre nové virtualizované zariadenia.

• Ak virtualizovaný firmvér podporuje aktualizácie zabezpečeného spustenia, pre Windows, ktorý je dlhodobo spustený vo virtuálnom počítači, je možné aktualizácie použiť prostredníctvom Windowsu ako všetky ostatné zariadenia.

Tieto prostredia spravované zákazníkmi a IT službami často nemajú dostatočné diagnostické údaje pre spoločnosť Microsoft na sebavedomé a bezpečné uvedenie nových funkcií. Okrem toho IT oddelenia zvyčajne uprednostňujú úplnú kontrolu nad načasovaním aktualizácií a obsahom, aby sa zabezpečilo dodržiavanie súladu, stabilita a kompatibilita s internými nástrojmi a pracovnými postupmi. Mnohé podnikové zariadenia tiež pracujú v citlivých alebo obmedzených prostrediach, v ktorých môže byť externý prístup alebo správa, implicitná CFR, nežiaduca alebo zakázaná.

Ak Systém Windows už používa správcu spúšťania podpísaný verziou 2023, ale firmvér sa obnoví na predvolené hodnoty, ktoré neobsahujú certifikát Windows UEFI CA 2023, zabezpečené spustenie zablokuje proces spúšťania. 

Ak chcete tento problém vyriešiť, musíte znova použiť certifikát z roku 2023 v databáze firmvéru pomocou aplikácie na obnovenie. Vykoná sa to vytvorením usb na obnovenie a následným spustením príslušného zariadenia z tohto USB kľúča na obnovenie chýbajúceho certifikátu. 

Podrobné pokyny nájdete v oficiálnych pokynoch spoločnosti Microsoft na aktualizáciu inštalačného média systému Windows.