Vypršení platnosti certifikátu Windows Secure Boot a aktualizace certifikátů

Od doby, kdy Windows začal podporovat Secure Boot, většina zařízení s Windows používala sadu Microsoft certifikátů v databázi UEFI Secure Boot. Tyto starší certifikáty začnou postupně expirovat od roku 2026. Pro zachování bezpečnosti bootování a integrity řetězce důvěry je potřeba systémy aktualizovat na verzi Microsoft certifikátů z roku 2023.

Pokud má váš systém momentálně povolený Secure Boot, ujistěte se, že jsou tyto certifikáty aktualizovány před jejich expirací v polovině roku 2026.

 

Microsoft doporučuje dokončit aktualizaci Secure Boot certifikátů prostřednictvím Windows update

Pro většinu uživatelů budou potřebné aktualizace doručeny automaticky prostřednictvím Windows Updates bez nutnosti zásahu uživatele.

Zda byly aktualizace úspěšně přijaty, lze ověřit přes Windows Security App, jak je popsáno v stav aktualizace Secure Boot certifikátu ve Windows Security app.

Když je [Windows Update] povolený a systém má aktivovaný Secure Boot (viz jak povolit Secure Boot), podporovaná zařízení s Windows automaticky stáhnou a použijí nové Secure Boot certifikáty a nový Boot Manager ve správný čas.

Nová aktualizace databáze Secure Boot je zaváděna postupně na zařízení s povoleným Secure Boot od roku 2024 a zařízení bude automaticky aktualizováno před expirací certifikátu v červnu 2026.

[Povolit Windows Update pro získání nových certifikátů]

 

Otázky a odpovědi

Otázka 1: Jak mohu zkontrolovat stav UEFI Secure Boot?

Odpověď 1: Postupujte podle níže uvedených kroků:

  1. Do vyhledávacího pole Windows zadejte Windows Zabezpečení
  2. V levém menu vyberte [Zabezpečení zařízení]. Pod [Secure boot] uvidíte indikátor stavu. Ikona Secure boot je označena zelenou, žlutou nebo červenou značkou, které představují aktuální stav Secure boot ve vašem systému. 

 

Otázka 2: Co mám dělat, když je ikona Secure boot žlutá nebo červená?

Odpověď 2: Postupujte podle níže uvedených kroků:

  1. Spusťte Windows Update a ujistěte se, že sestavení OS je 26100.6725 nebo novější. 
    Historie aktualizací Windows 11, verze 25H2 - Podpora Microsoft
  2. Do vyhledávacího pole Windows zadejte Windows PowerShell
    Ve výsledcích vyhledávání klikněte pravým tlačítkem na Windows PowerShell a zvolte Spustit jako správce
  3. Zadejte následující příkaz: 
    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0X5944 /f 
  4. Poté zadejte následující příkaz: 
    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" 
  5. Restartujte počítač.
  6. Po restartu znovu otevřete Windows PowerShell jako správce.
  7. Zadejte znovu následující příkaz: 
    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" 
  8. Restartujte počítač ještě jednou.
  9. Ověřte, že ikona Secure Boot změnila barvu na zelenou, což znamená, že Secure Boot je nyní povolen a funguje správně.

 

Otázka 3: Co se stane, pokud mé zařízení nezíská nový certifikát Secure Boot před vypršením platnosti starého certifikátu?

Odpověď 3: Po vypršení platnosti certifikátu secure boot mohou zařízení, která dosud neobdržela nový certifikát z roku 2023, stále spustit a fungovat normálně a standardní aktualizace Windows budou i nadále instalovány. Tato zařízení však nebudou moci získat nové bezpečnostní ochrany během raného procesu spouštění, včetně aktualizace Windows boot administrátorů, databází secure boot, seznamů odvolání nebo zmírňujících opatření pro nově objevené zranitelnosti na úrovni spouštění.

Postupem času to omezuje ochranu zařízení proti novým hrozbám a může to ovlivnit scénáře spoléhající na důvěryhodnost secure boot, jako je posílení BitLocker nebo zavádění třetích stran boot loaderů. Většina zařízení s Windows obdrží aktualizované přihlašovací údaje automaticky a mnoho výrobců OEM také poskytne aktualizace firmwaru, pokud to bude potřeba. Udržování zařízení stále aktuální pomáhá zajistit, že zařízení bude i nadále přijímat kompletní bezpečnostní ochranu navrženou pro bezpečné spuštění.

 

Otázka 4: Jaké jsou důsledky vypnutí zařízení secure boot?

Odpověď 4: Zařízení, která vypnou secure boot, neobdrží nové secure boot certifikáty ve firmwaru. Proto zůstanou zranitelná vůči malwaru na úrovni bootování (například bootkitům), protože ochrana secure boot není vynucena.

 

Otázka 5: Po resetování firmwaru na výchozí nastavení zařízení přestalo bootovat – co se stalo? Jak to mám opravit?

Odpověď 5: Pokud Windows již využíval 2023 podepsaný boot manager, ale firmware byl resetován na výchozí hodnotu, která neobsahuje Windows UEFI CA 2023 certifikát, secure boot zablokuje proces bootování.

Odkaz na FAQ:

[Notebook] Řešení problémů – Chyba Secure Boot Violation při spuštění

 

Otázka 6: Pokud platnost Secure Boot certifikátu mého zařízení vypršela, mohu stále obdržet aktualizovaný certifikát?

Odpověď 6: Ano. I když stávající certifikáty vypršely, kumulativní aktualizace obsahující nové secure boot certifikáty mohou být stále použity. Pokud zařízení může spustit Windows a nainstalovat aktualizace, aktualizované certifikáty lze zapsat do firmwaru podle zveřejněných pokynů k nasazení. Většina zařízení tyto aktualizace obdrží automaticky, některé systémy však mohou vyžadovat další aktualizace firmwaru.

 

Otázka 7: Jak zkontrolovat stav UEFI Secure Boot Keys?

Odpověď 7: Postupujte podle následujících kroků:

  1. Zadejte PowerShell do vyhledávacího pole systému Windows.
    Ve výsledcích vyhledávání klikněte na ikonu Windows PowerShell a vyberte Spustit jako správce.
  2. Ověřte, že Key Exchange Key (KEK) obsahuje „Microsoft Corporation KEK 2K CA 2023“
    Zadejte [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
    Pokud se zobrazí True, znamená to, že obsahuje „Microsoft Corporation KEK 2K CA 2023“
  3. Ověřte, že Signature Databases (DB) obsahuje „Windows UEFI CA 2023“
    Zadejte [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
    Pokud se zobrazí True, znamená to, že obsahuje „Windows UEFI CA 2023“
  4. Ověřte, že Signature Databases (DB) obsahuje „Microsoft UEFI CA 2023“
    Zadejte [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
    Pokud se zobrazí True, znamená to, že obsahuje „Microsoft UEFI CA 2023“

 

Otázka 8: Co mám dělat, pokud najdu chybovou zprávu TPM WMI (ID události: 1801) v Prohlížeči událostí?

Odpověď 8: Důvod této chybové zprávy je, že zabezpečené bootovací údaje byly aktualizovány, ale ještě nebyly použity do firmwaru zařízení.

Nejprve spusťte Windows Update, abyste zajistili, že verze OS je 26100.6725 nebo novější, a poté pokračujte podle kroků uvedených v Otázce 2.

Historie aktualizací Windows 11, verze 25H2.

 

Otázka 9: Co mám dělat, pokud najdu chybovou zprávu TPM WMI (ID události: 1802) v Prohlížeči událostí?

Odpověď 9: Důvod této chybové zprávy je, že aktualizace bootu je úmyslně zablokována, protože zařízení odpovídá známým podmínkám firmwaru nebo hardwaru, což brání bezpečnému dokončení aktualizace.

Prosím, nahlaste problém prostřednictvím servisního střediska ASUS.

 

Otázka 10: Co mám dělat, pokud najdu chybovou zprávu TPM WMI (ID události: 1803) v Prohlížeči událostí?

Odpověď 10: Důvodem této chybové zprávy je, že zařízení nemůže najít Klíč pro výměnu klíčů (KEK) podepsaný PK.

Nahlašte prosím problém prostřednictvím servisního centra ASUS.

 

 

Reference:

Platnost certifikátu Windows Secure Boot a aktualizace CA - Podpora Microsoft  
Stav aktualizace certifikátu Secure Boot v aplikaci Zabezpečení Windows  
Často kladené dotazy k procesu aktualizace Secure Boot - Podpora Microsoft  
Události aktualizace proměnných Secure Boot DB a DBX - Podpora Microsoft  
Historie aktualizací Windows 11, verze 25H2 - Podpora Microsoft