Windows Secure Boot 2026: A Microsoft utolsó figyelmeztetést ad ki a lejáró tanúsítványokkal kapcsolatban

A Microsoft már megkezdte a helyettesítő Secure Boot tanúsítványlánc bevezetését, amelyre a Windowsnak szüksége lesz, amint az eredeti, 2011-es tanúsítványok 2026 júniusában lejárnak. A Notebookcheck nemrégiben foglalkozott a Microsoft figyelmeztetésével és a korai bevezetés jeleit, amelyek a legutóbbi kumulatív frissítésekben jelennek meg, de a következő fázis kevésbé a Windowsról, mint inkább a firmware felkészültségéről szól.

Ha a számítógép UEFI firmware-je nincs felkészülve az új 2023-as tanúsítványok elfogadására és megtartására, a Windows Update megkísérelheti az átadást, de az eszköz a Microsoft által lecsökkentett biztonsági állapotnak nevezett állapotban maradhat, ahol a jövőbeni bootolással kapcsolatos biztonsági frissítések nem alkalmazhatók tisztán.

Mi jár le valójában, és mikor?

A Microsoft régóta futó Secure Boot 2011-es megbízhatósági horgonyai 2026 június végén járnak le, és 2026-ban további lejáratok is lesznek. A Dell bontása az egyik legegyértelműbb nyilvános idővonal, amely az első 2011-es tanúsítvány lejárati dátumát 2026. június 24-re (Microsoft Corporation KEK CA 2011), majd 2026. június 27-re (Microsoft Corporation UEFI CA 2011) teszi), majd egy másik kulcstanúsítvány 2026. október 19-én jár le (Microsoft Windows Production PCA 2011).

Gyakorlatilag több gyártó ugyanazt a végkövetkeztetést visszhangozza: a rendszerek várhatóan továbbra is bootolnak, de azok az eszközök, amelyek nem térnek át a 2023-as tanúsítványláncra, elveszíthetik a jövőbeni bootloader- és Secure Boot-frissítések fogadásának képességét, innen ered a "csökkentett biztonság" megfogalmazás.

A Microsoft részéről: A Windows képes az új bizalmi láncot biztosítani, de csak akkor, ha a firmware együttműködik

A kulcsfontosságú technikai eszköz már megtalálható a támogatott Windows-építésekben. A Microsoft KB5036210-es jegyzete hogy a 2024. február 13-án és azt követően kiadott Windows-frissítések tartalmazzák a Windows UEFI CA 2023 tanúsítványának az UEFI Secure Boot Allowed Signature Database (db) alkalmazásához szükséges képességet, és hogy a db frissítése szükséges ahhoz, hogy a jövőbeni bootloader-frissítéseket a havi frissítéseken keresztül megkapjuk.

A Microsoft azt is mondja, hogy "a legtöbb személyes Windows-eszköz" automatikusan megkapja az új tanúsítványokat a Microsoft által kezelt frissítéseken keresztül, de kifejezetten figyelmeztet arra, hogy néhány eszközön OEM firmware-frissítésre lehet szükség az új tanúsítványok megfelelő alkalmazásához.

Itt jönnek képbe az OEM-ek: Aktív kulcsok vs. alapértelmezett kulcsok, és hogy a visszaállítások miért okozhatnak gondot

Ez az a pont, ahol a gyártó firmware-irányelvei jobban számítanak, mint azt a legtöbb otthoni felhasználó gondolná. A Dell Secure Boot Transition FAQ megkülönbözteti az Active Secure Boot adatbázist (amit a rendszer ténylegesen érvényesít a rendszer indításakor, és amit a Windows Update általában módosít) és az Default Secure Boot adatbázist (a gyári visszaállítással beállított, általában BIOS flasheléssel frissített adatbázist). A Dell arra is figyelmeztet, hogy bizonyos firmware-műveletek, például az "Expert Key Mode" bekapcsolása törölheti a Windows Update-től származó Active változókat, ha az alapértelmezett adatbázis nem lett megfelelően frissítve.

Ugyanez a Dell-dokumentum egy "kettős tanúsítvány-stratégiát" is leír, amely szerint a Dell 2024 végén kezdte meg a 2011-es és a 2023-as tanúsítványok szállítását az újonnan bevezetett platformokon, és ezt a megközelítést 2025 végére kiterjesztette a gyárakból szállított, fenntartható platformokra.

A Lenovo saját, kereskedelmi PC-kre vonatkozó útmutatója hasonlóan a javítást BIOS-frissítésként határozza meg, amely a 2023-as tanúsítványokat hozzáadja az alapértelmezett Secure Boot-változókhoz, és néha további lépések szükségesek a 2023-as változók aktiválásához azokon a rendszereken, amelyek nem rendelkeznek előre konfigurált rendszerekkel. A dokumentum a BitLocker helyreállítását is lehetséges mellékhatásként jelöli meg, ezért a firmware módosítása előtt továbbra is jó gyakorlat a helyreállítási kulcsok biztonsági mentése.

A HP tanácsadója szintén azt írja, hogy a Microsofttal együtt dolgoznak a Secure Boot-kompatibilis HP termékek előkészítésén az új tanúsítványokra, és figyelmeztet, hogy a tanúsítvány lejárta megakadályozhatja, hogy a rendszerek megkapják a Secure Boot és a Windows Boot Managerrel kapcsolatos biztonsági frissítéseket, ami növeli a bootkit típusú fenyegetéseknek való kitettséget.

A barkácsolás és a játék alaplapok problémája: néha magának kell "telepítenie az alapértelmezett kulcsokat"

Az ASUS egyike azon kevés fogyasztóbarát gyártóknak, amelyek közzétettek egy rendkívül eljárásszerű, lépésről-lépésre történő útmutatót az átálláshoz, többek között arról, hogyan kell megerősíteni, hogy az új 2023-as bejegyzések jelen vannak-e a firmware-ben, és mit kell tenni, ha nem.

A támogatási GYIK-banaz ASUS leírja az UEFI Secure Boot kulcskezelésben való navigálást és annak ellenőrzését, hogy a KEK tartalmazza-e a "Microsoft Corporation KEK 2K CA 2023", és hogy a db tartalmazza-e a "Windows UEFI CA 2023" (más 2023-as Microsoft-bejegyzésekkel együtt). A BIOS frissítése után olyan javítási lépéseket is dokumentál, mint az "Alapértelmezett Secure Boot kulcsok telepítése" vagy a "Gyári kulcsok visszaállítása", ami gyakorlatilag újra feltölti a kulcsadatbázisokat a firmware alapértelmezett tárolójából.

Ez az a rés, amely a barkácsrendszereket a legsúlyosabban érinti: a Windows képes frissítéseket szállítani, de az alaplapi firmware még mindig manuális beavatkozást igényelhet, mielőtt az új kulcsok teljes mértékben jelen lennének és aktívak lennének.

A készenlét ellenőrzése a Microsoft hivatalos jeleinek segítségével

Az IT-kezelt flották számára a Microsoft Secure Boot játékkönyve konkrét mutatókat vázol fel, amelyeket ellenőrizhet.

A Microsoft szerint a sikeres telepítést a Windows rendszer eseménynaplójának 1808-as eseményazonosítójú bejegyzései ellenőrzésével lehet megerősíteni, a frissített tanúsítványok alkalmazásának sikertelenségei pedig a 1801-es eseményazonosítóhoz kapcsolódnak. Ugyanez a játékfüzet hivatkozik a UEFICA2023Status beállításjegyzékkulcsra, amelynek végül "Updated" (Frissítve) kell állnia, és megjegyzi, hogy az UEFICA2023Error kulcsnak nem szabad léteznie, hacsak nem áll fenn hiba.

A playbook kifejezetten ajánlja az OEM firmware frissítések alkalmazását a Secure Boothoz kapcsolódó Windows frissítések előtt, ha a szervezet problémákat azonosított, vagy az OEM BIOS frissítést javasol, ami megerősíti az általános témát: a Windows oldal csak a történet egyik fele.

A Windows 10 "zombi" szélsőséges esete még mindig valós

Végül a tanúsítványfrissítés egy újabb nyomásgyakorlási pont a Windows 10 kitartók számára. A Microsoft saját támogatási dokumentációja szerint a Windows 10 támogatása 2025. október 14-én véget ért, és a Microsoft a Windows 10 kiterjesztett biztonsági frissítéseit (Extended Security Updates, ESU) úgy pozícionálja, mint a biztonsági frissítések e dátum után történő további beszerzésének fizetős útját.

A Microsoft Secure Boot útmutatója is megismétli, hogy a nem támogatott Windows-verziókon lévő eszközök nem kapnak Windows-frissítéseket, ezért a Secure Boot átadása gyakorlatilag a támogatott szervizútvonalon (vagy adott esetben a Windows 10 esetében az ESU-n) való maradáshoz van kötve.