Secure Boot - koniec starych certyfikatów w 2026. Co muszą zrobić firmy?
Secure Boot to mechanizm bezpieczeństwa obecny w komputerach z UEFI od czasów Windows 8.
Jego głównym zadaniem jest ochrona systemu jeszcze przed uruchomieniem Windowsa – czyli sprawdza, czy startujący kod (bootloader, sterowniki, firmware) jest podpisany zaufanym certyfikatem. Dzięki temu, system nie dopuści do uruchomienia nieautoryzowanego oprogramowania (np. bootkitów czy rootkitów), co przeciwdziała atakom hakerskim.
Mówiąc prościej: to pierwsza linia obrony systemu. Mechanizm, który zapewnia bezpieczeństwo na bardzo podstawowym poziomie.
Problem – wygasające certyfikaty
Od ponad dekady Windows korzystał z tego samego zestawu certyfikatów Microsoftu (m.in. KEK CA 2011, Windows Production PCA 2011, UEFI CA 2011).
I tu pojawia się wyzwanie – te certyfikaty wygasają w 2026 roku:
Czerwiec 2026 → wygaśnie Microsoft KEK CA 2011 i UEFI CA 2011
- Październik 2026 → wygaśnie Windows Production PCA 2011
Od tego momentu urządzenia, które nie mają nowych certyfikatów (z 2023 roku), nie będą mogły poprawnie uruchamiać Windowsa ani otrzymywać poprawek bezpieczeństwa dla bootloadera, co jest sporym problemem, szczególnie dla administratorów, którzy nie będą pamiętać o problemie.
Jakie są konsekwencje dla organizacji?
Dla użytkowników domowych – stosunkowo niewielkie. Microsoft dostarczy nowe certyfikaty w aktualizacjach Windows Update i temat „załatwi się sam”, więc wielu użytkowników nie zobaczy nawet podmiany.
Dla firm i instytucji – to dużo poważniejsze:
w środowiskach Enterprise, gdzie aktualizacje są blokowane lub zarządzane centralnie, certyfikaty nie odnowią się automatycznie
brak nowych certyfikatów = brak poprawek bezpieczeństwa = ryzyko ataku na etap uruchamiania systemu
część urządzeń może w ogóle nie uruchomić systemu po wygaśnięciu starych certyfikatów
systemy krytyczne (np. w produkcji, medycynie, administracji) mogą zostać zatrzymane z powodu prostego braku aktualizacji
Jak się przygotować?
1. Sprawdź, czy Secure Boot jest włączony
Wciśnij Win+R → wpisz msinfo32 → Enter.
W polu Stan bezpiecznego rozruchu sprawdź, czy jest Włączony.
2. Zweryfikuj aktualizacje certyfikatów
Upewnij się, że system otrzymuje aktualizacje przez Windows Update (jeśli to środowisko domowe lub SMB).
W środowiskach Enterprise – sprawdź polityki aktualizacji i czy nowe certyfikaty są wdrażane ręcznie. W takim przypadku, konieczne będzie wykonanie kilku komend.
3. Przygotuj plan dla środowisk zarządzanych
Firmy, które wyłączyły telemetrykę i aktualizacje automatyczne, muszą samodzielnie wdrożyć certyfikaty z 2023 roku w bazach KEK i DB.
Microsoft zapowiada udostępnienie narzędzi i dokumentacji, ale już dziś warto zaplanować proces aktualizacji.
4. Testuj na wybranych urządzeniach
Wdrażając nowe certyfikaty, warto zacząć od środowiska testowego. Microsoft ostrzega, że w niektórych przypadkach mogą wystąpić problemy (np. BitLocker recovery).
Dlaczego to krytyczne dla biznesu?
Brak aktualizacji Secure Boot = brak ochrony już na etapie startu systemu.
Czyli, w praktyce może oznaczać to, że:
systemy mogą przestać się uruchamiać
krytyczne aplikacje (ERP, systemy medyczne, prawnicze, produkcyjne) mogą mieć przestoje
firma naraża się na poważne incydenty bezpieczeństwa
To jedna z największych zmian w obszarze bezpieczeństwa Windows od czasów Windows 8.
Jak naprawić problem z certyfikatem Secure Boot (Windows UEFI CA 2023)
Aby sprawdzić, czy system ma poprawnie zainstalowany certyfikat Windows UEFI CA 2023, można w PowerShell uruchomić komendę:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Jeśli wynik to True – certyfikat jest obecny i wszystko działa poprawnie.
Jeśli wynik to False – należy wymusić ponowne zastosowanie aktualizacji Secure Boot.
W tym celu uruchamiamy w PowerShell (z uprawnieniami administratora):
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x40
Start-ScheduledTask -TaskName \Microsoft\Windows\PI\Secure-Boot-Update"
Po wykonaniu tych kroków system powinien pobrać i zastosować poprawkę.
⚠️ Warto pamiętać, że w przypadku reinstalacji lub większych zmian w konfiguracji Windowsa procedurę może być konieczne powtórzyć.
Podsumowanie i rekomendacje SIIT
Jeśli zarządzasz środowiskiem Enterprise – zaplanuj aktualizację certyfikatów 2023 zanim nadejdzie 2026
Regularnie weryfikuj stan Secure Boot w organizacji
Uwzględnij ten temat w polityce backupu i disaster recovery – bo jeśli system się nie uruchomi, backup będzie jedynym ratunkiem
W SIIT pomagamy firmom w audytach bezpieczeństwa – sprawdzamy m.in. stan kopii zapasowych, konfiguracji i przygotowanie do takich zmian.
Jeśli chcesz upewnić się, że Twoje systemy przetrwają rok 2026 bez niespodzianek – zapraszamy do kontaktu.
Zobacz też
Baza wiedzy
Backup VCSP
Oferujemy proste rozwiązanie do tworzenia kopii zapasowych całych systemów i przechowywanie ich w naszej chmurze.
Jesteś informatykiem i poszukujesz partnera?
A może właścicielem firmy, który chce usprawnić działanie informatyki w swoim przedsiębiorstwie?
- Zajmujemy się wdrażaniem rozwiązań informatycznych w firmach każdej wielkości z Krakowa i okolic.
- Wykorzystujemy technologie największych producentów, na których dobrze się znamy i uważamy za najlepsze.
- Skontaktuj się z nami i sprawdź jak możemy pomóc Ci poprawić bezpieczeństwo, wydajność i efektywność infrastruktury informatycznej.
