Security

Windows Secure Boot certifikáty 2026: obnova Root of Trust

3 min čtení

Shrnutí

Microsoft potvrdil, že původní certifikáty Windows Secure Boot z roku 2011 začnou od konce června 2026 expirovat, a proto zahajuje postupnou obnovu „root of trust“ přes běžné měsíční aktualizace Windows. Je to důležité hlavně pro IT týmy, protože zařízení bez nových certifikátů sice pravděpodobně dál naběhnou, ale mohou přijít o budoucí ochrany při startu systému; u části starších zařízení navíc může být nutná i aktualizace OEM firmwaru.

Potřebujete pomoc s Security?Mluvte s odborníkem

Úvod: proč na tom záleží

Secure Boot patří mezi nejdůležitější ochrany Windows při startu: zajišťuje, že před načtením OS běží pouze důvěryhodné, digitálně podepsané komponenty. Tato důvěra je ukotvena v certifikátech uložených ve firmwaru UEFI – a Microsoft potvrdil, že původní certifikáty Secure Boot zavedené v roce 2011 dosahují konce životního cyklu a začnou vyprchávat koncem června 2026. Pro IT týmy jde o časově omezenou, ekosystémově širokou bezpečnostní údržbu: pokud zařízení obnovu certifikátů propásnou, pravděpodobně budou dál startovat, ale ztratí schopnost přijímat budoucí ochrany na úrovni spouštění.

Co je nového

Obnovuje se Secure Boot „root of trust“

  • Dlouhodobě používané certifikáty Secure Boot začnou vyprchávat od konce června 2026.
  • Nové certifikáty jsou nasazovány na podporovaných zařízeních s Windows prostřednictvím běžného měsíčního rytmu aktualizací Windows.
  • Jde o koordinované úsilí napříč servisováním Windows, OEM firmwarem a poskytovateli UEFI s cílem minimalizovat rizika a dopady.

Široká připravenost OEM (zejména novější zařízení)

  • Mnoho PC vyrobených od roku 2024 – a téměř všechna zařízení dodaná v roce 2025 – už aktualizované certifikáty obsahuje.
  • U menší podmnožiny zařízení na trhu může použití nových certifikátů nejprve vyžadovat aktualizaci OEM firmwaru.

Lepší přehled a postupné nasazení

  • Microsoft změnu zavádí opatrně a po etapách na základě testování a připravenosti vyhodnocované z telemetrie.
  • V následujících měsících se očekávají stavové informace o aktualizacích certifikátů v aplikaci Windows Security, aby uživatelé mohli sledovat průběh.

Dopad na IT administrátory a koncové uživatele

Pokud zařízení nezískají nové certifikáty včas

  • Zařízení budou pravděpodobně nadále fungovat a stávající software bude dál běžet.
  • Nicméně přejdou do degradovaného stavu zabezpečení a mohou ztratit možnost přijímat budoucí mitigace na úrovni spouštění (např. při objevení nových zranitelností v boot procesu).
  • S časem poroste riziko kompatibility: novější OS/firmware/hardware nebo software závislý na Secure Boot se nemusí podařit načíst.

Nepodporované verze Windows jsou klíčovým rizikem

  • Zařízení na nepodporovaných verzích (zejména Windows 10 po ukončení podpory 14. října 2025, pokud nejsou zařazena do ESU) neobdrží aktualizace přes Windows Update.
  • Tyto endpointy by měly být považovány za prioritní položky k nápravě (upgrade/výměna nebo zajištění způsobilosti pro ESU a strategie aktualizací).

Doporučené kroky / další postup

  1. Inventarizace a vymezení rozsahu
    • Identifikujte všechny endpointy Windows a Windows Server v rozsahu, včetně kiosků, specializovaných serverů a IoT/edge zařízení, která mohou mít atypické servisování.
  2. Ověření cesty servisování
    • Potvrďte, že zařízení dostávají nejnovější měsíční kumulativní aktualizace (tam, kde je to relevantní, spravované Microsoftem).
    • Zajistěte, aby požadavky na diagnostiku/telemetrii používané k ověření připravenosti byly v souladu s politikami vaší organizace.
  3. Kontrola připravenosti firmwaru
    • Proaktivně sledujte doporučení OEM a stránky podpory (Dell/HP/Lenovo a další) a naplánujte potřebné aktualizace UEFI/firmwaru.
    • Před širokým nasazením otestujte aktualizace firmwaru na reprezentativních modelech hardwaru.
  4. Plán pro výjimky
    • U zařízení, která nelze spolehlivě validovat prostřednictvím postupného přístupu Microsoftu, použijte pokyny z playbooku pro IT administrátory od Microsoftu a své stávající nástroje (Intune, Configuration Manager nebo nástroje třetích stran) pro nasazení a monitoring.
  5. Příprava support runbooků
    • Kroky pro 1. linii: aplikovat nejnovější aktualizace Windows, ověřit nejnovější OEM firmware a poté eskalovat přes kanály podpory Microsoft/OEM, pokud problémy přetrvávají.

Potřebujete pomoc s Security?

Naši odborníci vám pomohou implementovat a optimalizovat vaše Microsoft řešení.

Mluvte s odborníkem

Buďte v obraze o technologiích Microsoft

Přečtěte si původní článek od Nuno Costa
Secure BootUEFI firmwareWindows updatescertificate lifecycleendpoint security

Související články

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.