Security

Windows Secure Boot-certifikater udløber i 2026

3 min læsning

Resumé

Microsoft har bekræftet, at de oprindelige Windows Secure Boot-certifikater fra 2011 begynder at udløbe fra slutningen af juni 2026, og at nye certifikater derfor rulles ud til understøttede enheder via almindelige Windows-opdateringer. Det er vigtigt, fordi enheder, der ikke får opdateringen, stadig kan starte op, men kan miste fremtidige sikkerhedsbeskyttelser på boot-niveau, hvilket gør rettidig firmware- og Windows-vedligeholdelse afgørende for IT-afdelinger.

Brug for hjælp med Security?Tal med en ekspert

Introduktion: hvorfor det er vigtigt

Secure Boot er en af Windows’ vigtigste beskyttelser ved opstart og sikrer, at kun betroede, digitalt signerede komponenter kan køre, før OS’et indlæses. Den tillid er forankret i certifikater, der er gemt i UEFI-firmware—og Microsoft har bekræftet, at de oprindelige Secure Boot-certifikater, der blev introduceret i 2011, nærmer sig slutningen af deres livscyklus og begynder at udløbe i slutningen af juni 2026. For IT-teams er dette en tidsafgrænset, økosystem-dækkende sikkerhedsvedligeholdelseshændelse: hvis enheder misser certifikatfornyelsen, kan de fortsat boote, men de mister muligheden for at modtage fremtidige beskyttelser på boot-niveau.

Hvad er nyt

Secure Boot “root of trust” bliver opdateret

  • De langtidsholdbare Secure Boot-certifikater udløber fra slutningen af juni 2026.
  • Nye certifikater udrulles til Windows-enheder, der fortsat er i support, via den normale månedlige Windows update-cadence.
  • Dette er en koordineret indsats på tværs af Windows servicing, OEM-firmware og UEFI-udbydere for at minimere risiko og forstyrrelser.

Bred OEM-parathed (især nyere enheder)

  • Mange pc’er bygget siden 2024—og næsten alle enheder sendt i 2025—inkluderer allerede de opdaterede certifikater.
  • For en mindre del af enheder på markedet kan anvendelse af de nye certifikater kræve en OEM-firmwareopdatering først.

Bedre synlighed og gradvis udrulning

  • Microsoft udruller ændringen med en omhyggelig, trinvist planlagt tilgang baseret på test og telemetry-baseret parathed.
  • Statusmeddelelser om certifikatopdateringer forventes i Windows Security-appen i de kommende måneder for at hjælpe brugere med at følge fremskridtet.

Konsekvenser for IT-administratorer og slutbrugere

Hvis enheder ikke får de nye certifikater i tide

  • Enheder vil sandsynligvis fortsat fungere, og eksisterende software vil stadig kunne køre.
  • De går dog ind i en forringet sikkerhedstilstand og kan være ude af stand til at modtage fremtidige afværgeforanstaltninger på boot-niveau (f.eks. når der opdages nye boot-sårbarheder).
  • Over tid øges kompatibilitetsrisici: nyere OS/firmware/hardware eller software, der er afhængig af Secure Boot, kan fejle ved indlæsning.

Windows-versioner uden support er en central risiko

  • Enheder på versioner uden support (især Windows 10 efter support ophørte den 14. oktober 2025, medmindre de er tilmeldt ESU) vil ikke modtage opdateringerne via Windows Update.
  • Disse endpoints bør behandles som prioriterede afhjælpningspunkter (opgrader/udskift, eller sikr ESU-berettigelse og opdateringsstrategi).

Anbefalede handlinger / næste skridt

  1. Inventar og afgrænsning
    • Identificér alle Windows- og Windows Server-endpoints i scope, herunder kiosker, specialiserede servere samt IoT/edge-enheder, der kan have atypisk servicing.
  2. Valider opdateringsvejen (servicing path)
    • Bekræft, at enheder modtager de nyeste månedlige cumulative updates (Microsoft-managed, hvor det er relevant).
    • Sikr, at diagnostic/telemetry-kravene, der bruges til parathed-validering, er i overensstemmelse med organisationens politikker.
  3. Tjek af firmware-parathed
    • Gennemgå proaktivt OEM-advisories og supportsider (Dell/HP/Lenovo og andre) og planlæg nødvendige UEFI/firmwareopdateringer.
    • Pilotér firmwareopdateringer på repræsentative hardwaremodeller før bred udrulning.
  4. Plan for undtagelser
    • For enheder, der ikke kan valideres med høj sikkerhed via Microsofts staged approach, brug Microsoft IT administrator playbook-vejledning og jeres eksisterende værktøjer (Intune, Configuration Manager eller tredjepart) til at udrulle og overvåge.
  5. Forbered support-runbooks
    • Første trin for 1st line: anvend de nyeste Windows-opdateringer, verificér nyeste OEM-firmware, og eskalér derefter via Microsoft/OEM-supportkanaler, hvis problemerne fortsætter.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Nuno Costa
Secure BootUEFI firmwareWindows updatescertificate lifecycleendpoint security

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.