Security

Windows Secure Boot varmenteet vanhenevat 2026

3 min lukuaika

Yhteenveto

Microsoftin vuonna 2011 käyttöön otetut Windows Secure Boot -varmenteet alkavat vanhentua kesäkuun 2026 loppupuolella, ja uudet varmenteet jaetaan tuetuille laitteille Windows-päivitysten kautta yhteistyössä OEM- ja UEFI-toimittajien kanssa. Asia on tärkeä erityisesti IT-tiimeille, koska ilman ajoissa tehtyä varmepäivitystä laitteet voivat menettää mahdollisuuden hyödyntää tulevia käynnistystason tietoturvasuojauksia, vaikka ne vielä käynnistyisivät normaalisti.

Tarvitsetko apua Security-asioissa?Keskustele asiantuntijan kanssa

Johdanto: miksi tämä on tärkeää

Secure Boot on yksi Windowsin tärkeimmistä käynnistysvaiheen suojauksista. Se varmistaa, että vain luotetut, digitaalisesti allekirjoitetut komponentit voivat suorittua ennen käyttöjärjestelmän latautumista. Tämä luottamus perustuu UEFI-laiteohjelmistoon tallennettuihin varmenteisiin — ja Microsoft on vahvistanut, että vuonna 2011 käyttöön otetut alkuperäiset Secure Boot -varmenteet ovat elinkaarensa lopussa ja alkavat vanhentua kesäkuun 2026 loppupuolella. IT-tiimeille kyseessä on määräaikainen, koko ekosysteemiä koskeva tietoturvahuoltotoimenpide: jos laitteet eivät saa varmepäivitystä, ne saattavat edelleen käynnistyä, mutta menettävät kyvyn ottaa käyttöön tulevia käynnistystason suojauksia.

Mitä uutta

Secure Bootin “root of trust” päivitetään

  • Pitkäikäiset Secure Boot -varmenteet alkavat vanhentua kesäkuun 2026 loppupuolella.
  • Uudet varmenteet toimitetaan tuettuihin Windows-laitteisiin normaalin kuukausittaisen Windows-päivitystahdin kautta.
  • Tämä on koordinoitu kokonaisuus Windowsin päivityspalvelun, OEM-laiteohjelmistojen ja UEFI-toimittajien kesken riskin ja häiriöiden minimoimiseksi.

Laaja OEM-valmius (erityisesti uudemmissa laitteissa)

  • Monet vuodesta 2024 alkaen valmistetut PC:t — ja lähes kaikki vuonna 2025 toimitetut laitteet — sisältävät jo päivitetyt varmenteet.
  • Pienemmällä osalla jo käytössä olevista laitteista uusien varmenteiden käyttöönotto voi edellyttää ensin OEM-laiteohjelmistopäivitystä.

Parempi näkyvyys ja vaiheistettu käyttöönotto

  • Microsoft toteuttaa muutoksen huolellisella, vaiheistetulla etenemisellä, jota ohjaavat testaus ja telemetriapohjainen valmiusarviointi.
  • Windows Security -sovellukseen odotetaan tulevina kuukausina tilaviestintää varmepäivityksistä, jotta käyttäjät voivat seurata etenemistä.

Vaikutus IT-ylläpitäjiin ja loppukäyttäjiin

Jos laitteet eivät saa uusia varmenteita ajoissa

  • Laitteet todennäköisesti jatkavat toimintaansa ja nykyinen ohjelmisto toimii edelleen.
  • Ne siirtyvät kuitenkin heikentyneeseen tietoturvatilaan, eivätkä välttämättä pysty vastaanottamaan tulevia käynnistystason lievennyksiä (esim. kun uusia käynnistyksen haavoittuvuuksia löydetään).
  • Ajan myötä yhteensopivuusriskit kasvavat: uudempi OS/firmware/hardware tai Secure Bootista riippuvainen ohjelmisto ei välttämättä lataudu.

Tuettujen Windows-versioiden ulkopuoliset ovat keskeinen riski

  • Laitteet, joissa on tuen ulkopuolella oleva versio (erityisesti Windows 10 tuen päättymisen jälkeen 14.10.2025, ellei laite ole ESU-ohjelmassa), eivät saa päivityksiä Windows Updaten kautta.
  • Nämä päätelaitteet kannattaa käsitellä ensisijaisina korjauskohteina (päivitys/vaihto tai ESU-kelpoisuuden ja päivitysstrategian varmistaminen).

Suositellut toimet / seuraavat askeleet

  1. Inventoi ja rajaa laitekanta
    • Tunnista kaikki Windows- ja Windows Server -päätelaitteet, mukaan lukien kioskikoneet, erikoispalvelimet sekä IoT/edge-laitteet, joissa päivityskäytännöt voivat poiketa normaalista.
  2. Varmista päivityspolku
    • Vahvista, että laitteet vastaanottavat uusimmat kuukausittaiset kumulatiiviset päivitykset (Microsoftin hallinnoimana, missä soveltuu).
    • Varmista, että valmiuden varmistamiseen käytettävät diagnostiikka-/telemetriavaatimukset ovat organisaatiosi käytäntöjen mukaiset.
  3. Tarkista firmware-valmius
    • Seuraa ennakoivasti OEM-toimittajien ohjeistuksia ja tukisivuja (Dell/HP/Lenovo ja muut) ja aikatauluta tarvittavat UEFI/firmware-päivitykset.
    • Pilotoi firmware-päivitykset edustavilla laitemalleilla ennen laajaa käyttöönottoa.
  4. Suunnittele poikkeustapaukset
    • Laitteille, joita ei voida luotettavasti validoida Microsoftin vaiheistetun etenemisen kautta, hyödynnä Microsoftin IT administrator playbook -ohjeistusta sekä olemassa olevia työkaluja (Intune, Configuration Manager tai kolmannen osapuolen ratkaisut) käyttöönottoon ja seurantaan.
  5. Valmistele tukirunbookit
    • Ensitason toimet: asenna uusimmat Windows-päivitykset, varmista uusin OEM firmware, ja eskaloi tarvittaessa Microsoftin/OEM:n tukikanaviin, jos ongelmat jatkuvat.

Tarvitsetko apua Security-asioissa?

Asiantuntijamme auttavat sinua toteuttamaan ja optimoimaan Microsoft-ratkaisusi.

Keskustele asiantuntijan kanssa

Pysy ajan tasalla Microsoft-teknologioista

Lue alkuperäinen artikkeli kirjoittajalta Nuno Costa
Secure BootUEFI firmwareWindows updatescertificate lifecycleendpoint security

Aiheeseen liittyvät

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.