Security

Windows Secure Boot-sertifikater utløper i 2026

3 min lesing

Sammendrag

Microsoft har bekreftet at de opprinnelige Windows Secure Boot-sertifikatene fra 2011 begynner å utløpe fra slutten av juni 2026, og at nye sertifikater vil distribueres til støttede enheter via vanlige Windows-oppdateringer. Dette er viktig fordi enheter som ikke får oppdateringen fortsatt kan starte, men vil miste muligheten til å ta i bruk fremtidige oppstartsbeskyttelser, noe som gjør planlegging av firmware- og Windows-oppdateringer kritisk for IT-team.

Trenger du hjelp med Security?Snakk med en ekspert

Introduksjon: hvorfor dette betyr noe

Secure Boot er en av Windows’ viktigste beskyttelser ved oppstart, og sikrer at bare pålitelige, digitalt signerte komponenter kjøres før OS lastes. Denne tilliten er forankret i sertifikater lagret i UEFI-fastvare—og Microsoft har bekreftet at de opprinnelige Secure Boot-sertifikatene introdusert i 2011 nærmer seg end of lifecycle og begynner å utløpe i slutten av juni 2026. For IT-team er dette en tidsavgrenset, økosystemomfattende sikkerhetsvedlikeholdshendelse: hvis enheter ikke får sertifikatoppdateringen, kan de fortsatt starte, men de vil miste muligheten til å ta i bruk fremtidige beskyttelser på oppstartsnivå.

Hva er nytt

Secure Boot “root of trust” blir oppdatert

  • De langvarige Secure Boot-sertifikatene utløper fra slutten av juni 2026.
  • Nye sertifikater distribueres til Windows-enheter som fortsatt er i support via den normale månedlige Windows update-kadensen.
  • Dette er en koordinert innsats på tvers av Windows servicing, OEM-fastvare og UEFI-leverandører for å minimere risiko og driftsforstyrrelser.

Bred OEM-beredskap (særlig nyere enheter)

  • Mange PC-er bygget siden 2024—og nesten alle enheter sendt i 2025—har allerede de oppdaterte sertifikatene.
  • For en mindre del av enhetene som allerede er i markedet, kan det først kreves en OEM-fastvareoppdatering før de nye sertifikatene kan brukes.

Bedre synlighet og trinnvis utrulling

  • Microsoft ruller ut endringen med en forsiktig, trinnvis tilnærming basert på testing og telemetri-basert beredskap.
  • Statusmeldinger om sertifikatoppdateringer forventes i Windows Security-appen i månedene fremover for å hjelpe brukere med å følge fremdriften.

Konsekvenser for IT-administratorer og sluttbrukere

Hvis enheter ikke får de nye sertifikatene i tide

  • Enheter vil sannsynligvis fortsette å fungere, og eksisterende programvare vil fortsatt kjøre.
  • De går imidlertid inn i en degradert sikkerhetstilstand og kan være ute av stand til å motta fremtidige mitigations på oppstartsnivå (f.eks. når nye oppstartsrelaterte sårbarheter oppdages).
  • Over tid øker kompatibilitetsrisikoen: nyere OS/fastvare/hardware eller Secure Boot-avhengig programvare kan mislykkes med å laste.

Ikke-støttede Windows-versjoner er en sentral risiko

  • Enheter på versjoner uten support (særlig Windows 10 etter at support opphørte 14. okt. 2025, med mindre de er registrert i ESU) vil ikke motta oppdateringene via Windows Update.
  • Disse endepunktene bør behandles som prioriterte utbedringspunkter (oppgrader/erstatt, eller sikre ESU-kvalifisering og oppdateringsstrategi).

Anbefalte tiltak / neste steg

  1. Kartlegging og omfang
    • Identifiser alle Windows- og Windows Server-endepunkter som er omfattet, inkludert kiosker, spesialiserte servere og IoT/edge-enheter som kan ha atypisk servicing.
  2. Valider oppdateringsløp
    • Bekreft at enheter mottar de nyeste månedlige cumulative updates (Microsoft-administrert der det er aktuelt).
    • Sørg for at krav til diagnostics/telemetry som brukes for beredskapsvalidering, samsvarer med organisasjonens policyer.
  3. Kontroll av fastvareberedskap
    • Gå proaktivt gjennom OEM-advisories og supportsider (Dell/HP/Lenovo og andre) og planlegg nødvendige UEFI-/fastvareoppdateringer.
    • Pilotér fastvareoppdateringer på representative hardware-modeller før bred utrulling.
  4. Planlegg for unntak
    • For enheter som ikke med sikkerhet er validert via Microsofts trinnvise tilnærming, bruk veiledningen i Microsoft IT administrator playbook og eksisterende verktøy (Intune, Configuration Manager eller tredjepart) for å distribuere og overvåke.
  5. Forbered support-runbooks
    • Førstelinjetrinn: installer de nyeste Windows-oppdateringene, verifiser nyeste OEM-fastvare, og eskaler deretter via Microsoft/OEM support-kanaler hvis problemer vedvarer.

Trenger du hjelp med Security?

Våre eksperter kan hjelpe deg med å implementere og optimalisere dine Microsoft-løsninger.

Snakk med en ekspert

Hold deg oppdatert om Microsoft-teknologier

Les originalartikkelen av Nuno Costa
Secure BootUEFI firmwareWindows updatescertificate lifecycleendpoint security

Relaterte innlegg

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.