Security

Windows Secure Boot 2026: wygaśnięcie certyfikatów

3 min czytania

Podsumowanie

Microsoft potwierdził, że certyfikaty Windows Secure Boot wprowadzone w 2011 roku zaczną wygasać pod koniec czerwca 2026 r., dlatego firma wdraża nowe certyfikaty na wspieranych urządzeniach przez Windows Update we współpracy z producentami OEM i dostawcami UEFI. To ważne dla działów IT, bo urządzenia bez odświeżenia certyfikatów prawdopodobnie nadal się uruchomią, ale mogą utracić dostęp do przyszłych zabezpieczeń na etapie rozruchu, co zwiększa ryzyko bezpieczeństwa i wymaga wcześniejszego planowania aktualizacji.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie: dlaczego to ma znaczenie

Secure Boot to jedno z najważniejszych zabezpieczeń Windows na etapie rozruchu — zapewnia, że przed załadowaniem systemu operacyjnego uruchamiane są wyłącznie zaufane, cyfrowo podpisane komponenty. Zaufanie to jest zakotwiczone w certyfikatach przechowywanych w firmware UEFI — a Microsoft potwierdził, że oryginalne certyfikaty Secure Boot wprowadzone w 2011 r. zbliżają się do końca cyklu życia i zaczną wygasać pod koniec czerwca 2026 r. Dla zespołów IT jest to ograniczone w czasie, obejmujące cały ekosystem zdarzenie utrzymaniowe związane z bezpieczeństwem: jeśli urządzenia pominą odświeżenie certyfikatów, najpewniej nadal będą się uruchamiać, ale utracą możliwość korzystania z przyszłych zabezpieczeń na poziomie rozruchu.

Co nowego

Odświeżenie „root of trust” Secure Boot

  • Długoterminowe certyfikaty Secure Boot zaczną wygasać od końca czerwca 2026 r.
  • Nowe certyfikaty są wdrażane na obsługiwane urządzenia z Windows w ramach standardowego, comiesięcznego cyklu Windows Update.
  • To skoordynowany wysiłek obejmujący obsługę serwisową Windows, firmware OEM oraz dostawców UEFI — w celu minimalizacji ryzyka i zakłóceń.

Szeroka gotowość OEM (zwłaszcza nowsze urządzenia)

  • Wiele komputerów zbudowanych od 2024 r. — i niemal wszystkie urządzenia wysyłane w 2025 r. — już zawiera zaktualizowane certyfikaty.
  • W przypadku mniejszej części urządzeń już znajdujących się na rynku zastosowanie nowych certyfikatów może wymagać wcześniejszej aktualizacji firmware od OEM.

Lepsza widoczność i wdrożenie etapowe

  • Microsoft wdraża zmianę ostrożnie, etapami, w oparciu o testy i gotowość wyznaczaną na podstawie telemetrii.
  • W nadchodzących miesiącach w aplikacji Windows Security mają pojawić się komunikaty o stanie aktualizacji certyfikatów, aby pomóc użytkownikom śledzić postępy.

Wpływ na administratorów IT i użytkowników końcowych

Jeśli urządzenia nie otrzymają nowych certyfikatów na czas

  • Urządzenia prawdopodobnie nadal będą działać, a dotychczasowe oprogramowanie będzie się uruchamiać.
  • Jednak wejdą w zdegradowany stan bezpieczeństwa i mogą nie być w stanie otrzymywać przyszłych mechanizmów łagodzenia na poziomie rozruchu (np. gdy zostaną wykryte nowe podatności rozruchowe).
  • Z czasem rośnie ryzyko problemów ze zgodnością: nowszy OS/firmware/sprzęt lub oprogramowanie zależne od Secure Boot może nie załadować się poprawnie.

Nieobsługiwane wersje Windows to kluczowe ryzyko

  • Urządzenia na nieobsługiwanych wersjach (w szczególności Windows 10 po zakończeniu wsparcia 14 października 2025 r., o ile nie są objęte ESU) nie otrzymają aktualizacji przez Windows Update.
  • Te endpointy należy traktować jako pozycje priorytetowe w planie remediacji (uaktualnić/wymienić albo zapewnić kwalifikację do ESU i strategię aktualizacji).

Zalecane działania / kolejne kroki

  1. Inwentaryzacja i określenie zakresu
    • Zidentyfikuj wszystkie endpointy Windows i Windows Server w zakresie, w tym kioski, wyspecjalizowane serwery oraz urządzenia IoT/edge, które mogą mieć nietypowy model serwisowania.
  2. Weryfikacja ścieżki serwisowania
    • Potwierdź, że urządzenia otrzymują najnowsze comiesięczne zbiorcze aktualizacje (zarządzane przez Microsoft tam, gdzie ma to zastosowanie).
    • Upewnij się, że wymagania diagnostyczne/telemetryczne wykorzystywane do walidacji gotowości są zgodne z politykami organizacji.
  3. Kontrola gotowości firmware
    • Proaktywnie przejrzyj komunikaty i strony wsparcia OEM (Dell/HP/Lenovo i inni) oraz zaplanuj wymagane aktualizacje UEFI/firmware.
    • Przetestuj aktualizacje firmware na reprezentatywnych modelach sprzętu przed szerokim wdrożeniem.
  4. Plan wyjątków
    • Dla urządzeń, których nie da się z wysoką pewnością zwalidować w ramach etapowego podejścia Microsoft, skorzystaj z wytycznych w playbooku dla administratorów IT Microsoft oraz z używanych narzędzi (Intune, Configuration Manager lub narzędzia firm trzecich) do wdrożenia i monitorowania.
  5. Przygotowanie runbooków wsparcia
    • Kroki pierwszej linii: zastosuj najnowsze aktualizacje Windows, zweryfikuj najnowszy firmware OEM, a następnie eskaluj przez kanały wsparcia Microsoft/OEM, jeśli problemy będą się utrzymywać.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Nuno Costa
Secure BootUEFI firmwareWindows updatescertificate lifecycleendpoint security

Powiązane artykuły

Security

Kompromitacja łańcucha dostaw Trivy: wskazówki Defender

Microsoft opublikował wskazówki dotyczące wykrywania, badania i ograniczania skutków kompromitacji łańcucha dostaw Trivy z marca 2026 r., która dotknęła binarkę Trivy i powiązane GitHub Actions. Incydent jest istotny, ponieważ wykorzystał zaufane narzędzia bezpieczeństwa CI/CD do kradzieży poświadczeń z potoków buildów, środowisk chmurowych i systemów deweloperskich, jednocześnie pozornie działając normalnie.

Security

Governance AI agentów: zgodność intencji i bezpieczeństwo

Microsoft przedstawia model governance dla AI agents, który łączy intencje użytkownika, dewelopera, role-based oraz organizacji. Framework pomaga firmom utrzymać agentów jako użytecznych, bezpiecznych i zgodnych z wymaganiami, definiując granice zachowań oraz jasną hierarchię priorytetów w razie konfliktów.

Security

{{Microsoft Defender predictive shielding blokuje GPO ransomware}}

{{Microsoft opisał rzeczywisty przypadek ransomware, w którym predictive shielding w Defender wykrył złośliwe nadużycie Group Policy Object jeszcze przed rozpoczęciem szyfrowania. Dzięki wzmocnieniu propagacji GPO i zakłóceniu działania przejętych kont Defender zablokował około 97% prób szyfrowania i nie dopuścił do zaszyfrowania żadnych urządzeń przez ścieżkę dostarczania opartą na GPO.}}

Security

Zabezpieczenia agentic AI od Microsoft na RSAC 2026

Microsoft na RSAC 2026 zaprezentował strategię zabezpieczania agentic AI w firmach, obejmującą ochronę agentów, tożsamości, danych i infrastruktury, a także potwierdził premierę Agent 365 w modelu general availability od 1 maja. To ważne, bo wraz z rosnącym wdrożeniem AI w przedsiębiorstwach organizacje potrzebują narzędzi do centralnego zarządzania ryzykiem, wykrywania nieautoryzowanego użycia AI i ograniczania nadmiernego udostępniania danych.

Security

CTI-REALM open source: benchmark AI do detekcji

Microsoft udostępnił open source benchmark CTI-REALM, który sprawdza, czy agenci AI potrafią wykonywać realną pracę z obszaru inżynierii detekcji — od analizy raportów threat intelligence po tworzenie i walidację reguł detekcji. To ważne dla zespołów SOC i bezpieczeństwa, ponieważ zamiast mierzyć wyłącznie wiedzę modelu, narzędzie ocenia jego skuteczność w praktycznych zadaniach operacyjnych w środowiskach takich jak Linux, AKS i chmura Azure.

Security

Zero Trust for AI od Microsoft: warsztaty i ocena

Microsoft wprowadza wytyczne Zero Trust for AI, które przenoszą zasady Zero Trust na modele, agentów, dane i zautomatyzowane decyzje, aby pomóc firmom bezpiecznie wdrażać AI. Firma rozszerzyła też Zero Trust Workshop o dedykowany filar AI oraz rozbudowane oceny i kontrolki, co ma ułatwić zespołom IT i bezpieczeństwa identyfikację ryzyk takich jak prompt injection czy data poisoning oraz lepsze planowanie zabezpieczeń.