Security

Windows Secure Boot-certifikat 2026: guide för IT

3 min läsning

Sammanfattning

Microsoft bekräftar att de ursprungliga Secure Boot-certifikaten i Windows, som funnits sedan 2011, börjar löpa ut i slutet av juni 2026 och att nya certifikat därför måste distribueras till enheter som fortfarande stöds. Det är viktigt eftersom enheter som inte uppdateras riskerar att missa framtida skydd på uppstartsnivå, vilket gör att IT-team nu behöver verifiera firmwareberedskap, särskilt på äldre datorer som kan kräva OEM-uppdateringar först.

Behöver du hjälp med Security?Prata med en expert

Introduktion: varför detta är viktigt

Secure Boot är ett av Windows viktigaste skydd vid uppstart och säkerställer att endast betrodda, digitalt signerade komponenter körs innan OS:et läses in. Den tilliten är förankrad i certifikat som lagras i UEFI-firmware—och Microsoft har bekräftat att de ursprungliga Secure Boot-certifikaten som introducerades 2011 närmar sig slutet av sin livscykel och börjar löpa ut i slutet av juni 2026. För IT-team är detta en tidskritisk, ekosystemomfattande säkerhetsunderhållshändelse: om enheter missar certifikatuppdateringen kan de fortsätta att starta, men de förlorar möjligheten att ta emot framtida skydd på startnivå.

Vad är nytt

Secure Boot “root of trust” uppdateras

  • De långlivade Secure Boot-certifikaten börjar löpa ut i slutet av juni 2026.
  • Nya certifikat distribueras till Windows-enheter som fortfarande har support via den normala månatliga Windows-uppdateringstakten.
  • Detta är en samordnad insats mellan Windows-servicing, OEM-firmware och UEFI-leverantörer för att minimera risk och störningar.

Bred OEM-beredskap (särskilt nyare enheter)

  • Många datorer byggda sedan 2024—och nästan alla enheter som levererats 2025—innehåller redan de uppdaterade certifikaten.
  • För en mindre del av enheter ute på marknaden kan det först krävas en OEM-firmwareuppdatering innan de nya certifikaten kan tillämpas.

Förbättrad insyn och stegvis utrullning

  • Microsoft rullar ut förändringen med en noggrann, etappindelad strategi baserad på tester och telemetribaserad beredskap.
  • Statusmeddelanden om certifikatuppdateringar förväntas i appen Windows Security under de kommande månaderna för att hjälpa användare att följa utvecklingen.

Påverkan för IT-administratörer och slutanvändare

Om enheter inte får de nya certifikaten i tid

  • Enheter kommer sannolikt att fortsätta fungera och befintlig programvara kommer fortfarande att köras.
  • De hamnar dock i ett försämrat säkerhetsläge och kan sakna möjlighet att ta emot framtida mitigeringar på startnivå (t.ex. när nya sårbarheter i uppstartsflödet upptäcks).
  • Med tiden ökar kompatibilitetsriskerna: nyare OS/firmware/hårdvara eller programvara som är beroende av Secure Boot kan misslyckas med att läsas in.

Windows-versioner utan support är en central risk

  • Enheter som kör versioner utan support (särskilt Windows 10 efter att supporten upphörde den 14 okt 2025, om de inte är anslutna till ESU) kommer inte att få uppdateringarna via Windows Update.
  • Dessa endpoints bör hanteras som prioriterade åtgärdspunkter (uppgradera/ersätt eller säkerställ ESU-berättigande och uppdateringsstrategi).

Rekommenderade åtgärder / nästa steg

  1. Inventera och avgränsa
    • Identifiera alla Windows- och Windows Server-endpoints som omfattas, inklusive kiosker, specialiserade servrar samt IoT/edge-enheter som kan ha atypisk servicing.
  2. Verifiera uppdateringsväg
    • Bekräfta att enheter får de senaste månatliga kumulativa uppdateringarna (Microsoft-hanterat där det är tillämpligt).
    • Säkerställ att kraven för diagnostik/telemetri som används för beredskapsvalidering är förenliga med organisationens policyer.
  3. Kontroll av firmware-beredskap
    • Granska proaktivt OEM-rådgivningar och supportsidor (Dell/HP/Lenovo med flera) och schemalägg nödvändiga UEFI-/firmwareuppdateringar.
    • Pilottesta firmwareuppdateringar på representativa hårdvarumodeller innan bred utrullning.
  4. Planera för undantag
    • För enheter som inte kan valideras med hög säkerhet via Microsofts stegvisa strategi, använd Microsofts IT administrator playbook-vägledning och era befintliga verktyg (Intune, Configuration Manager eller tredjepart) för att distribuera och övervaka.
  5. Förbered support-runbooks
    • Första linjens åtgärder: installera de senaste Windows-uppdateringarna, verifiera senaste OEM-firmware och eskalera därefter via Microsofts/OEM:s supportkanaler om problemen kvarstår.

Behöver du hjälp med Security?

Våra experter kan hjälpa dig att implementera och optimera dina Microsoft-lösningar.

Prata med en expert

Håll dig uppdaterad om Microsoft-teknologier

Läs originalartikeln av Nuno Costa
Secure BootUEFI firmwareWindows updatescertificate lifecycleendpoint security

Relaterade inlägg

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.