Microsoft odpovídá na klíčové otázky, protože se blíží termín Secure Boot

S blížícím se datem 24. června 2026, kdy vyprší platnost původního certifikátu Microsoft Secure Boot KEK, uspořádala společnost Microsoft 4. června svou druhou živou relaci „Zeptejte se Microsoftu na cokoli“ (AMA), aby řešila zbývající obavy IT administrátorů a firemních zákazníků. Tato relace poskytla hlubší informace o aktualizacích Secure Boot, včetně nasazení ve firmách, kompatibility virtuálních strojů, scénářů PXE bootování a dalších témat.

Co se změní 24. června 2026?

Nejpalčivější otázkou bylo, zda 24. června představuje pevný termín pro certifikát Secure Boot KEK CA 2011. Podle Scotta Shella toto datum neznamená přísný termín, který by zastavil veškerou funkčnost. Vypršení klíče KEK okamžitě neovlivní proces ručního nasazení založený na registru ani existující aktualizační balíčky, které budou nadále fungovat jako dosud.

Po 24. červnu však společnost Microsoft ztratí schopnost podepisovat nové balíčky DBX, které jsou klíčové pro odvolání kompromitovaných bootloaderů. Zařízení bez aktualizovaného certifikátu KEK mohou postrádat budoucí odvolání, což by mohlo vést k nižší úrovni zabezpečení v průběhu času. Certifikát DB však zůstává platný až do října, což umožňuje společnosti Microsoft podepisovat další boot managery během tohoto přechodného období.

Červnová aktualizace rozšiřuje pokrytí s vysokou důvěrou

Červnová aktualizace Patch Tuesday klasifikuje naprostou většinu běžných zařízení jako vysoce důvěryhodná na základě diagnostických dat společnosti Microsoft. Kevin Sullivan objasnil, že klasifikace zařízení přesahuje názvy výrobců a modelů a zahrnuje verzi firmwaru a datum. To znamená, že i identické modely mohou být klasifikovány odlišně v závislosti na jejich firmwaru.

Aby pomohla IT administrátorům, poskytuje monitorovací zpráva Intune podrobný přehled o stavu zařízení, včetně klasifikace s vysokou důvěrou, stavu aplikace aktualizace a zařízení vyžadujících ruční zásah. Zpráva je doplněna PowerShell skriptem pro nápravu, který nabízí větší flexibilitu.

Řešení zařízení ve stavu „Dočasně pozastaveno“

Někteří firemní zákazníci hlásili zařízení uvízlá ve stavu „dočasně pozastaveno“. Microsoft vysvětlil, že k tomu dochází, když problémy s kompatibilitou na úrovni firmwaru činí aktualizace rizikovými. V takových případech je nutná aktualizace firmwaru od OEM k vyřešení problému. Jakmile je firmware aktualizován, zařízení přejde do nové klasifikační skupiny.

Administrátoři by měli používat živá data z Intune nebo CSV ze služby GitHub k přesnému sledování stavu zařízení, protože pozastavené skupiny se neaktualizují zpětně. Stránka Secure Boot společnosti Microsoft obsahuje odkazy na stránky podpory OEM, kde lze nalézt aktualizace firmwaru.

Pokyny pro ruční nasazení

U zařízení, která nejsou zařazena do skupiny s vysokou důvěrou, Microsoft doporučil nečekat na automatickou klasifikaci. Administrátoři by měli zahájit ruční nasazení nastavením hodnot registru nebo použitím nastavení zásad Intune. Doporučený pracovní postup zahrnuje:

1. Stažení monitorovací zprávy Intune k identifikaci neaktualizovaných zařízení.
2. Testování procesu aktualizace na reprezentativních zařízeních pro každý model nebo variantu firmwaru.
3. Postupné rozšíření nasazení po úspěšných testech.

Microsoft zdůraznil, že ruční aktualizace přispívají telemetrickými daty, která zlepšují systém pro jiné organizace s podobnými zařízeními.

Zařízení s deaktivovaným Secure Boot

U zařízení s vypnutým Secure Boot nelze použít aktualizace certifikátů. Pokud je Secure Boot později znovu aktivován, neshody mezi databázemi důvěry firmwaru a podpisy boot manageru mohou vést k selhání bootování. Obnovení z této situace vyžaduje ruční instalaci certifikátu z roku 2023 do firmwaru.

Azure Gen 2 virtuální stroje s povoleným zabezpečeným nebo důvěryhodným spuštěním již mají nastaven certifikát z roku 2023, zatímco Gen 1 virtuální stroje nejsou kompatibilní se Secure Boot.

Kritéria klasifikace s vysokou důvěrou

Starší zařízení často dosahují klasifikace s vysokou důvěrou rychleji než novější, protože jejich menší populace umožňuje rychlejší statistickou validaci. U široce nasazených novějších modelů se očekává, že červnová aktualizace významně rozšíří skupinu s vysokou důvěrou.

PXE bootovací prostředí vyžadují pečlivou správu

U PXE bootovacích prostředí budou zařízení s certifikátem z roku 2011 nadále bootovat, dokud nebude certifikát odvolán v seznamu DBX. Přechod na bootloadery podepsané certifikátem z roku 2023 vyžaduje zajištění, že všechna zařízení v prostředí důvěřují novému certifikátu. Během přechodu se doporučuje udržovat bootovací média podepsaná oběma certifikáty.

Windows 10 a starší verze OS

Mechanismus aktualizace Secure Boot je identický pro Windows 10 (v rámci ESU), Windows 11 a starší verze serverů. Starší zařízení však mohou postrádat telemetrická data, což činí ruční aktualizace nezbytnými.

Diagnostické nástroje a zdroje

Záznamy událostí, zejména protokol událostí TPM-WMI, jsou klíčové pro diagnostiku problémů se Secure Boot. Klíčové indikátory zahrnují:

• Chyba 1803 pro neplatné nebo nepodepsané klíče Platform Keys.
• Ověření certifikátů KEK a DB pro verze z roku 2023.

Centrální zdroj společnosti Microsoft, aka.ms/GetSecureBoot, poskytuje komplexní příručku, diagnostické skripty a odkazy na firmware OEM. Administrátoři jsou vyzýváni, aby dodržovali doporučení společnosti Microsoft „nejprve otestujte jeden“ pro zajištění hladkých aktualizací.

Stručně řečeno, postupné nasazení a diagnostické nástroje společnosti Microsoft jsou navrženy tak, aby minimalizovaly narušení a zároveň zajistily soulad se Secure Boot. IT administrátoři jsou vyzýváni, aby jednali rychle, aby se vyhnuli možným bezpečnostním rizikům, jakmile se blíží termín vypršení platnosti KEK.