Windows 11
Zadowolony
Microsoft odpowiada na kluczowe pytania w związku z nadchodzącym terminem Secure Boot
Co zmienia się 24 czerwca 2026 r.?
Czerwcowa aktualizacja rozszerza zakres wysokiego zaufania
Radzenie sobie z urządzeniami 'tymczasowo wstrzymanymi'
Wskazówki dotyczące ręcznego wdrażania
Urządzenia z wyłączonym Secure Boot
Kryteria klasyfikacji wysokiego zaufania
Środowiska PXE Boot wymagają starannego zarządzania
Windows 10 i starsze wersje systemu operacyjnego
Narzędzia diagnostyczne i zasoby
Microsoft odpowiada, co należy zrobić, gdy zbliża się termin Secure Boot dla Windows 11
Czas: Jun, 8, 2026

Microsoft odpowiada na kluczowe pytania w miarę zbliżania się terminu Secure Boot

W związku z wygasaniem 24 czerwca 2026 roku pierwotnego certyfikatu Microsoft Secure Boot KEK, Microsoft przeprowadził 4 czerwca drugą sesję na żywo „Ask Microsoft Anything” (AMA), aby rozwiać pozostałe obawy administratorów IT i klientów korporacyjnych. Podczas tej sesji przedstawiono głębsze informacje na temat aktualizacji Secure Boot, odnosząc się do wdrożeń korporacyjnych, zgodności maszyn wirtualnych, scenariuszy PXE boot i innych.

Co zmieni się 24 czerwca 2026 roku?

Najbardziej palącym pytaniem było, czy 24 czerwca oznacza ostateczną datę ważności certyfikatu Secure Boot KEK CA 2011. Według Scotta Shella, data wygaśnięcia nie jest twardym terminem zatrzymującym całą funkcjonalność. Wygaśnięcie klucza KEK nie wpływa bezpośrednio na proces ręcznego wdrażania oparty na rejestrze ani na istniejące pakiety aktualizacji, które będą działały jak dotychczas.

Jednak po 24 czerwca Microsoft straci możliwość podpisywania nowych pakietów DBX, które są kluczowe do unieważniania zagrożonych bootloaderów. Urządzenia bez zaktualizowanego certyfikatu KEK mogą nie otrzymywać przyszłych unieważnień, co potencjalnie zmniejszy ich bezpieczeństwo z czasem. Certyfikat DB pozostaje jednak ważny do października, co pozwala Microsoftowi na podpisywanie dodatkowych menedżerów rozruchu w tym okresie przejściowym.

Czerwcowa aktualizacja rozszerza zakres wysokiej pewności

Czerwcowa aktualizacja Patch Tuesday sklasyfikuje zdecydowaną większość urządzeń głównego nurtu jako urządzenia o wysokiej pewności na podstawie danych diagnostycznych Microsoft. Kevin Sullivan wyjaśnił, że klasyfikacja urządzeń wykracza poza nazwę producenta i modelu, obejmując również wersję i datę firmware'u. Oznacza to, że nawet identyczne modele mogą być klasyfikowane inaczej w zależności od ich firmware'u.

Aby pomóc administratorom IT, raport monitorowania Intune zapewnia szczegółowy widok statusu urządzeń, w tym klasyfikacji o wysokiej pewności, statusu aplikacji aktualizacji oraz urządzeń wymagających ręcznej interwencji. Raport jest uzupełniony o skrypt naprawczy PowerShell dla większej elastyczności.

Rozwiązanie problemu urządzeń z „tymczasowo wstrzymanym” statusem

Niektórzy klienci korporacyjni zgłaszali urządzenia utkwione w statusie „tymczasowo wstrzymanym”. Microsoft wyjaśnił, że dzieje się tak, gdy problemy ze zgodnością na poziomie firmware'u sprawiają, że aktualizacje są ryzykowne. W takich przypadkach wymagana jest aktualizacja firmware'u od OEM, aby rozwiązać problem. Po zaktualizowaniu firmware'u urządzenie przechodzi do nowego koszyka klasyfikacji.

Administratorzy powinni korzystać z danych na żywo z Intune lub pliku CSV na GitHub, aby dokładnie śledzić status urządzeń, ponieważ koszyki wstrzymane nie aktualizują się wstecznie. Strona Microsoftu Secure Boot zawiera linki do stron wsparcia OEM w celu lokalizacji aktualizacji firmware'u.

Wskazówki dla ręcznych wdrożeń

Dla urządzeń, które nie znajdują się w koszyku wysokiej pewności, Microsoft odradza czekanie na automatyczną klasyfikację. Administratorzy powinni rozpocząć ręczne wdrożenia, ustawiając wartości rejestru lub korzystając z ustawień polityki Intune. Zalecany workflow obejmuje:

  1. Pobranie raportu monitorowania Intune w celu zidentyfikowania nieaktualizowanych urządzeń.
  2. Przetestowanie procesu aktualizacji na reprezentatywnych urządzeniach dla każdego modelu lub wariantu firmware'u.
  3. Stopniowe rozszerzanie wdrożenia po pomyślnych testach.

Microsoft podkreślił, że ręczne aktualizacje dostarczają dane telemetryczne, poprawiając system dla innych organizacji z podobnymi urządzeniami.

Urządzenia z wyłączonym Secure Boot

W przypadku urządzeń z wyłączonym Secure Boot nie można zastosować aktualizacji certyfikatów. Jeśli Secure Boot zostanie później ponownie włączony, rozbieżności między bazami zaufania firmware'u a podpisami menedżera rozruchu mogą prowadzić do problemów z uruchamianiem. Rozwiązanie tego problemu wymaga ręcznego zainstalowania certyfikatu 2023 w firmware.

Maszyny wirtualne Azure Gen 2 z włączonym secure lub trusted launch mają już ustawiony certyfikat 2023, podczas gdy maszyny Gen 1 są niezgodne z Secure Boot.

Kryteria klasyfikacji wysokiej pewności

Starsze urządzenia często szybciej osiągają klasyfikację wysokiej pewności niż nowsze, ponieważ ich mniejsze populacje pozwalają na szybszą walidację statystyczną. W przypadku szeroko wdrożonych nowszych modeli czerwcowa aktualizacja powinna znacząco rozszerzyć koszyk wysokiej pewności.

Środowiska rozruchu PXE wymagają ostrożnego zarządzania

W środowiskach rozruchu PXE urządzenia z certyfikatem 2011 będą nadal się uruchamiać, dopóki certyfikat nie zostanie unieważniony na liście DBX. Jednak przejście na bootloadery podpisane certyfikatem 2023 wymaga zapewnienia, że wszystkie urządzenia w środowisku ufają nowemu certyfikatowi. Podczas przejścia zaleca się utrzymanie nośników rozruchowych podpisanych obydwoma certyfikatami.

Windows 10 i starsze wersje systemu operacyjnego

Mechanizm aktualizacji Secure Boot jest identyczny dla Windows 10 (pod ESU), Windows 11 i starszych wersji serwerowych. Jednak starsze urządzenia mogą nie mieć danych telemetrycznych, co sprawia, że ręczne aktualizacje są konieczne.

Narzędzia diagnostyczne i zasoby

Dzienniki zdarzeń, w szczególności dziennik zdarzeń TPM-WMI, są kluczowe do diagnozowania problemów z Secure Boot. Kluczowe wskaźniki obejmują:

  • Błąd 1803 dla nieprawidłowych lub niepodpisanych Platform Keys.
  • Weryfikację zarówno certyfikatów KEK, jak i DB dla wersji 2023.

Centralne źródło Microsoftu, aka.ms/GetSecureBoot, oferuje kompleksowy przewodnik, skrypty diagnostyczne i linki do firmware'u OEM. Administratorzy są zachęcani do stosowania porady Microsoftu „najpierw przetestuj jedno”, aby zapewnić płynne aktualizacje.

Podsumowując, stopniowe wdrożenie Microsoftu i narzędzia diagnostyczne są zaprojektowane, aby zminimalizować zakłócenia, jednocześnie zapewniając zgodność z Secure Boot. Administratorzy IT są zachęcani do podjęcia działań natychmiastowych, aby uniknąć potencjalnych zagrożeń bezpieczeństwa w miarę zbliżania się terminu wygaśnięcia KEK.

rekomendowane produkty
Windows 11 Enterprise LTSC 2024 CD Key Global
Windows 11 Enterprise LTSC 2024 CD Key Global
Powiązane artykułyJeszcze
Microsoft ujawnia, że Windows 11 będzie usuwał pliki hurtowo co najmniej o 30% szybciej, i to dopiero początekTo nie Microsoft, lecz OEM-y cicho psują komputery z Windows 11, oto co musisz wiedziećTo nie tylko Ty: Microsoft twierdzi, że menu kontekstowe Windows 11 było cicho powolne przez lataMicrosoft przyznaje, że menu kontekstowe w Windows 11 to bałagan, pozwoli na personalizację po latach skargMicrosoft przepisuje powłokę Windows 11 na kod natywny, eliminując elementy webowe spowalniające Twój komputerMicrosoft zobowiązuje się uczynić Windows 11 systemem operacyjnym dla AI po latach krytyki CopilotMicrosoft rezygnuje z kiepskich aplikacji webowych w Windows 11 i zachęca do tworzenia aplikacji natywnych z WinUINVIDIA ujawnia, czy RTX Spark (N1X) może uruchamiać wszystkie Twoje aplikacje Windows 11Microsoft przebudowuje harmonogram zadań Windows 11 dla RTX Spark, co może przynieść korzyści wszystkim komputeromMicrosoft eliminuje największą uciążliwość wyszukiwania w Windows 11, umożliwia znajdowanie plików za pomocą tylko 2 znaków
Czat na żywo
0