Nejčastější dotazy k přechodu bezpečného spouštění

Dotčené operační systémy:

• Windows

Obsah

• Obecné informace
• Počítače Dell a aktualizace
• Komunikace a pokyny pro zákazníky
• Dopad a obnova
• Náklady a doba trvání

Obecné informace:

• Co je přechod klíče bezpečného spouštění?
  • Platnost aktuálních certifikátů Microsoft 2011 Secure Boot vyprší v červnu 2026. Ty budou nahrazeny novým řetězcem certifikátů pro rok 2023: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Jsou k instalaci Windows 11 25H2 vyžadovány certifikáty 2023?
  • Ne. Zařízení mohou nainstalovat 25H2 pomocí certifikátů 2011.
• Co se stane, když vyprší platnost aktuálního certifikátu bezpečného spouštění?
  • Počítač se stále může spustit. Pokud však vyprší platnost certifikátu, počítač nemůže v budoucnu získat aktualizace spouštěcího zavaděče nebo zabezpečeného spouštění.
• Jaká je strategie duálního certifikátu společnosti Dell?
  • Kvůli usnadnění přechodu začala společnost Dell koncem roku 2024 dodávat certifikáty z let 2011 a 2023 na nově uvedených platformách a do konce roku 2025 na všechny udržitelné platformy dodávané z továren Dell. To umožňuje podnikovým zákazníkům se staršími imagemi spouštět image podepsané kterýmkoli z certifikátů.
• Jaký je rozdíl mezi aktivní a výchozí databází bezpečného spouštění?
  • Databáze Active Secure Boot je databáze, kterou počítač používá během spouštění k ověření důvěryhodného softwaru. Výchozí databáze bezpečného spouštění je zálohovací sada původních důvěryhodných klíčů, které je možné v případě potřeby obnovit.
    Zkrátka:
    • Aktivní: Aktuálně vynucováno (běžně aktualizováno ze služby Windows Update)
    • Výchozí hodnota: Verze pro obnovení továrního nastavení se nepoužívá, pokud není obnovena (aktualizována pomocí aktualizace systému BIOS)
    Poznámka: Je důležité, aby byla výchozí databáze bezpečného spouštění aktualizována na certifikáty 2023. V opačném případě, pokud je přepnut režim Expert Key , může dojít k vymazání aktivních proměnných pocházejících ze služby Windows Update.
• Jak se aktualizuje aktivní databáze?
  • Aktivní databázi je možné aktualizovat pomocí služby Windows Update. Vyhnete se tak narušení funkcí zabezpečení, jako je BitLocker. Pokud však služba Windows Update není k dispozici a zákazník je odborným uživatelem, lze aktivní databázi přepsat pomocí příkazu v systému BIOS, který resetuje klíče, další informace naleznete v článku Jak aktualizovat aktivní databázi zabezpečeného spouštění ze systému BIOS .
• Jak se aktualizuje výchozí databáze?
  • Výchozí databáze se aktualizuje pomocí aktualizace systému BIOS FLASH.
• Co se stane, když vyprší platnost aktuálního certifikátu bezpečného spouštění?
  • Počítač se stále může spustit. S certifikátem, jehož platnost vypršela, však počítač nemůže v budoucnu získat aktualizace spouštěcího zavaděče nebo zabezpečeného spouštění.

Zpět na začátek

Počítače Dell a aktualizace:

• Které počítače Dell dostávají aktualizace systému BIOS?
  • Aktualizace od společnosti Dell:
    • Spotřebitelské a komerční platformy s koncem životnosti (EoSL) po 31. prosinci 2025, dodávky z výrobních závodů Dell nebo v terénu
  • Společnost Dell neaktualizuje:
    • Platformy s certifikátem EoSL před 1. lednem 2026 To znamená, že i když společnost Microsoft může nové certifikáty zpřístupnit, systém BIOS na těchto starších počítačích je nemusí podporovat nebo uchovávat, zejména pokud je zapnuté zabezpečené spouštění nebo jsou resetovány výchozí hodnoty systému BIOS.
• Jaké kroky podniká společnost Dell, aby zmírnila dopad na zákazníky?
  • Dodání aktualizací systému BIOS pro podporované platformy do konce roku 2025
  • Koordinace nástrojů pro obnovení se společností Microsoft
  • Publikování článků znalostní databáze
  • Aktualizace spouštěcího média
• A co dopad na grafické karty třetích stran a počítače se systémem Linux?
  • Společnost Microsoft vytvořila dvě nové certifikační autority třetích stran pro rok 2023, které nahradí certifikační autoritu třetí strany s končící platností z roku 2011. Jinými slovy, Microsoft Corporation UEFI CA 2011 byla rozdělena na Microsoft UEFI CA 2023 (pro bootloadery) a Microsoft Option ROM UEFI CA 2023 (pro Option ROM). A již byly provedeny aktualizace Centra hardwarových zařízení (HDC) společnosti Microsoft, které podporují podepisování ovladačů třetích stran, které tyto nové certifikační autority pro rok 2023 potřebují. I když partneři můžou začít podepisovat smlouvy s novými certifikačními autoritami pro rok 2023 v říjnu 2025, Microsoft a výrobci OEM budou dál podporovat stávající Microsoft Corporation UEFI CA 2011, dokud nebude mít ekosystém dostatek času na migraci na nové certifikační autority 2023.
• Jak podnikový zákazník získá nový certifikát pro rok 2023 pro svou aktuální flotilu zařízení?
  • Podnikoví zákazníci mají možnost umožnit společnosti Microsoft spravovat aktualizace svých zařízení prostřednictvím služby Windows Update (WU) nebo ručně nainstalovat aktualizace na zařízení flotily. Pokyny k tomu druhému jsou k dispozici zde: Zařízení se systémem Windows s aktualizacemi spravovanými oddělením IT společnost Dell navíc odesílá aktualizace systému BIOS do zařízení v provozu, která lze použít k naplnění aktivní databáze. Pokyny naleznete v článku Jak aktualizovat aktivní databázi zabezpečeného spouštění ze systému BIOS.
• Existují nějaké specifické hardwarové požadavky pro získání tohoto certifikátu?
  • Zařízení musí podporovat funkci Secure Boot a být kompatibilní s aktualizacemi firmwaru UEFI. Společnost Dell ověřuje platformy interně a zveřejnila seznam podporovaných počítačů v článku znalostní databáze Dell Konec platnosti certifikátu bezpečného spouštění Microsoft 2011.

Zpět na začátek

Komunikace a pokyny pro zákazníky:

• Jak tuto skutečnost společnost Dell sděluje zákazníkům?
  • Společnost Dell zveřejnila informace o vypršení platnosti certifikátu bezpečného spouštění společnosti Microsoft 2011 , které jsou aktualizovány o seznam platforem připravených na aktualizaci. Společnost Dell dodá podle potřeby další zprávy v souladu s veřejnými pokyny společnosti Microsoft.
• Co by nyní měli podnikoví zákazníci udělat?
  • Naplánujte aktualizace systému BIOS před uvedením systému Windows 25H2 pomocí seznamu zařízení Dell spravovaných pomocí nástroje Microsoft 2011 Secure Boot Certificate Expiration.
  • Pokud dáváte přednost interní správě zařízení (spíše než prostřednictvím WU), můžou podniky už začít aktualizovat zařízení pomocí nových certifikačních autorit pro rok 2023, podle těchto pokynů: Zařízení se systémem Windows s aktualizacemispravovanými oddělením IT.
  • Nahlaste jakékoli problémy s aktualizací společnosti Dell.
• Jak zákazník pozná, že má certifikát z roku 2011 nebo 2023?
  • Společnost Microsoft plánuje přidat do systému Windows oznámení pro koncové uživatele. Uživatelé mohou také spustit následující příkaz PowerShellu a zjistit, zda mají certifikační autority 2011 nebo 2023 (metodologie bude součástí budoucího článku znalostní báze).
• Jak zákazník pozná, že platnost jeho certifikátu vypršela nebo vyprší?
  • Počítače s kterýmkoli ze tří certifikátů (CA), jejichž platnost vyprší v roce 2026:

    CA 2011	Datum vypršení
    Microsoft Corporation KEK CA 2011	24. června 2026
    Microsoft Windows Production PCA 2011	19. října 2026
    Microsoft Corporation UEFI, CA 2011	27. června 2026

• Pokud má zákazník certifikát 2023, musí jednat?
  • Ne. Pokud jsou k dispozici certifikáty Windows UEFI CA 2023 i Microsoft Corporation KEK 2K CA 2023, nevyžaduje se žádná další akce.
• Může zákazník přejít na certifikát z roku 2023, pokud jeho zařízení používají Windows 10 a mají nebo se chystají provést rozšířené aktualizace zabezpečení (ESU)?
  • Ano, společnost Microsoft aktualizuje aktivní certifikáty pro zařízení se systémem Windows 11 v terénu a aktualizuje zařízení se systémem Windows 10, pokud zařízení:
    • Běží na něm Windows LTSC 2021
    • Má aktivovanou licenci ESU.

Zpět na začátek

Dopad a obnova:

• Jaký dopad má vypršení platnosti certifikátu?
  • Po vypršení platnosti certifikátů bezpečného spouštění (od června 2026) se počítače nadále spouštějí (se zapnutou funkcí Secure Boot). Počítač však již nedostává aktualizace pro Správce spouštění systému Windows a součásti Zabezpečené spouštění pomocí služby Windows Update, čímž se tyto součásti dostanou do ohroženého stavu zabezpečení.
• Co se stane, když je v zařízení zakázáno nebo přepnuto zabezpečené spouštění?
  • V některých případech může zakázání zabezpečeného spouštění vymazat všechny aktivní proměnné UEFI, což znamená, že všechny certifikační autority 2023, které se již na zařízení používají, mohou být vymazány (a později nahrazeny staršími certifikačními autoritami 2011 z výchozího firmwaru, pokud nebyl nikdy aktualizován). Na zařízeních Dell k tomu dochází, když uživatel vybere v nabídce systému BIOS možnost Expert Key Mode. V tomto případě se aktivní proměnné načtou z výchozího firmwaru.
    Poznámka: Pokud je na zařízení povolený nástroj BitLocker, můžete být vyzváni k zadání obnovovacího klíče nástroje BitLocker.
• Jaké nástroje jsou k dispozici pro obnovení?
  • Společnost Microsoft vydala nástroj pro ruční obnovení, ale má omezení. Automatizované nástroje pro pomoc zákazníkům se stále vyvíjejí.

Zpět na začátek

Náklady a doba trvání:

• Jsou s novými certifikáty spojeny nějaké náklady?
  • Za získání certifikátů pro rok 2023 pomocí služby Windows Update se neúčtují žádné přímé náklady a certifikační autority pro rok 2023 jsou již k dispozici zdarma na webu Pokyny pro vytváření a správu klíče pro zabezpečené spouštění systému Windows . Aktualizace systému BIOS pro zařízení, kterým skončila služba, však mohou vyžadovat ruční zásah nebo zapojení služby, což může v závislosti na smlouvách o podpoře způsobit náklady.
• Jak dlouho trvá platnost nového certifikátu?
  • Certifikáty z roku 2023 jsou platné po dobu 15 let (2038).

Zpět na začátek