Často kladené dotazy k přechodu zabezpečeného spouštění

Dotčené operační systémy:

• Windows

Obsah

• Obecné informace
• Počítače a aktualizace Dell
• Komunikace a pokyny pro zákazníky
• Dopad a obnovení
• Náklady a doba trvání

Obecné informace:

• Co je přechod klíče zabezpečeného spouštění?
  • Platnost aktuálních certifikátů zabezpečeného spouštění Microsoft 2011 vyprší v červnu 2026. Budou nahrazeny novým řetězcem certifikátů pro rok 2023: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Jsou k instalaci systému Windows 11 25H2 vyžadovány certifikáty 2023?
  • Ne. Zařízení mohou nainstalovat verzi 25H2 pomocí certifikátů 2011.
• Co se stane, když vyprší platnost aktuálního certifikátu zabezpečeného spouštění?
  • Počítač je možné stále spustit. Pokud však vyprší platnost certifikátu, počítač nebude moci v budoucnu získat aktualizace spouštěcího zavaděče nebo zabezpečeného spouštění.
• Jaká je strategie se dvěma certifikáty společnosti Dell?
  • Aby byl přechod snazší, společnost Dell začala koncem roku 2024 dodávat certifikáty 2011 i 2023 na nově uvedené platformy a do konce roku 2025 na všechny udržované platformy dodávané z továren Dell. To umožňuje podnikovým zákazníkům se staršími bitovými kopiemi spouštět bitové kopie podepsané kterýmkoli z certifikátů.
• Jaký je rozdíl mezi aktivní a výchozí databází zabezpečeného spouštění?
  • Active Secure Boot Database je databáze, kterou počítač používá během spouštění k ověření důvěryhodného softwaru. Default Secure Boot Database je zálohovací sada původních důvěryhodných klíčů, které je možné v případě potřeby obnovit.
    Ve zkratce:
    • Active: Aktuálně vynucováno (běžně aktualizováno pomocí služby Windows Update)
    • Default: Verze pro obnovení továrního nastavení se nepoužívá, pokud není obnovena (aktualizována pomocí aktualizace systému BIOS)
    Poznámka: Je důležité, aby byla databáze zabezpečeného spouštění aktualizována na certifikáty 2023. V opačném případě, pokud je přepnut režim Expert Key Mode, může dojít k vymazání proměnných databáze Active pocházejících ze služby Windows Update.
• Jak se aktualizuje databáze Active?
  • Databázi Active je možné aktualizovat pomocí služby Windows Update. Vyhnete se tak narušení funkcí zabezpečení, jako je BitLocker. Pokud však služba Windows Update není k dispozici a zákazník je odborným uživatelem, lze databázi Active přepsat pomocí příkazu v systému BIOS, který resetuje klíče. Další informace naleznete v článku Jak aktualizovat databázi Active Secure Boot ze systému BIOS.
• Jak se aktualizuje databáze Default?
  • Databáze Default se aktualizuje pomocí aktualizace BIOS FLASH.
• Co se stane, když vyprší platnost aktuálního certifikátu zabezpečeného spouštění?
  • Počítač je stále možné spustit. Pokud však vyprší platnost certifikátu, počítač nebude moci v budoucnu získat aktualizace spouštěcího zavaděče nebo zabezpečeného spouštění.

Zpět na začátek

Počítače a aktualizace Dell:

• Které počítače Dell dostávají aktualizace systému BIOS?
  • Aktualizace Dell:
    • Spotřebitelské a komerční platformy s koncem životnosti (EoSL) po 31. prosinci 2025, dodané z továren Dell nebo v terénu
  • Společnost Dell neaktualizuje:
    • Platformy s koncem životnosti před 1. lednem 2026 To znamená, že i když společnost Microsoft může nové certifikáty zpřístupnit, systém BIOS na těchto starších počítačích je nemusí podporovat nebo uchovávat, zejména pokud se zapne zabezpečené spouštění nebo se resetují výchozí hodnoty systému BIOS.
• Jaké kroky podniká společnost Dell, aby zmírnila dopad na zákazníky?
  • Dodání aktualizací systému BIOS pro podporované platformy do konce roku 2025
  • Koordinace s nástroji pro obnovení společností Microsoft
  • Publikace článků znalostní databáze
  • Aktualizace spouštěcích médií
• A co dopad na grafické karty třetích stran a počítače se systémem Linux?
  • Společnost Microsoft vytvořila dvě nové certifikační autority třetích stran 2023, které nahradí certifikační autoritu 2011 třetí strany s končící platností. Jinými slovy, Microsoft Corporation UEFI CA 2011 byla rozdělena na Microsoft UEFI CA 2023 (pro spouštěcí zavaděče) a Microsoft Option ROM UEFI CA 2023 (pro možnost Option ROM). Již byly provedeny aktualizace centra HDC (Hardware Device Center) společnosti Microsoft s podporou podepisování ovladačů třetích stran, které tyto nové certifikační autority 2023 potřebují. I když partneři můžou začít podepisovat smlouvy s novými certifikačními autoritami pro rok 2023 v říjnu 2025, Microsoft a výrobci OEM budou dál podporovat stávající certifikační autoritu Microsoft Corporation UEFI CA 2011, dokud nebude mít ekosystém dostatek času na migraci na nové certifikační autority 2023.
• Jak podnikový zákazník získá nový certifikát 2023 pro svou aktuální skupinu zařízení?
  • Podnikoví zákazníci mohou umožnit společnosti Microsoft spravovat aktualizace svých zařízení prostřednictvím služby Windows Update (WU) nebo ručně nainstalovat aktualizace na skupinu zařízení. Pokyny k druhému způsobu naleznete zde: Zařízení se systémem Windows a aktualizacemi spravovanými oddělením IT . Společnost Dell navíc odesílá aktualizace systému BIOS do aktivních zařízení, která lze použít k zaplněné aktivní databáze. Pokyny naleznete v článku Jak aktualizovat databázi Secure Boot Active ze systému BIOS.
• Existují nějaké specifické hardwarové požadavky pro získání tohoto certifikátu?
  • Zařízení musí podporovat funkci zabezpečeného spouštění a být kompatibilní s aktualizacemi firmwaru UEFI. Společnost Dell ověřuje platformy interně a zveřejnila seznam podporovaných počítačů v článku znalostní databáze Dell Konec platnosti certifikátu zabezpečeného spouštění Microsoft 2011.

Zpět na začátek

Komunikace a pokyny pro zákazníky:

• Jak tuto skutečnost společnost Dell sděluje zákazníkům?
  • Společnost Dell zveřejnila informace o vypršení platnosti certifikátu zabezpečeného spouštění Microsoft 2011, které se aktualizují o seznam platforem připravených na aktualizaci. Společnost Dell zašle podle potřeby další zprávy v souladu s veřejnými pokyny společnosti Microsoft.
• Co by nyní měli podnikoví zákazníci udělat?
  • Naplánujte aktualizace systému BIOS před aktualizací systému Windows 25H2 pomocí seznamu zařízení Dell v článku Vypršení platnosti certifikátu zabezpečeného spouštění Microsoft 2011.
  • Pokud dáváte přednost interní správě zařízení (spíše než prostřednictvím WU), můžou podniky už začít aktualizovat zařízení pomocí nových certifikačních autorit 2023, a to podle následujících pokynů: Zařízení se systémem Windows a aktualizacemi spravovanými oddělením IT .
  • Jakékoli problémy s aktualizací nahlaste společnosti Dell.
• Jak zákazník pozná, že má certifikát 2011 nebo 2023?
  • Společnost Microsoft plánuje přidat do systému Windows oznámení pro koncové uživatele. Uživatelé mohou také spustit následující příkaz prostředí PowerShell a zjistit, zda mají certifikační autority 2011 nebo 2023 (metodologie bude součástí budoucího článku znalostní databáze).
• Jak zákazník pozná, že platnost jeho certifikátu vypršela nebo vyprší?
  • Počítače s kterýmkoli ze tří certifikátů (CA), jejichž platnost vyprší v roce 2026:

    Certifikační autority 2011	Datum vypršení platnosti
    Microsoft Corporation KEK CA 2011	24. června 2026
    Microsoft Windows Production PCA 2011	19. října 2026
    Microsoft Corporation UEFI CA 2011	27. června 2026

• Pokud má zákazník certifikát 2023, musí jednat?
  • Ne. Pokud jsou k dispozici certifikáty Windows UEFI CA 2023 a Microsoft Corporation KEK 2K CA 2023, není vyžadována žádná další akce.
• Může zákazník přejít na certifikát 2023, pokud jeho zařízení používají systém Windows 10 a mají nebo se chystají provést rozšířené aktualizace zabezpečení (ESU)?
  • Ano, společnost Microsoft aktualizuje aktivní certifikáty pro zařízení se systémem Windows 11 v terénu a aktualizuje zařízení se systémem Windows 10, pokud zařízení:
    • Používá systém Windows LTSC 2021
    • Má aktivovanou licenci ESU

Zpět na začátek

Dopad a obnovení:

• Jaký má dopad certifikát s vypršenou platností?
  • Po vypršení platnosti certifikátů zabezpečeného spouštění (od června 2026) se počítače nadále spouštějí (se zapnutou funkcí zabezpečeného spouštění). Počítač však již nedostává aktualizace pro komponenty Windows Boot Manager a Secure Boot pomocí služby Windows Update, čímž se tyto komponenty dostanou do stavu prolomeného zabezpečení.
• Co se stane, když je v zařízení zakázáno nebo přepnuto zabezpečené spouštění?
  • V některých případech může zakázání zabezpečeného spouštění vymazat všechny aktivní proměnné UEFI, což znamená, že všechny certifikační autority 2023, které se již na zařízení používají, mohou být vymazány (a později nahrazeny staršími certifikačními autoritami 2011 z výchozího firmwaru, pokud nebyl nikdy aktualizován). Na zařízeních Dell k tomu dochází, když uživatel vybere v nabídce systému BIOS možnost Expert Key Mode. V tomto případě se aktivní proměnné načtou z výchozího firmwaru.
    Poznámka: Pokud je na zařízení povolený nástroj BitLocker, můžete být vyzváni k zadání obnovovacího klíče nástroje BitLocker.
• Jaké nástroje jsou k dispozici pro obnovení?
  • Společnost Microsoft vydala nástroj pro ruční obnovení, ale má určitá omezení. Automatizované nástroje pro pomoc zákazníkům se stále vyvíjejí.

Zpět na začátek

Náklady a doba trvání:

• Jsou s novými certifikáty spojeny nějaké náklady?
  • Za získání certifikátů 2023 pomocí služby Windows Update se neúčtují žádné přímé náklady a certifikační autority 2023 jsou již k dispozici zdarma na webu Pokyny pro vytváření a správu klíče zabezpečeného spouštění systému Windows . Aktualizace systému BIOS pro zařízení mimo provoz však mohou vyžadovat ruční zásah nebo zapojení služby, což může v závislosti na smlouvách o podpoře vést k nákladům.
• Jak dlouho trvá platnost nového certifikátu?
  • Certifikáty 2023 jsou platné po dobu 15 let (2038).

Zpět na začátek