Microsoft potvrzuje, že aktualizace certifikátů Secure Boot jsou na některých počítačích s Windows 11 blokovány
Microsoft přiznal, že aktualizace certifikátů Secure Boot na určitých počítačích s Windows 11 selhávají nebo jsou blokovány kvůli známým problémům. Společnost spolupracuje s výrobci počítačů na vývoji opravy, ale uživatelé mohou být nuceni podniknout kroky, pokud jsou certifikáty blokovány z jiných důvodů.
Podrobnosti o známých problémech
V aktualizovaném podpůrném dokumentu, který jako první zmínil Windows Latest, Microsoft odhalil, že pozastavil nasazení aktualizací Secure Boot na některých počítačích kvůli možným problémům. Na postižených zařízeních se nyní v aplikaci Windows Security zobrazuje podrobná chybová zpráva:

Uživatelům bylo dříve doporučeno kontaktovat výrobce zařízení, pokud byly jejich certifikáty Secure Boot zastaralé. Aplikace Windows Security nyní také poskytuje varování o nových problémech, které Microsoft identifikoval a které by mohly narušit aktualizace Secure Boot.
„Zařízení v této skupině jsou ovlivněna známým problémem. Aby se snížilo riziko, aktualizace certifikátů Secure Boot jsou dočasně pozastaveny, zatímco Microsoft a partneři pracují na podporovaném řešení,“ uvedla společnost.
Certifikáty Secure Boot vydané v roce 2011 nebo dříve vypršely a Microsoft pracuje na jejich nahrazení novými certifikáty vydanými v roce 2023. Zatímco oprávněné počítače by měly automaticky obdržet aktualizované certifikáty prostřednictvím Windows Update, tento proces není univerzální. Některá zařízení, i ta s podporovaným hardwarem, mohou čelit zpožděním kvůli problémům s konfigurací nebo kompatibilitou.
Problémy se starším hardwarem
Ed, zkušený novinář z Windows Latest, poznamenal, že starší počítače s Windows často trpí problémy s firmwarem, které je činí nepřipravenými na tyto aktualizace. Microsoft vysvětlil, že moderní hardware již používá certifikáty Secure Boot z roku 2023. U zařízení s vypnutým Secure Boot nebo vadným firmwarem však mohou být aktualizace problematické.
Chcete-li zkontrolovat stav Secure Boot, přejděte na Windows Security > Zabezpečení zařízení > Secure Boot. Pokud stav uvádí, že Secure Boot je povolen a certifikáty jsou aplikovány, není třeba podnikat žádné další kroky. Pokud však uvádí pouze „Secure Boot je zapnutý“ bez potvrzení stavu certifikátů, může být nutné další vyšetřování.

Problémy specifické pro OEM
HP nedávno potvrdilo, že aktualizace Secure Boot jsou na některých jeho počítačích neúmyslně blokovány. V podpůrném dokumentu HP uvedlo, že začalo nasazovat aktualizovaný BIOS, aby se připravilo na termín Secure Boot v červnu. Bohužel některé počítače narazily na problémy, například uvíznutí na obrazovce BitLockeru, což způsobilo selhání instalace certifikátů Secure Boot.
HP poznamenalo, že „certifikáty společnosti Microsoft z roku 2023 se nemusí správně aplikovat na počítač, pokud nastane tento problém s BitLockerem.“

Microsoft od té doby spolupracoval s výrobci OEM na identifikaci zařízení nebo konfigurací firmwaru, kde by aktualizace certifikátů Secure Boot mohly vést ke komplikacím. Postižená zařízení vyžadují aktualizaci firmwaru, ale protože není dosud dostupná, Microsoft dočasně zablokoval aktualizace Secure Boot, aby zmírnil rizika.
Proč některé počítače nedostávají certifikáty Secure Boot 2023
Podle Microsoftu většina počítačů již obdržela certifikáty Secure Boot prostřednictvím Windows Update. V některých případech však možné problémy s kompatibilitou brání systému Windows Update v doručení aktualizace Secure Boot 2023.
U starších zařízení může Windows uvádět, že Secure Boot je povolen, ale zároveň varovat, že zařízení nedostane aktualizaci certifikátů kvůli omezením hardwaru nebo firmwaru. Výrobci OEM často upřednostňují aktualizace firmwaru pro novější nebo oblíbenější modely, což některá zařízení ponechává nepodporovaná.

Microsoft doporučuje uživatelům zkontrolovat stránku podpory Secure Boot jejich výrobce OEM pro podrobnosti o aktualizacích firmwaru. Mnoho výrobců OEM, včetně HP, tiše aktualizovalo svou dokumentaci, aby uznalo problémy se Secure Boot a nedostatek potřebných aktualizací firmwaru pro starší modely.
Důležitost certifikátů Secure Boot 2023
Secure Boot je bezpečnostní funkce integrovaná do UEFI firmwaru počítače. Zajišťuje, že během procesu spuštění běží pouze ověřený software, čímž blokuje neoprávněné nebo škodlivé programy. Certifikáty Secure Boot z roku 2023 jsou zásadní pro zpracování aktualizací databáze Secure Boot DBX (Forbidden Signature Database), která identifikuje kompromitované nebo zranitelné bootloadery.

Microsoft zdůrazňuje, že uživatelé by neměli vypínat Secure Boot, i když nedostávají aktualizace, protože by to ohrozilo bezpečnost systému. Platnost vypršeného certifikátu Secure Boot okamžitě nečiní PC nefunkčním a dopad na většinu uživatelů je zanedbatelný. Aktualizované certifikáty jsou však nezbytné pro zajištění dlouhodobé bezpečnosti a kompatibility.
Závěr
Secure Boot zůstává klíčovou součástí bezpečnostní architektury Windows 11. Zatímco Microsoft pokračuje v řešení problémů s kompatibilitou s výrobci OEM, postižení uživatelé mohou sledovat stav svého zařízení prostřednictvím aplikace Windows Security a konzultovat podporu svého výrobce OEM pro další pomoc. Aktualizované certifikáty jsou nezbytné pro udržení bezpečného prostředí při spuštění, ale absence okamžitých aktualizací není pro většinu uživatelů katastrofickým problémem.

