A Secure Boot még 2011-ben lett bevezetve, és rendszerindításkor – még a Windows betöltése előtt – biztosítja, hogy csak megbízható, digitálisan aláírt kódok futhassanak le. végre. Ennek hála a rendszerindítás legkorábbi szakaszában blokkolja a nem megbízható kódokat, ami nagyban segít a nehezen észlelhető támadások kivédésében.
Az egész rendszer fejlesztés alapját az adott PC firmware-ében tárolt tanúsítvány adja, ami önmagában nagyszerű, de ezeknek a tanúsítványoknak van tervezett lejárati idejük, és ez 2026. június végén jön el. Ez bevett iparági gyakorlat, ugyanis a tanúsítványokat és kulcsokat időszakos frissítés mellett állítják ki, hogy időnként ezeket kivezessék, a helyükre pedig újakat vezessenek be, ami segít elkerülni azt, hogy az elöregedett hitelesítési adatok gyenge ponttá váljanak.
A Microsoft most bejelentette, hogy idén a partnereikkel karöltve biztosítani fogják az új tanúsítványokat, így garantálva a Secure Boot nyújtotta biztonságot. Az egész folyamat ugyanakkor nem feltétlenül lesz egységes, vagyis az egyes PC-k fokozatosan kapják majd meg a frissítést, és ezzel kapcsolatban több lehetőségük is lesz az ügyfeleknek.
Azok az otthoni és vállalati felhasználók, akik engedélyezik azt, hogy a Microsoft kezelje a frissítéseket, az új tanúsítványok automatikusan megkapják a havi frissítések részeként, vagyis külön teendőt nem igényel majd a változás. Az eszközök egy részénél ugyanakkor szükség lehet az UEFI firmware különálló frissítésére, és ezzel kapcsolatban az adott eszköz gyártójától kell érdeklődni. Ezután a Windows Update által szállított új tanúsítvány alkalmazható lesz. Lényegében minden egyes Secure Bootot alkalmazó PC esetében szükségessé válik idén a BIOS frissítése. Annak érdekében, hogy a felhasználók könnyen nyomon követhessék a folyamatot, a Windows Security alkalmazás hamarosan értesítéseket jelenít majd meg a tanúsítványfrissítés állapotáról.
A fentiekkel kapcsolatban jó hír, hogy számos 2024 óta gyártott PC, valamint szinte az összes 2025-ben szállított eszköz már tartalmazza az új tanúsítványokat, így ezeknél biztosan nem lesz szükség felhasználói beavatkozásra.
Megjegyzendő az is, hogy vállalati környezetben nem feltétlenül biztosítható elegendő diagnosztikai adat a Microsoft számára, de ilyenkor az adott cégen belül az IT-részleg manuálisan megtervezheti a frissítési folyamatot.
Felmerülhet a kérdés, hogy mi történik a tanúsítványok lejártakor, ha azok frissítését valamiért az ügyfél nem végzi el. Ilyenkor az adott eszköz úgynevezett „csökkentett biztonsági állapotba” kerül, és ez korlátozza a jövőbeni rendszerindítási védelmek elérhetőségét. Ez effektíve annyit jelent, hogy az új boot-szintű sérülékenységek felfedezésekor a nem frissített rendszerek nem tudják majd telepíteni az új védelmi megoldásokat. Ezen túlmenően idővel kompatibilitási problémák is jelentkezhetnek, vagyis előfordulhat, hogy az új operációs rendszerek, firmware-ek, hardverek, vagy Secure Boottól függő szoftverek nem fognak betölteni.
A Microsoft kiemeli, hogy azok a PC-k, amelyek nem kapnak Windows frissítéseket, az új tanúsítványokhoz sem juthatnak hozzá. Emiatt a vállalat azt javasolja, hogy mindenki telepítsen olyan Windows verziót, amelyre még van aktív terméktámogatás. Ebbe egyébként az Extended Security Updates programban részt vevő opciók is beletartoznak, vagyis megfelelő beállításokkal a Windows 10 is.
