Týka sa aj vášho počítača. Windows čaká historická bezpečnostná operácia

Autor: Peter Hodal Čítanie na 5 min.

Microsoft odštartoval jednu z najväčších bezpečnostných zmien v histórii moderného ekosystému Windows. Týka sa technológie Secure Boot, teda mechanizmu, ktorý chráni počítač ešte pred samotným načítaním operačného systému.

Hoci si väčšina používateľov nič nevšimne a ich zariadenia budú naďalej fungovať bez viditeľných problémov, v zákulisí prebieha rozsiahla výmena bezpečnostných certifikátov, na ktorých stojí dôvera celej štartovacej infraštruktúry Windowsu. O téme píše applixure.

Dôvodom je blížiaca sa expirácia pôvodných Secure Boot certifikátov z roku 2011, ktoré začnú strácať platnosť už v júni 2026. Microsoft preto spolu s výrobcami hardvéru pripravuje generačný prechod na nové certifikáty generácie 2023, ktoré majú zabezpečiť kompatibilitu budúcich verzií Windowsu, moderného firmvéru a nových bezpečnostných mechanizmov. Ide o proces, ktorý zasahuje prakticky celý počítačový ekosystém vrátane výrobcov základných dosiek, notebookov, serverov aj podnikových IT infraštruktúr.

Secure Boot chráni počítač ešte pred spustením Windowsu

Technológia Secure Boot funguje ako prvá obranná línia zariadenia, pričom sa aktivuje okamžite po zapnutí počítača a ešte pred načítaním Windowsu kontroluje, či sa spúšťa iba dôveryhodný a digitálne podpísaný softvér. Ak systém narazí na neznámy alebo upravený bootloader, škodlivý ovládač alebo podozrivý kód, jeho načítanie zablokuje ešte predtým, než sa operačný systém vôbec dostane k slovu.

expirácia secure boot
Zdroj: richardhicks

Práve vďaka tomu dokáže Secure Boot chrániť zariadenia pred pokročilými hrozbami, akými sú rootkity alebo kompromitované bootovacie komponenty, ktoré sa často dokážu ukryť hlboko v systéme a uniknúť klasickým bezpečnostným riešeniam. Celý proces stojí na takzvanom reťazci dôvery, ktorý využíva kryptografické certifikáty uložené priamo vo firmvéri UEFI. Medzi najdôležitejšie patria certifikáty Microsoft Corporation KEK CA 2011 a Microsoft UEFI CA 2011, ktoré dnes stále používajú milióny zariadení po celom svete, píše richardhicks.

Problémom je, že tieto certifikáty boli vytvorené ešte v období nástupu Windows 8 a po viac než 15 rokoch služby sa blížia ku koncu svojej životnosti. Microsoft preto pripravuje postupný prechod na novú generáciu certifikátov, ktorá má zabezpečiť, aby boli budúce bezpečnostné aktualizácie a ochrany bootovacieho procesu kompatibilné s modernými štandardmi kybernetickej bezpečnosti.

Secure boot
Zdroj: richardhicks

Počítače budú fungovať ďalej, no bezpečnostná ochrana začne zaostávať

Najväčším paradoxom celej situácie je fakt, že väčšina zariadení po expirácii pôvodných certifikátov neprestane fungovať. Počítače sa budú naďalej zapínať, Windows sa načíta a používatelia pravdepodobne nezaznamenajú žiadnu dramatickú zmenu. To však neznamená, že problém neexistuje. Naopak, odborníci upozorňujú, že práve neviditeľnosť celej situácie predstavuje najväčšie riziko.

Zariadenia, ktoré neprejdú na nové Secure Boot certifikáty, sa totiž postupne dostanú do takzvaného degradovaného bezpečnostného stavu. V praxi to znamená, že síce zostanú funkčné, no časom už nebudú schopné prijímať nové ochrany bootovacej vrstvy, aktualizácie revokačných databáz ani ďalšie bezpečnostné opatrenia, ktoré Microsoft plánuje zavádzať v budúcnosti. S pribúdajúcimi rokmi sa tak môžu stať zraniteľnejšími voči útokom zameraným práve na najnižšiu úroveň systému.

Windows
Zdroj: Unsplash

Microsoft zároveň upozorňuje, že niektoré staršie zariadenia môžu pred samotnou aktualizáciou Secure Boot certifikátov vyžadovať aj aktualizáciu UEFI firmvéru od výrobcu hardvéru. Práve preto firma spolupracuje s gigantmi ako Dell Technologies, HP či Lenovo, ktorí už začali pripravovať kompatibilné aktualizácie pre svoje zariadenia. Novšie počítače vyrobené od roku 2024 už často obsahujú nové certifikáty priamo z výroby, no milióny existujúcich zariadení vo firmách, školách a organizáciách budú musieť prejsť koordinovanou migráciou.

Firmy čaká jedna z najnáročnejších IT operácií posledných rokov

Hoci Microsoft začal nové Secure Boot certifikáty distribuovať prostredníctvom pravidelných Windows aktualizácií, v podnikových prostrediach ide o omnoho komplexnejší problém než obyčajný systémový update. IT administrátori musia presne vedieť, ktoré zariadenia už používajú nové certifikáty, ktoré stále fungujú na starom bezpečnostnom modeli a ktoré počítače môžu mať problém s kompatibilitou alebo podporou firmvéru.

Práve táto viditeľnosť sa dnes stáva najväčšou výzvou celej migrácie. Zariadenie totiž môže na prvý pohľad fungovať úplne normálne, no v skutočnosti už nemusí byť schopné prijímať budúce ochrany bootovacieho procesu. Bez dôkladného monitorovania tak môžu firmy veľmi ľahko prehliadnuť stroje, ktoré postupne vypadnú z moderného bezpečnostného štandardu.

Experti preto upozorňujú, že Secure Boot 2026 nie je len technická aktualizácia, ale zásadná generačná obmena samotných základov dôvery, na ktorých fungujú moderné počítače. Ide o proces, ktorý bude prebiehať postupne počas najbližších mesiacov a rokov, pričom jeho úspech bude závisieť od koordinácie Microsoftu, výrobcov hardvéru aj samotných organizácií.

✅ Odporúčané pre teba

🔥 Najnovšie príspevky zo skriptu

Zabudnite na čiernych elfov. Nový Pán prsteňov prelomí zaužívaný trend

Autor: Erik Košťany

Nový Pán prsteňov sa začal nakrúcať Akutálne padla na Novom Zélande prvá klapka pre film Pán prsteňov: Hon na Gluma.…

Ste u známeho operátora? Jeho televízne balíky zdražejú o desiatky percent

Autor: Kristína Sudorová

Obľúbený operátor zdraží televíziu Od septembra čaká zákazníkov operátora Satro výrazná zmena cien televíznej služby touchTV. Operátor oznámil, že od…

USA zverejnili najväčší balík spisov o UFO. Opisujú javy, ktoré dodnes nikto nevysvetlil

Autor: Peter Hodal

Americké ministerstvo obrany zverejnilo doteraz najrozsiahlejší balík utajovaných materiálov týkajúcich sa UFO, respektíve javov, ktoré vláda dnes označuje ako UAP…

Čo to skúšajú v DC? Nový Superman prinesenie návrat nečakanej postavy

Autor: Erik Košťany

Blue Beetle sa vráti v novom Supermanovi Minuloročný úspech filmu Superman podnietil štúdio, aby začalo rýchlo pracovať na pokračovaní. To…

Tento robotický vysávač robí všetko úplne inak. A je to geniálne!

Autor: Kristína Sudorová

Revolúcia v robotickom upratovaní Robotické vysávače sú dnes inteligentnejšie než kedykoľvek predtým a pre mnohých ľudí sú títo tichí sluhovia…

ChatGPT sa práve zmenilo na brutálnu superaplikáciu

Autor: Slavomír Dzuričko

OpenAI spája chat, AI agentov aj programovanie do jedného nástroja OpenAI urobilo jeden z najväčších krokov vo vývoji ChatGPT za…