Microsoft odštartoval jednu z najväčších bezpečnostných zmien v histórii moderného ekosystému Windows. Týka sa technológie Secure Boot, teda mechanizmu, ktorý chráni počítač ešte pred samotným načítaním operačného systému.
Hoci si väčšina používateľov nič nevšimne a ich zariadenia budú naďalej fungovať bez viditeľných problémov, v zákulisí prebieha rozsiahla výmena bezpečnostných certifikátov, na ktorých stojí dôvera celej štartovacej infraštruktúry Windowsu. O téme píše applixure.
Dôvodom je blížiaca sa expirácia pôvodných Secure Boot certifikátov z roku 2011, ktoré začnú strácať platnosť už v júni 2026. Microsoft preto spolu s výrobcami hardvéru pripravuje generačný prechod na nové certifikáty generácie 2023, ktoré majú zabezpečiť kompatibilitu budúcich verzií Windowsu, moderného firmvéru a nových bezpečnostných mechanizmov. Ide o proces, ktorý zasahuje prakticky celý počítačový ekosystém vrátane výrobcov základných dosiek, notebookov, serverov aj podnikových IT infraštruktúr.
Secure Boot chráni počítač ešte pred spustením Windowsu
Technológia Secure Boot funguje ako prvá obranná línia zariadenia, pričom sa aktivuje okamžite po zapnutí počítača a ešte pred načítaním Windowsu kontroluje, či sa spúšťa iba dôveryhodný a digitálne podpísaný softvér. Ak systém narazí na neznámy alebo upravený bootloader, škodlivý ovládač alebo podozrivý kód, jeho načítanie zablokuje ešte predtým, než sa operačný systém vôbec dostane k slovu.
Práve vďaka tomu dokáže Secure Boot chrániť zariadenia pred pokročilými hrozbami, akými sú rootkity alebo kompromitované bootovacie komponenty, ktoré sa často dokážu ukryť hlboko v systéme a uniknúť klasickým bezpečnostným riešeniam. Celý proces stojí na takzvanom reťazci dôvery, ktorý využíva kryptografické certifikáty uložené priamo vo firmvéri UEFI. Medzi najdôležitejšie patria certifikáty Microsoft Corporation KEK CA 2011 a Microsoft UEFI CA 2011, ktoré dnes stále používajú milióny zariadení po celom svete, píše richardhicks.
Problémom je, že tieto certifikáty boli vytvorené ešte v období nástupu Windows 8 a po viac než 15 rokoch služby sa blížia ku koncu svojej životnosti. Microsoft preto pripravuje postupný prechod na novú generáciu certifikátov, ktorá má zabezpečiť, aby boli budúce bezpečnostné aktualizácie a ochrany bootovacieho procesu kompatibilné s modernými štandardmi kybernetickej bezpečnosti.
Počítače budú fungovať ďalej, no bezpečnostná ochrana začne zaostávať
Najväčším paradoxom celej situácie je fakt, že väčšina zariadení po expirácii pôvodných certifikátov neprestane fungovať. Počítače sa budú naďalej zapínať, Windows sa načíta a používatelia pravdepodobne nezaznamenajú žiadnu dramatickú zmenu. To však neznamená, že problém neexistuje. Naopak, odborníci upozorňujú, že práve neviditeľnosť celej situácie predstavuje najväčšie riziko.
Zariadenia, ktoré neprejdú na nové Secure Boot certifikáty, sa totiž postupne dostanú do takzvaného degradovaného bezpečnostného stavu. V praxi to znamená, že síce zostanú funkčné, no časom už nebudú schopné prijímať nové ochrany bootovacej vrstvy, aktualizácie revokačných databáz ani ďalšie bezpečnostné opatrenia, ktoré Microsoft plánuje zavádzať v budúcnosti. S pribúdajúcimi rokmi sa tak môžu stať zraniteľnejšími voči útokom zameraným práve na najnižšiu úroveň systému.
Microsoft zároveň upozorňuje, že niektoré staršie zariadenia môžu pred samotnou aktualizáciou Secure Boot certifikátov vyžadovať aj aktualizáciu UEFI firmvéru od výrobcu hardvéru. Práve preto firma spolupracuje s gigantmi ako Dell Technologies, HP či Lenovo, ktorí už začali pripravovať kompatibilné aktualizácie pre svoje zariadenia. Novšie počítače vyrobené od roku 2024 už často obsahujú nové certifikáty priamo z výroby, no milióny existujúcich zariadení vo firmách, školách a organizáciách budú musieť prejsť koordinovanou migráciou.
Firmy čaká jedna z najnáročnejších IT operácií posledných rokov
Hoci Microsoft začal nové Secure Boot certifikáty distribuovať prostredníctvom pravidelných Windows aktualizácií, v podnikových prostrediach ide o omnoho komplexnejší problém než obyčajný systémový update. IT administrátori musia presne vedieť, ktoré zariadenia už používajú nové certifikáty, ktoré stále fungujú na starom bezpečnostnom modeli a ktoré počítače môžu mať problém s kompatibilitou alebo podporou firmvéru.
Práve táto viditeľnosť sa dnes stáva najväčšou výzvou celej migrácie. Zariadenie totiž môže na prvý pohľad fungovať úplne normálne, no v skutočnosti už nemusí byť schopné prijímať budúce ochrany bootovacieho procesu. Bez dôkladného monitorovania tak môžu firmy veľmi ľahko prehliadnuť stroje, ktoré postupne vypadnú z moderného bezpečnostného štandardu.
Experti preto upozorňujú, že Secure Boot 2026 nie je len technická aktualizácia, ale zásadná generačná obmena samotných základov dôvery, na ktorých fungujú moderné počítače. Ide o proces, ktorý bude prebiehať postupne počas najbližších mesiacov a rokov, pričom jeho úspech bude závisieť od koordinácie Microsoftu, výrobcov hardvéru aj samotných organizácií.
