Jak to zrobić, Aktualności

Termin wygaśnięcia wsparcia dla Twojego Windows upływa w czerwcu 2026 roku

autor: Stefan Dasic | 28 maja 2026 r.
Windows laptopie

Aktualizacja certyfikatów funkcji Secure Boot jest stopniowo wdrażana na obsługiwanych Windows za pośrednictwem Windows . W czerwcu 2026 r. certyfikaty funkcji Secure Boot, które są dostarczane wraz z Windows 2011 r., zaczną tracić ważność, a firma Microsoft zastępuje je nowymi certyfikatami z datą 2023 r.

Dobra wiadomość: jeśli na bieżąco aktualizujesz swój komputer, prawdopodobnie nie będziesz musiał nic robić. Zła wiadomość: niektóre starsze urządzenia mogą nie przejść tej zmiany bez problemów. Twój komputer nie przestanie nagle działać, ale z czasem może stracić ważne zabezpieczenia na poziomie uruchamiania, a Ty nawet tego nie zauważysz.

Oto, co się dzieje, dlaczego ma to znaczenie i jak sprawdzić, czy Twój komputer dotrzymał terminu.

Czym jest funkcja Secure Boot i co wkrótce przestanie działać?

Funkcja Secure Boot to element oprogramowania układowego UEFI wbudowany praktycznie w każdy komputer sprzedawany od około 2012 roku. Uruchamia się ona Windows przed rozpoczęciem ładowania Windows , a jej zadaniem jest sprawdzenie, czy program rozruchowy oraz wczesne komponenty rozruchowe zostały podpisane przez zaufaną stronę. Jeśli do łańcucha rozruchowego próbuje wtrącić się element, który nie znajduje się na liście zaufanych podmiotów – na przykład bootkit – funkcja Secure Boot blokuje jego uruchomienie.

Jak działa funkcja Secure Boot

Kluczową kwestią jest tu pojęcie „zaufanej strony”. Zaufanie budowane jest dzięki certyfikatom kryptograficznym wbudowanym w oprogramowanie układowe płyty głównej. Obecne certyfikaty zostały wydane w 2011 roku i wkrótce wygasną. Chodzi tu o trzy konkretne certyfikaty:

  • Microsoft Corporation KEK CA 2011: ważny do 24 czerwca 2026 r.
  • Microsoft UEFI CA 2011: wygasa 27 czerwca 2026 r.
  • Microsoft Windows PCA 2011: ważność upływa 19 października 2026 r.

Microsoft zastępuje je zestawem certyfikatów z datą ważności w 2023 r., w tym certyfikatami Windows CA 2023” i „Microsoft Corporation KEK 2K CA 2023”. Jak poinformowali inżynierowie Microsoftu podczas sesji AMA w marcu 2026 r., nowe certyfikaty będą ważne do 2038 r., a na przyszły sprzęt planowane jest osobne przejście na kryptografię postkwantową około 2030 r.

„Czy mój komputer przestanie działać?”

Nie. To najważniejsza rzecz, którą trzeba zrozumieć, ponieważ plotki zagłuszają fakty.

Jeśli minie termin, a Twój komputer nadal będzie korzystał z certyfikatów z 2011 roku, Windows nadal Windows uruchomi, Windows będzie nadal działać, a komputer będzie funkcjonował normalnie.

Zmiana polega na tym, że – jak podaje sama firma Microsoft – urządzenie „nie będzie już mogło otrzymywać nowych zabezpieczeń” dotyczących wczesnego etapu uruchamiania, w tym aktualizacji menedżera Windows , baz danych funkcji Secure Boot, list unieważnionych certyfikatów oraz środków zaradczych dotyczących nowo wykrytych luk w zabezpieczeniach na poziomie rozruchu.

Mówiąc wprost: z upływem czasu coraz trudniej jest zapewnić ochronę komputera. Jest on zabezpieczony przed znanymi obecnie zagrożeniami pojawiającymi się podczas uruchamiania systemu, ale niekoniecznie przed tymi, które zostaną wykryte w przyszłym miesiącu lub w przyszłym roku.

To stanowi problem, ponieważ bootkity działają na poziomie Windows oprogramowania antywirusowego. Uruchamiają się przed wszystkimi innymi programami i mogą wyłączyć narzędzia zabezpieczające, które w normalnych warunkach wykryłyby je.

Problem z BlackLotus

Jeśli szukasz konkretnego przykładu, dlaczego bezpieczeństwo na poziomie rozruchu ma znaczenie, przyjrzyj się BlackLotus.

BlackLotus to bootkit UEFI, który pojawił się na forach hakerskich w 2022 roku, a na początku 2023 roku badacze potwierdzili jego obecność w środowisku naturalnym. Wykorzystywał on lukę CVE-2022-21894, nazwaną „Baton Drop”, aby ominąć zabezpieczenie Secure Boot w Windows z zainstalowanymi wszystkimi aktualizacjami. Po zainstalowaniu mógł wyłączyć funkcje BitLocker, Hypervisor-Protected Code Integrity (HVCI) oraz Microsoft Defender, zanim Windows został Windows załadowany.

Firma Microsoft usunęła podstawową lukę opisaną wCVE-2023-24932, jednak bezpieczne naprawienie podatnych na ataki menedżerów rozruchu jest skomplikowane. Wyłączenie niewłaściwych komponentów rozruchowych może spowodować, że systemy nie będą się uruchamiać, dlatego też firma Microsoft wdrażała zabezpieczenia stopniowo, na przestrzeni kilku lat.

Wymiana certyfikatów w 2026 r. to zaplanowane działanie w ramach cyklu życia produktu (certyfikaty z 2011 r. i tak miały wygasnąć), ale umożliwia ona również szersze wzmocnienie zabezpieczeń funkcji Secure Boot, które firma Microsoft wprowadza w odpowiedzi na podatność menedżerów rozruchu oraz ataki takie jak BlackLotus.

Dzięki wdrożeniu nowych punktów odniesienia zaufania firma Microsoft może nadal wprowadzać nowsze komponenty rozruchowe podpisane na rok 2023 oraz bezpiecznie wycofywać te podatne na zagrożenia w miarę pojawiania się nowych zagrożeń. Urządzenia, które nie dokonają tej zmiany, mogą w przyszłości stracić dostęp do tych zabezpieczeń.

Jak przebiega wdrażanie

Firma Microsoft stosuje stopniowe wdrażanie, które ma na celu uniknięcie awarii systemów.

Zaplanowane Windows uruchamia się mniej więcej co 12 godzin i instaluje aktualizację etapami:

  1. Dodaj nowy certyfikatWindows CA 2023do bazy danych podpisów oprogramowania układowego.
  2. Jeśli stary certyfikat zewnętrzny z 2011 roku nadal istnieje, dodaj obok niego certyfikatyMicrosoft UEFI CA 2023orazMicrosoft Option ROM UEFI CA 2023.
  3. Dodaj nowy kluczKEK 2K CA 2023 firmy Microsoft Corporation.
  4. Zaktualizuj menedżera Windows , używając wersji podpisanej nowym certyfikatem. Wykonanie tego kroku zostanie odłożone do następnego naturalnego restartu systemu.

Zgodnie z wytycznymi firmy Microsoft dla specjalistów IT cały proces trwa około 48 godzin i wymaga co najmniej jednego ponownego uruchomienia. Każdy etap musi zakończyć się powodzeniem, zanim rozpocznie się kolejny, więc urządzenie może na chwilę zatrzymać się w trakcie sekwencji, jeśli (na przykład) czeka na aktualizację oprogramowania sprzętowego lub zaplanowane ponowne uruchomienie.

W przypadku większości użytkowników domowych proces ten przebiega w tle, w sposób niewidoczny, w ramach zwykłych aktualizacji zbiorczych.

Począwszy od Windows z kwietnia 2026 r., aplikacja Windows zawiera zaktualizowane informacje o stanie funkcji Secure Boot w sekcji „Zabezpieczenia urządzenia”, które pokazują, czy nowe certyfikaty zostały pomyślnie wdrożone.

Ustawienia bezpiecznego rozruchu

Co może pójść nie tak

Większość systemów przejdzie na nowy system bez problemów, ale istnieją pewne znane słabe punkty:

  • Starsze komputery z nieaktualnym oprogramowaniem układowym.Niektóre starsze wersje oprogramowania układowego UEFI nie obsługują prawidłowo nowych certyfikatów. W przypadku tych systemów przed zakończeniem procesu przejścia może być konieczna aktualizacja systemu BIOS lub oprogramowania układowego od producenta.
  • Komputery, które nie spełniały wymagań Windows .Jeśli w celu zainstalowania Windows przy użyciu nieoficjalnych metod obejścia wyłączono funkcję Secure Boot, nowe certyfikaty nie mogą zostać poprawnie zastosowane.
  • Systemy z tradycyjnym BIOS-em / modułem CSM.Urządzenia z tradycyjnym BIOS-em (lub UEFI z włączonym modułem CSM) w ogóle nie korzystają z funkcji Secure Boot, więc całkowicie nie są objęte tą aktualizacją.
  • Niestandardowe oprogramowanie układowe i nietypowe konfiguracje.Niektóre niestandardowe lub nietypowe konfiguracje oprogramowania układowego mogą spowodować wyświetlenie monitu o odzyskanie danych w usłudze BitLocker po zmianie ustawień funkcji Secure Boot. Firma Microsoft wyraźnie zaznacza, że sama usługa BitLockerniejest wyłączana, jednak na wszelki wypadek użytkownicy powinni mieć pod ręką swoje klucze odzyskiwania.

Windows poinformował, że podczas testów odnotowano niepowodzenia aktualizacji na tysiącach komputerów z nieaktualnym oprogramowaniem układowym. W swoich wytycznych firma Microsoft ostrzega, że ograniczenia związane z oprogramowaniem układowym, platformą i producentem sprzętu mogą uniemożliwić przeprowadzenie aktualizacji. W wielu przypadkach Windows oznaczy dotknięte tym problemem systemy żółtymi lub czerwonymi ostrzeżeniami o stanie.

Co powinni zrobić użytkownicy domowi

Dla większości ludzi rada jest prosta:

  • Dbaj o to, by Windows był Windows zaktualizowany.Firma Microsoft wprowadza nowe certyfikaty w ramach standardowych Windows , a większość użytkowników domowych nie musi podejmować żadnych dodatkowych działań poza instalowaniem comiesięcznych aktualizacji.
  • Sprawdź stan funkcji Secure Boot (zwróć uwagę na tekst, a nie tylko na kolor).Otwórz oknoWindows >„Zabezpieczenia urządzenia” >„Secure Boot”. Zielona ikona z napisem„Funkcja Secure Boot jest włączona, co zapobiega ładowaniu złośliwego oprogramowania podczas uruchamiania urządzenia”oznacza, że wszystko jest w porządku. Firma Microsoft ostrzega, że sam zielony znacznik nie potwierdza, że nowe certyfikaty zostały zastosowane.
  • Jeśli Twoje urządzenie jest starszego typu, sprawdź, czy producent udostępnia aktualizację systemu BIOS lub oprogramowania układowego.Niektóre systemy wymagają ich zainstalowania, aby aktualizacja funkcji Secure Boot mogła przebiec prawidłowo. Jest to szczególnie ważne w przypadku komputerów PC wyprodukowanych przed 2024 r.
  • Nie wyłączaj funkcji Secure Boot w celu „naprawienia” jakiejś usterki.Wyłączenie tej funkcji jest całkowicie niewłaściwym rozwiązaniem – powoduje to całkowite usunięcie zabezpieczenia zamiast jego aktualizacji. Niektóre systemy antycheatowe w grach oraz starsze aplikacje proszą użytkowników o wykonanie tej czynności.
  • Nie przejmuj się nowym folderem SecureBoot. Aktualizacja zbiorcza Windows z maja 2026 r. (KB5089549) tworzy folder w C:\Windows\SecureBoot zawierający przykładowe skrypty PowerShell przeznaczone dla administratorów IT. Nie jest to złośliwe oprogramowanie, jest to zgodne z oczekiwaniami i nie trzeba go usuwać.
  • Korzystaj z aktualnej ochrony antywirusowej działającej w czasie rzeczywistym, która wykrywa zagrożenia na poziomie systemu operacyjnego, nawet jeśli jakieś z nich zdoła ominąć zabezpieczenia Secure Boot.

Co powinny zrobić zespoły IT

Jeśli zarządzasz flotą, firma Microsoft opublikowałaobszerne wytyczne, a zadanie to jest bardziej skomplikowane. W skrócie:

  • Sprawdź teraz, jakie urządzenia posiadasz. Pobierz informacje o producencie, modelu, wersji systemu BIOS i dacie, płycie głównej oraz stanie funkcji Secure Boot dla całej floty. Firma Microsoft udostępnia przykładowy skrypt PowerShell pod adresem aka.ms/GetSecureBoot która wyświetla odpowiednie klucze rejestru i identyfikatory zdarzeń.
  • Należy zwrócić uwagę na identyfikatory zdarzeń 1801 i 1808.Identyfikator zdarzenia 1808 potwierdza, że nowe certyfikaty zostały zainstalowane. Identyfikator zdarzenia 1801 oznacza, że urządzenie nie zakończyło aktualizacji.
  • Przeprowadź testy przed powszechnym wdrożeniem.Firma Microsoft zaleca przetestowanie co najmniej czterech urządzeń dla każdej unikalnej kombinacji producenta, modelu i oprogramowania układowego. Niektóre systemy mogą wymagać aktualizacji oprogramowania układowego od producenta OEM, zanim będą mogły zaakceptować nowe certyfikaty.
  • Wybierz jedną metodę wdrażania na każde urządzenie.Możesz skorzystać z kluczy rejestru, zasad grupy, narzędzi wiersza poleceń WinCS lub skryptów Intune/ConfigMgr, ale nie należy łączyć różnych metod na tym samym komputerze.
  • Zwróć uwagę na tworzenie obrazów PXE oraz Hyper-V. Serwery PXE SCCM/MECM mogą wymagać ponownego podpisania boot.wim, a hosty Hyper-V mogą wymagać aktualizacji przed utworzeniem nowych maszyn wirtualnych z kluczem KEK 2023 w szablonie oprogramowania układowego.
  • Należy sporządzić wykaz urządzeń, których nie da się zaktualizować.Starszy sprzęt, dla którego producenci nie zapewniają już wsparcia w zakresie oprogramowania układowego, może wymagać wymiany przed upływem terminu lub formalnego uznania za wyjątek wraz z wprowadzeniem środków kompensacyjnych. Urządzenia te będą nadal działać, ale mogą nie być objęte przyszłymi zabezpieczeniami na poziomie rozruchu.

Podsumowując

To jedno z tych zdarzeń związanych z bezpieczeństwem, które 24 czerwca 2026 r. nie spowoduje żadnego poważnego incydentu. Tego dnia nie dojdzie do żadnych widocznych awarii.

Ryzyko wiąże się z tym, co wydarzy się w kolejnych miesiącach i latach. Urządzenia, które nie zdołają przejść na nowy łańcuch zaufania, mogą stopniowo tracić ochronę na poziomie rozruchu, ponieważ firma Microsoft nieustannie reaguje na zagrożenia takie jak BlackLotus i inne bootkity.

W przypadku większości użytkowników domowych Windows zajmie się tym procesem automatycznie. Twoim głównym zadaniem jest dbanie o aktualność systemu oraz sprawdzenie stanu funkcji Secure Boot przed upływem wyznaczonych terminów.

Jeśli posiadasz starszy sprzęt, to właśnie teraz warto sprawdzić, czy producent nadal udostępnia aktualizacje oprogramowania układowego – oraz czy Twój komputer jest gotowy na kolejną dekadę zabezpieczeń związanych z funkcją Secure Boot.

Nagroda „Wybór redakcji” serwisu CNET 2026

„Jeden z najlepszych pakietów zabezpieczeń cybernetycznych na świecie”. 

Według serwisu CNET.Przeczytaj ich recenzję

O autorze

Stefan Dasic

Stefan Dasic

Pasjonat rozwiązań antywirusowych, Stefan od najmłodszych lat zajmuje się testowaniem złośliwego oprogramowania i kontrolą jakości produktów AV. Jako członek zespołu Malwarebytes , Stefan jest oddany ochronie klientów i zapewnianiu im bezpieczeństwa.

NAJNOWSZE ARTYKUŁY

Naruszenia danych
kobieta i statek wycieczkowy

Firma Carnival potwierdza wyciek danych, który dotknął prawie 6 milionów osób

May 28, 2026

Gigant branży rejsowej, firma Carnival, padła ofiarą kolejnego wycieku danych; grupa ShinyHunters twierdzi, że wykradła dane osobowe prawie 6 milionów osób.

AI
Informacje o zagrożeniach: Zagrożenia ukryte pod powierzchnią

Fałszywa strona do pobierania ChatGPT infekuje Mac Windows Mac złośliwym oprogramowaniem

May 28, 2026

Szukasz ChatGPT? Ta fałszywa strona z plikami do pobrania rozsyła złośliwe oprogramowanie zarówno do Mac Windows Mac , wykorzystując oddzielne ładunki dostosowane do każdej z platform.

Aktualności
phishing na dużą skalę

Zestaw phishingowy Kali365 omija uwierzytelnianie wieloskładnikowe (MFA) i kradnie dane logowania do usług Microsoftu

May 27, 2026

FBI ostrzegło, że cyberprzestępcy wykorzystują nowy zestaw narzędzi phishingowych, aby uzyskać długotrwały dostęp do kont Microsoft Outlook, Teams i OneDrive.

Powiązane artykuły

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa