W skrócie
Microsoft odświeża klucze Secure Boot w systemach Windows 11 i Windows 10, a lutowe poprawki 2026 roku są kluczowe, aby zachować pełną ochronę przy starcie systemu. Po wygaśnięciu starych certyfikatów w czerwcu 2026 urządzenia bez nowych kluczy nie przestaną się uruchamiać, ale utracą możliwość otrzymywania kolejnych zabezpieczeń dla początkowego procesu rozruchu. To szczególnie ważne w kontekście zagrożeń typu BootKit, które atakują komputer zanim włączy się antywirus.
O co chodzi z nową aktualizacją Windows?
Microsoft wprowadził w lutym 2026 specjalne poprawki bezpieczeństwa dla Windows 11 i Windows 10, powiązane z mechanizmem Secure Boot. Chodzi o odnowienie cyfrowych certyfikatów, na których opiera się zaufanie do procesu rozruchu – czyli momentu, gdy komputer startuje jeszcze przed załadowaniem systemu operacyjnego. Aktualne klucze mają niemal 15 lat i wygasną w czerwcu 2026, dlatego firma przygotowała przejściowy proces ich wymiany.
Konkretnie mowa o aktualizacjach takich jak KB5077181 dla Windows 11 oraz KB5075912 dla Windows 10, dystrybuowanych w ramach standardowego cyklu Patch Tuesday. Na pierwszy rzut oka wyglądają jak zwykłe poprawki systemu, ale ich rola jest dużo poważniejsza – dotyczą fundamentu zaufania między firmware, bootloaderem a systemem operacyjnym. Ogólne informacje o Secure Boot i bezpieczeństwie startu Windows znajdziesz na oficjalnej stronie Microsoft.
Czym jest Secure Boot i dlaczego klucze są tak ważne?
Secure Boot to funkcja oprogramowania UEFI, która pozwala uruchomić tylko taki kod startowy, który jest podpisany zaufanym certyfikatem. W praktyce oznacza to, że firmware płyty głównej sprawdza podpis menedżera rozruchu Windows i innych komponentów, zanim dopuści je do wykonania. Jeśli podpis się nie zgadza lub pochodzi z nieznanego źródła, start zostanie zablokowany.
Certyfikaty i klucze wykorzystywane przez Secure Boot mają określony czas ważności – po stronie Microsoftu to m.in. klucze z 2011 roku, które dziś zbliżają się do końca życia. Dlatego firma aktualizuje bazę zaufanych elementów, w tym wpisy związane z Windows Boot Manager, bazą danych Secure Boot oraz listami odwołań (revocation lists). Szczegółowe FAQ na temat procesu aktualizacji Secure Boot Microsoft publikuje w swoim centrum wsparcia, dostępnym po angielsku w serwisie support.microsoft.com.
Co się stanie, jeśli zignorujesz tę aktualizację?
Microsoft wprost wyjaśnia, że urządzenia, które nie otrzymają nowych certyfikatów Secure Boot, nadal będą się uruchamiać i otrzymywać zwykłe aktualizacje Windows. Problem zaczyna się jednak na poziomie początkowego procesu rozruchu: takie komputery nie będą mogły korzystać z nowych ulepszeń zabezpieczeń dla etapu startu.
Według przywróconego fragmentu FAQ skutki są następujące:
- brak możliwości instalowania przyszłych aktualizacji Windows Boot Manager,
- brak aktualizacji bazy danych Secure Boot i list odwołań,
- brak nowych „środków zaradczych” dla świeżo odkrytych luk w bezpieczeństwie rozruchu.
System „z zewnątrz” będzie wyglądał na aktualny, ale jego najniższa warstwa ochrony – ta działająca przed startem Windows – przestanie być rozwijana. To sytuacja idealna dla ataków, które celują w firmware i bootloader.
BootKit – malware, które wchodzi „pod” Windows
Szczególnym zagrożeniem w tym kontekście jest złośliwe oprogramowanie typu BootKit. Tego typu malware infekuje komponenty ładowane przed systemem operacyjnym, dzięki czemu może przejąć bardzo wczesną kontrolę nad komputerem. W wielu przypadkach działa poniżej poziomu klasycznego antywirusa, który startuje dopiero, gdy Windows jest już załadowany.
Brak aktualnych kluczy Secure Boot i nowych list odwołań otwiera furtkę dla bootkitów oraz innych ataków niskopoziomowych. Co gorsza, taki malware może wpływać także na narzędzia szyfrowania, np. BitLocker, ingerując w proces weryfikacji integralności systemu. Microsoft podkreśla, że urządzenie, które nie otrzyma nowych kluczy z 2023 roku, może stopniowo tracić zaufanie do Windows Boot Manager, co uderza w cały łańcuch bezpieczeństwa rozruchu.
Harmonogram zmian: od 2024 do czerwca 2026
Proces przechodzenia na nowe klucze Secure Boot rozpoczął się w 2024 roku i zaplanowany jest jako kilkuletnia migracja. Jej formalnym końcem ma być czerwiec 2026, kiedy stare certyfikaty definitywnie wygasną. Do tego momentu:
- Microsoft dostarcza aktualizacje kluczy w ramach Windows Update (np. KB5077181, KB5075912),
- producenci sprzętu (OEM) udostępniają własne aktualizacje firmware/UEFI,
- administratorzy i użytkownicy mają czas, by upewnić się, że wszystkie używane urządzenia przeszły proces aktualizacji.
Po czerwcu 2026 system nadal wystartuje na niektórych starszych kluczach, ale nie będzie już otrzymywał nowych zabezpieczeń dla rozruchu, co czyni go bardziej podatnym na ataki przyszłych generacji. To nie jest więc zwykła „łatka kosmetyczna”, a strukturalna zmiana fundamentów bezpieczeństwa Windows.
Co powinien zrobić zwykły użytkownik?
Dla większości osób najważniejsze są trzy proste kroki:
- Regularnie instaluj aktualizacje Windows – zwłaszcza zbiorcze poprawki z lutego 2026 i późniejsze, dostarczane w ramach Patch Tuesday.
- Sprawdź aktualizacje oprogramowania sprzętowego (BIOS/UEFI) na stronie producenta komputera lub płyty głównej – często zawierają one zmiany powiązane z Secure Boot.
- Nie wyłączaj Secure Boot bez potrzeby – w nowych komputerach z Windows 10/11 ta funkcja powinna pozostać aktywna, jeśli nie masz konkretnego powodu, by ją dezaktywować.
Instrukcje dotyczące Windows Update, Secure Boot czy BitLocker Microsoft udostępnia w polskich poradnikach na oficjalnej stronie pomocy Windows. W przypadku sprzętu firmowego warto też skonsultować się z działem IT, który odpowiada za politykę aktualizacji i konfigurację firmware’u.
Podsumowanie
Zmiany w kluczach Secure Boot to jedna z tych aktualizacji, które łatwo przeoczyć, bo nie wpływają na wygląd systemu, ale mają ogromne znaczenie dla bezpieczeństwa całej platformy. Ignorowanie lutowych poprawek 2026 roku nie zablokuje uruchamiania Windows, ale w praktyce zamrozi rozwój zabezpieczeń rozruchu, zwiększając podatność na zaawansowane ataki typu BootKit.
Z perspektywy użytkownika to aktualizacja, której lepiej nie odkładać – szczególnie jeśli trzymasz ważne dane na dyskach szyfrowanych BitLockerem lub używasz komputera do pracy z wrażliwymi informacjami. W praktyce wystarczy dbać o regularne aktualizacje Windows i firmware, aby pozostać „po właściwej stronie” tej zmiany i utrzymać pełne wsparcie dla nowych mechanizmów ochrony startu systemu.
