W skrócie
Microsoft rozbudował aktualizację KB5089549 dla Windows 11 o gotowe skrypty PowerShell do zarządzania certyfikatami Bezpiecznego Rozruchu (Secure Boot). Nowe narzędzia, ukryte w folderze C:\Windows\SecureBoot, mają ułatwić administratorom automatyzację wdrażania krytycznych certyfikatów przed ich wygaśnięciem w 2026 roku. Użytkownicy domowi mogą skorzystać z wbudowanego wskaźnika w aplikacji Bezpieczeństwo Windows, aby sprawdzić status swojego systemu.
Microsoft w pośpiechu dodaje skrypty – dlaczego o tym nie powiedział?
Firma z Redmond wprowadza zmiany w aktualizacji KB5089549 w dość nietypowy sposób. Po kilku tygodniach problemów z instalacją i spowolnieniami połączenia internetowego na niektórych komputerach Microsoft dodał istotne uzupełnienie, które początkowo nie zostało wymienione w oficjalnej dokumentacji wydania.
Chodzi o nowy katalog SecureBoot, który pojawia się automatycznie w ścieżce C:\Windows po zainstalowaniu najnowszej wersji łatki. Dopiero po czasie gigant z Redmond zaktualizował opis aktualizacji, zaznaczając: „Ta aktualizacja dodaje nowy folder SecureBoot do C:\Windows na obsługiwanych urządzeniach”. Dziwne, że tak kluczowy element pozostał bez komentarza już na starcie.
Wewnątrz nowego katalogu znajduje się podfolder ExampleRolloutScripts, w którym tkwi najciekawsza część całej historii.
Gotowe skrypty PowerShell – pomoc dla administratorów IT
Microsoft przygotował pakiet siedmiu skryptów PowerShell, podzielonych na dwie fazy wdrażania. Pierwsza faza obejmuje wykrywanie stanu urządzeń i monitorowanie, druga dotyczy faktycznego wdrażania nowych certyfikatów.
Oto pełna lista udostępnionych narzędzi:
- Detect-SecureBootCertUpdateStatus.ps1 – zbiera informacje o stanie urządzenia i statusie certyfikatów
- Aggregate-SecureBootData.ps1 – generuje raporty oraz pulpity nawigacyjne do analizy
- Deploy-GPO-SecureBootCollection.ps1 – automatyzuje tworzenie obiektów zasad grupy (GPO) do zbierania danych
- Start-SecureBootRolloutOrchestrator.ps1 – narzędzie do ciągłej orkiestracji z automatycznym wdrażaniem certyfikatów
- Deploy-OrchestratorTask.ps1 – implementuje orkiestratora jako zaplanowane zadanie systemowe
- Get-SecureBootRolloutStatus.ps1 – wyświetla aktualny stan wdrożenia z dowolnego urządzenia w sieci
- Enable-SecureBootUpdateTask.ps1 – włącza zadanie aktualizacji certyfikatów
Dla środowisk korporacyjnych to prawdziwy skarb. Wcześniej zespoły IT musiały improwizować z zasadami grupowymi albo korzystać z rozwiązań firm trzecich. Teraz otrzymują oficjalne szablony od Microsoft, które automatyzują całą procedurę monitorowania i aktualizacji certyfikatów na dziesiątkach czy setkach komputerów jednocześnie.
Dlaczego tak pilno? Klucze Bezpiecznego Rozruchu wygasają w 2026 roku
Kwestia certyfikatów nie jest kosmetyczna. Na początku 2024 roku Microsoft ogłosił konieczność wymiany kluczy Bezpiecznego Rozruchu (Secure Boot), ponieważ obecne certyfikaty kończy się 15 lat eksploatacji i wygasają w 2026 roku. Bez ich aktualizacji nowoczesne komputery mogą mieć problemy z uruchomieniem systemu, a co gorsza – będą narażone na bootkity oraz inne złośliwe oprogramowanie działające na poziomie firmware.
Nowe certyfikaty z 2023 roku są wdrażane stopniowo przez kolejne aktualizacje Windows 11. Stąd wielokrotne ponowne uruchomienia systemu, które użytkownicy obserwowali w ostatnich miesiącach – to nie były błędy, lecz etapowe stosowanie nowych kluczy bezpieczeństwa. Microsoft aktywował już wcześniej KB5089549 w narzędziu Media Creation Tool, by umożliwić czyste instalacje z aktualnymi certyfikatami już na pokładzie.
Co z tego ma zwykły użytkownik domowy?
Jeśli nie zajmujesz się administrowaniem siecią firmową, opisane skrypty nie będą dla ciebie bezpośrednio przydatne. Jest jednak coś, co warto sprawdzić na własnym komputerze.
Microsoft dodał kilka tygodni temu wskaźnik w aplikacji Bezpieczeństwo Windows, który informuje, czy komputer ma już zainstalowane najnowsze certyfikaty Bezpiecznego Rozruchu. Warto zajrzeć do tej sekcji, szczególnie jeśli Twój sprzęt ma kilka lat i nie pamiętasz dodatkowych restartów systemu w ostatnim czasie.
Sprawdzenie statusu zajmuje dosłownie kilka sekund – wystarczy otworzyć aplikację Bezpieczeństwo Windows i przejść do sekcji dotyczącej zabezpieczeń urządzenia.
Podsumowanie
Dodanie scentralizowanego zestawu skryptów to krok w dobrą stronę, choć przyszedł z opóźnieniem i bez odpowiedniej komunikacji od Microsoft. Aktualizacja KB5089549 wciąż ma na koncie problemy z instalacją oraz podatność zwaną MiniPlasma, która umożliwia przejęcie kontroli nad systemem poprzez modyfikacje w rejestrze. Oficjalne narzędzia dla administratorów były potrzebne, ale nie rozwiązują wszystkich bolączek tego Patch Tuesday.
Dla zespołów IT skrypty PowerShell to realna pomoc w zarządzaniu flotą komputerów przed nadchodzącą datą wygaśnięcia certyfikatów w 2026 roku. Użytkownicy domowi powinni upewnić się, że ich system ma zainstalowane najnowsze klucze – lepiej zrobić to teraz, niż czekać na niespodzianki w przyszłym roku.