W skrócie
Microsoft wykorzystał lutową aktualizację Windows, aby zacząć wymianę kluczy Secure Boot, na których opiera się zaufanie do procesu startu systemu. Stare certyfikaty z 2011 roku wygasną w czerwcu 2026, a urządzenia bez nowych kluczy co prawda nadal się uruchomią, ale przestaną dostawać ulepszenia zabezpieczeń rozruchu i łatki przeciw atakom typu BootKit. To zmiana kluczowa dla wszystkich użytkowników Windows 10 i Windows 11, zwłaszcza tam, gdzie komputer chroni ważne dane lub pracuje w sieci firmowej.
- W skrócie
- O co chodzi w najnowszej aktualizacji Windows?
- Czym jest Secure Boot i dlaczego klucze mają znaczenie?
- Co się stanie, jeśli nie zainstalujesz nowych kluczy?
- BootKit – zagrożenie, które atakuje przed startem Windows
- Harmonogram: do kiedy masz czas?
- Co powinien zrobić zwykły użytkownik Windows?
- Podsumowanie
O co chodzi w najnowszej aktualizacji Windows?
Lutowy pakiet aktualizacji 2026 roku przyniósł m.in. poprawki KB5077181 dla Windows 11 i KB5075912 dla Windows 10, które na liście zmian wyglądają jak zwykłe zbiorcze łatki. W rzeczywistości w tle uruchamia się proces odnowienia kluczy Secure Boot – mechanizmu, który kontroluje, jaki kod może zostać uruchomiony podczas startu komputera.
Dotychczas wykorzystywane klucze Microsoftu pochodzą z 2011 roku i mają ograniczony czas ważności, dlatego firma musi je zastąpić nowszymi, wydanymi około 2023 roku. Bez tej wymiany Windows nie będzie mógł stosować kolejnych warstw ochrony na etapie rozruchu, niezależnie od tego, ile zwykłych aktualizacji zainstalujesz później. Ogólne informacje o bezpieczeństwie startu systemu i Secure Boot są opisane na oficjalnej stronie Microsoft.
Czym jest Secure Boot i dlaczego klucze mają znaczenie?
Secure Boot to funkcja firmware’u UEFI, która weryfikuje podpisy cyfrowe każdego elementu uruchamianego podczas startu – od Windows Boot Manager po sterowniki ładowane przed systemem. Ma to zapobiec uruchomieniu nieautoryzowanego kodu, np. podmienionego bootloadera czy zainfekowanego sterownika.
Cały mechanizm opiera się na zestawie kluczy i certyfikatów:
- zaufanych kluczach producentów (OEM i Microsoft),
- bazie dozwolonych komponentów,
- listach odwołań (revocation lists), które oznaczają elementy uznane za niebezpieczne.
Problem w tym, że stare klucze Microsoftu sprzed kilkunastu lat przestają spełniać aktualne wymagania bezpieczeństwa i formalnie zbliżają się do końca okresu ważności. Stąd potrzeba migracji na nowszy zestaw certyfikatów, która obejmuje zarówno Windows 10/11, jak i firmware wielu komputerów.
Co się stanie, jeśli nie zainstalujesz nowych kluczy?
Microsoft przywrócił i uzupełnił fragment dokumentacji FAQ, który jasno opisuje konsekwencje pozostania przy starych kluczach Secure Boot. Najważniejsze jest to, że:
- komputer wciąż będzie się uruchamiał,
- Windows nadal będzie dostawał zwykłe aktualizacje systemu,
- ale etap rozruchu nie otrzyma już nowych ulepszeń zabezpieczeń.
Konkretnie urządzenia bez nowych kluczy nie będą mogły instalować kolejnych aktualizacji:
- Windows Boot Manager,
- bazy danych Secure Boot (dozwolonych podpisów),
- list odwołań, w których Microsoft oznacza znane, zbanowane komponenty lub klucze.
W praktyce oznacza to, że jeśli za rok lub dwa pojawi się nowa luka w rozruchu Windows, twój komputer bez zaktualizowanych kluczy może jej już nie dostać „w pakiecie”.
BootKit – zagrożenie, które atakuje przed startem Windows
Na poziomie Secure Boot najgroźniejsze są ataki typu BootKit. To rodzaj złośliwego oprogramowania, które infekuje elementy uruchamiane przed systemem operacyjnym, przejmując kontrolę nad komputerem, zanim wystartuje antywirus czy inne mechanizmy ochrony.
BootKit może m.in.:
- podmieniać kod odpowiedzialny za start systemu,
- omijać mechanizmy takie jak BitLocker, ingerując w proces weryfikacji integralności systemu,
- ukrywać swoją obecność przed narzędziami zabezpieczającymi działającymi „na poziomie Windows”.
Dlatego aktualne klucze Secure Boot, baza zaufanych podpisów i aktualne listy odwołań są tak istotne – to one decydują, czy zmodyfikowany komponent zostanie zablokowany już na etapie firmware’u. Szczegółowe informacje o tym, jak Microsoft podchodzi do zagrożeń boot-level, można znaleźć w anglojęzycznej dokumentacji bezpieczeństwa w serwisie support.microsoft.com.
Harmonogram: do kiedy masz czas?
Proces przechodzenia na nowe klucze Secure Boot nie jest jednorazowy – rozciąga się na kilka lat. Według aktualnych informacji:
- migracja rozpoczęła się w 2024 roku,
- kolejne etapy wdrażane są poprzez aktualizacje Windows i firmware,
- czerwiec 2026 to moment formalnego wygaśnięcia starych certyfikatów Microsoftu.
Po tej dacie urządzenia, które nie przeszły pełnej aktualizacji kluczy, mogą stopniowo tracić kompatybilność z nowymi zabezpieczeniami Secure Boot. Sam system będzie się uruchamiał, ale warstwa startowa przestanie „iść do przodu” razem z nowymi łatkami.
Co powinien zrobić zwykły użytkownik Windows?
Jeśli korzystasz z Windows 10 lub Windows 11, a szczególnie jeśli masz komputer z fabrycznie włączonym Secure Boot, warto zadbać o kilka podstawowych rzeczy:
- Włącz automatyczne aktualizacje Windows i nie odkładaj instalacji zbiorczych łatek (w tym lutowych pakietów 2026).
- Sprawdź aktualizacje BIOS/UEFI na stronie producenta twojego laptopa lub płyty głównej – wielu OEM‑ów dostarcza własne poprawki powiązane z Secure Boot.
- Nie wyłączaj Secure Boot, o ile naprawdę nie musisz – na nowoczesnych maszynach z Windows jego aktywacja jest jednym z fundamentów bezpieczeństwa.
Instrukcje krok po kroku dotyczące Windows Update, Secure Boot czy BitLocker znajdziesz w polskich poradnikach na oficjalnej stronie pomocy Windows.
Podsumowanie
Lutowa aktualizacja Windows z 2026 roku to nie tylko kolejny zestaw poprawek, ale początek ważnej zmiany w fundamentach bezpieczeństwa systemu – wymiany kluczy Secure Boot. Zignorowanie tej migracji nie zatrzyma wprawdzie działania komputera, ale sprawi, że w najbliższych latach twoje urządzenie przestanie dostawać nowe zabezpieczenia dla procesu startu, co wystawi je na uderzenia zaawansowanych ataków BootKit.
Z perspektywy użytkownika domowego i firmowego to jedna z tych aktualizacji, których naprawdę nie warto odkładać: wystarczy zadbać o bieżące aktualizacje Windows i firmware, aby zachować pełne wsparcie i nie ryzykować utraty „pierwszej linii” ochrony systemu. W świecie, w którym coraz więcej ataków schodzi na poziom firmware’u, taka warstwa zabezpieczeń jest równie ważna jak dobry antywirus czy silne hasła.
