Jeśli twój komputer ma kilka lat albo lubisz bawić się z wielosystemowymi konfiguracjami – czas zajrzeć pod maskę. Microsoft ogłosił, że część certyfikatów używanych przez Secure Boot wygasa w tym roku i choć gigant obiecuje, że większość aktualizacji trafi przez Windows Update, nie każdy może spać spokojnie.

Certyfikaty też chodzą na emeryturę

Secure Boot pojawił się w 2011 roku jako strażnik procesu rozruchu – ma blokować złośliwe bootloadery i zapewnić, że system startuje tylko z zaufanym oprogramowaniem. Stał się też jednym z warunków instalacji Windows 11 – stąd jego znaczenie. Te „zaufane listy” opierają się na cyfrowych certyfikatach, które mają daty ważności – i kilka z nich kończy się w czerwcu tego roku.

Microsoft zrobi to za ciebie – ale nie zawsze

Najważniejsza wiadomość: większość użytkowników powinna otrzymać łatki przez Windows Update – to oznacza, że nie musisz ruszać BIOS-u czy UEFI, jeśli system regularnie pobiera aktualizacje. Jednak scenariusze, w których automatyczna naprawa może nie zadziałać, istnieją – i są to zwykle przypadki, gdzie hardware lub konfiguracja odbiega od domyślnych ustawień producenta.

Jak sprawdzić, czy jesteś narażony

Nie trzeba być czarodziejem, żeby to zweryfikować – kilka prostych kroków wystarczy:

• Uruchom msinfo32 – w polu „Stan Secure Boot” zobaczysz, czy funkcja jest włączona.
• Sprawdź Windows Update – czy system jest na bieżąco z aktualizacjami bezpieczeństwa.
• Odwiedź stronę wsparcia producenta płyty głównej lub laptopa – poszukaj aktualizacji UEFI/BIOS wydanych w ostatnich miesiącach.
• Jeśli używasz BitLockera – upewnij się, że masz zapisany klucz odzyskiwania, bo zmiany w firmware mogą wywołać prośbę o klucz.
• Masz Linuxa obok Windowsa albo niestandardowe klucze Secure Boot? Sprawdź dokumentację dystrybucji i shim/mok – tam mogą być dodatkowe kroki.

Przypadki, kiedy trzeba się przyłożyć

Są typy maszyn, które wymagają więcej uwagi – stare komputery z firmware, które nie obsługują aktualizacji kluczy, komputery z niestandardowym łańcuchem zaufania, a także środowiska korporacyjne, gdzie aktualizacje są blokowane centralnie. W takich sytuacjach brak aktualizacji może skończyć się błędem rozruchu – a wtedy zaczyna się zabawa z trybami awaryjnymi, USB ratunkowymi i telefonami do działu IT.

Co zrobić w praktyce – lista szybkich ruchów

• Zrób kopię zapasową ważnych danych – to zawsze najlepszy pierwszy krok.
• Sprawdź stan Secure Boot w msinfo32 i aktualizacje w Windows Update.
• Pobierz i zainstaluj najnowsze UEFI/BIOS od producenta – jeżeli są dostępne.
• Zapewnij sobie dostęp do klucza BitLocker – wydrukuj go lub zapisz w bezpiecznym miejscu.
• Jeżeli używasz Linuxa lub niestandardowych kluczy – śledź instrukcje dystrybucji i ewentualnie przygotuj nośnik ratunkowy.

Zrób to zanim komputer zrobi to za ciebie

Nie ma sensu panikować – większość komputerów nie zaprotestuje. Ale kilka minut na sprawdzenie stanu Secure Boot i zrobienie prostej kopii zapasowej może oszczędzić godzin frustracji, gdy przyjdzie czas przesiąść się do aktualizacji. Krótka kontrola dziś to spokojny poranek przy uruchamianiu jutro – i kto by nie chciał takiego spokoju?