Certyfikaty Secure Boot wygasły. Starsze pecety mogą zostać z tyłu, róbcie aktualizacje

Miliony komputerów z systemem Windows właśnie wkroczyły w ważny moment związany z bezpieczeństwem. Certyfikaty Secure Boot wydane przez Microsoft jeszcze w 2011 roku oficjalnie wygasły, dlatego producenci komputerów rozpoczęli udostępnianie nowych wersji BIOS-u oraz oprogramowania układowego. Dla większości użytkowników proces przebiegnie automatycznie, jednak właściciele starszych urządzeń mogą nie otrzymać żadnej aktualizacji.

Choć komputer nadal będzie działał normalnie, brak nowych certyfikatów może ograniczyć ochronę przed najbardziej zaawansowanymi zagrożeniami atakującymi komputer jeszcze przed uruchomieniem systemu Windows.

Czym jest Secure Boot i dlaczego wygasły certyfikaty mają znaczenie?

Secure Boot to mechanizm zabezpieczający komputer już podczas uruchamiania. Jego zadaniem jest sprawdzenie, czy ładowane oprogramowanie rozruchowe pochodzi z zaufanego źródła i nie zostało zmodyfikowane przez cyberprzestępców.

Microsoft wprowadził obecnie nową generację certyfikatów, które zastępują te obowiązujące od 2011 roku. W związku z tym producenci komputerów rozpoczęli publikowanie aktualizacji BIOS-u oraz firmware'u, zawierających nowe klucze bezpieczeństwa. Samo wygaśnięcie certyfikatów nie powoduje awarii komputerów ani problemów z uruchamianiem systemu. Windows nadal będzie działał, instalował poprawki zabezpieczeń i obsługiwał wszystkie codzienne funkcje.

Microsoft uspokaja, ale zaleca instalację aktualizacji

Microsoft podkreśla, że użytkownicy nie muszą obawiać się nagłego zablokowania komputerów. Brak nowych certyfikatów nie wpływa na działanie systemu operacyjnego ani jego stabilność. Aktualizacja ma jednak istotne znaczenie dla ochrony przed zagrożeniami działającymi jeszcze przed uruchomieniem Windowsa. Chodzi przede wszystkim o bootkity, rootkity firmware'u oraz złośliwe oprogramowanie infekujące sektor rozruchowy dysku. Takie ataki należą do najtrudniejszych do wykrycia, ponieważ uruchamiają się przed systemem operacyjnym i potrafią omijać tradycyjne programy antywirusowe.

Nowe certyfikaty pozwalają utrzymać najwyższy poziom zabezpieczeń dostępnych na współczesnych komputerach.

Asus, Dell, Lenovo, HP i Acer rozpoczęli wdrażanie nowych aktualizacji

Najwięksi producenci komputerów już publikują nowe wersje BIOS-u. W wielu przypadkach użytkownik nie będzie musiał wykonywać żadnych dodatkowych czynności.

Asus zapowiedział, że komputery konsumenckie otrzymają wymagane certyfikaty automatycznie za pośrednictwem Windows Update. Bardziej zaawansowani użytkownicy mogą sprawdzić ich obecność przy pomocy PowerShell i ręcznie uruchomić proces instalacji.

Lenovo udostępniło nowe wersje BIOS-u dla większości wspieranych serii, w tym ThinkPad, Legion, Yoga, ThinkCentre oraz IdeaPad. Producent zaznacza jednak, że starsze modele wycofane ze wsparcia nie otrzymają nowych certyfikatów.

Dell również ograniczył aktualizacje wyłącznie do komputerów pozostających w okresie wsparcia technicznego. Dotyczy to między innymi serii XPS, Latitude, Inspiron, Alienware, Precision czy OptiPlex.

HP przekazuje nowe certyfikaty użytkownikom domowym przez Windows Update, natomiast urządzenia biznesowe wymagają odpowiedniej wersji BIOS-u przed instalacją nowych zabezpieczeń. Komputery wyprodukowane około 2018 roku i starsze w wielu przypadkach nie zostaną już objęte aktualizacją.

MSI stosuje dwa różne sposoby wdrażania. Część komputerów otrzyma aktualizacje automatycznie, natomiast właściciele nowszych konfiguracji będą musieli samodzielnie zaktualizować BIOS zgodnie z instrukcjami producenta.

Acer także rozpoczął publikowanie nowego firmware'u dla serii Aspire, Predator, Nitro, Swift, TravelMate, Spin i Extensa. Aktualizacje trafiają sukcesywnie do kolejnych urządzeń.

Surface również otrzyma nowe certyfikaty

Microsoft nie zapomniał o własnych komputerach. Wszystkie wspierane modele Surface Pro, Surface Laptop, Surface Book oraz Surface Studio mają otrzymać nowe certyfikaty Secure Boot za pośrednictwem Windows Update.

Podobnie jak u pozostałych producentów, urządzenia znajdujące się już poza okresem wsparcia nie zostaną objęte aktualizacją.

Właściciele starszych komputerów mogą mieć problem

Największe ograniczenia dotyczą kilkuletnich komputerów, których producenci zakończyli rozwój BIOS-u. Takie urządzenia nadal będą działały bez problemów, jednak pozostaną przy starszych certyfikatach Secure Boot.

Nie oznacza to natychmiastowego zagrożenia, lecz komputery nie będą mogły korzystać z najnowszych mechanizmów ochrony podczas uruchamiania systemu. W praktyce poziom zabezpieczeń stanie się niższy niż w nowych modelach otrzymujących bieżące aktualizacje firmware'u.

Dla użytkowników nowszych komputerów sytuacja wygląda znacznie spokojniej. W większości przypadków wystarczy zainstalować aktualizacje Windows Update lub najnowszy BIOS udostępniony przez producenta. Dzięki temu komputer otrzyma nowe certyfikaty i zachowa pełną ochronę Secure Boot na kolejne lata.