Secure Boot lejár júniusban: így ellenőrizheti PC-jét

A Windows rendszerű számítógépek egyik alapvető biztonsági pillére, a Secure Boot tanúsítvány 2026 júniusában lejár. Ha nem cselekszik időben, gépe védtelenebb lesz a támadásokkal szemben.

Mi az a Secure Boot és miért fontos?

A Secure Boot egy biztonsági funkció, amely megvédi a számítógépét az indítási folyamat során fellépő támadásoktól. Gyakorlatilag ez az a védvonal, amely megakadályozza, hogy rosszindulatú szoftverek még a Windows betöltése előtt átvegyék az irányítást.

A Microsoft 2011-ben vezette be ezt a technológiát, és azóta szinte minden eladott PC rendelkezik vele. A Windows 11 telepítéséhez kötelező feltétel, de a Windows 10-es gépek túlnyomó többségében is megtalálható.

A probléma az, hogy az eredeti 2011-es tanúsítványok (Microsoft Corporation KEK CA 2011, Windows Production PCA 2011 és UEFI CA 2011) hamarosan lejárnak. Ez az első alkalom 15 év alatt, hogy ez megtörténik.

Mi történik a lejárat után?

Fontos megérteni: a számítógépe nem fog egyik napról a másikra leállni. A Windows továbbra is elindul, és a hétköznapi frissítések is települnek. Azonban a lejárt tanúsítvánnyal rendelkező gépek nem kapnak többé biztonsági frissítéseket a boot komponensekhez.

Ez azt jelenti, hogy az újonnan felfedezett indítási szintű sebezhetőségek ellen nem lesz védelem. Emellett idővel bizonyos illesztőprogramok és szoftverek is hibásan működhetnek, mivel az új aláírásokat a régi tanúsítványok már nem ismerik fel.

Így ellenőrizheti a tanúsítvány állapotát

Szerencsére egyetlen PowerShell paranccsal megtudhatja, hogy gépe már rendelkezik-e az új 2023-as tanúsítványokkal. Nyissa meg a PowerShellt rendszergazdaként, majd másolja be az alábbi parancsot:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’)

Ha az eredmény True, máris biztonságban van, a gépén friss tanúsítványok futnak. Ha False, a régi, hamarosan lejáró tanúsítványok vannak érvényben, és érdemes cselekednie.

Mit tegyen, ha „False” az eredmény?

Windows 11 felhasználók: Ellenőrizze, hogy minden elérhető Windows Update telepítve van-e. A Microsoft a kumulatív frissítéseken keresztül terjeszti az új tanúsítványokat. Ha ez nem segít, keresse fel a laptop- vagy alaplapgyártó támogatási oldalát egy firmware-frissítésért.

Windows 10 felhasználók (ESU programmal): A bővített biztonsági frissítési programba beiratkozott gépek szintén megkapják az új tanúsítványokat a Windows Update-en keresztül. Ha még nem iratkozott be, azt 2025. október 14-ig bármikor megteheti.

Windows 10 (ESU nélkül) és régebbi rendszerek: Sajnos ezekre a gépekre a Microsoft nem ad ki új tanúsítványokat. A számítógép működni fog, de csökkentett biztonsággal.

Kézi megoldás firmware-frissítés nélkül

A Microsoft egy alternatív módszert is kínál azok számára, akiknél a szokásos úton nem sikerül a frissítés. Nyissa meg a Parancssort rendszergazdaként, és futtassa az alábbi parancsot:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Ezután indítsa újra a gépet kétszer, majd ellenőrizze ismét a PowerShell paranccsal, hogy a tanúsítvány frissült-e. Ez a módszer Windows 11-en működik, feltéve hogy legalább a 2025. júliusi kumulatív frissítés telepítve van.

Érdemes most cselekedni

A határidő közeleg, és bár a legtöbb felhasználó számára a folyamat automatikus, érdemes nem a véletlenre bízni a dolgot. Futtassa le az ellenőrzést, és ha szükséges, intézkedjen még a június végi lejárat előtt.

Ha Ön olyan gépen dolgozik, amely már nem támogatott, érdemes lehet egy frissebb rendszerre váltani. Egy eredeti Windows 11 licenc nemcsak a Secure Boot problémát oldja meg, hanem hosszú távon biztosítja gépe teljes védelmét.