Windowsin Secure Bootin varmenteet vanhenevat kesäkuusta 2026 alkaen. Mitä se tarkoittaa organisaatioille ja käyttäjille?

Mikä Secure Boot on?

Secure Boot on UEFI-laiteohjelmistoon (Unified Extensible Firmware Interface) kuuluva suojausominaisuus, jonka tehtävänä on estää haitallisen ohjelmiston käynnistyminen ennen Windowsia. Käytännössä Secure Boot tarkistaa, että käynnistyksen aikana ladattavat komponentit, kuten käynnistyslataajat (boot loader) ja laiteohjelmistot, ovat digitaalisesti allekirjoitettuja ja luotettuja. Tekniikka otettiin käyttöön suojaamaan erityisesti bootkit- ja rootkit-hyökkäyksiltä. Nyt alkuperäiset vuonna 2011 luodut Microsoftin Secure Boot -varmenteet ovat saavuttamassa elinkaarensa lopun.

Mitä Secure Bootille tapahtuu kesäkuusta 2026 alkaen?

Suurin osa Microsoftin Secure Boot -varmenteista vanhentuu kesäkuussa 2026. Yksi juurivarmenteista vanhentuu lokakuussa 2026. Vanhentuneiden varmenteiden tilalle vaihdetaan uudet vuoden 2023 varmenteet.

Vaikka varmenne vanhentuisi, tietokone ei tämän takia yleensä lakkaa toimimasta. Windows käynnistyy edelleen ja tavalliset Windows-päivitykset toimivat normaalisti. Ongelmallista on kuitenkin se, että laite ei enää kykene vastaanottamaan uusia Secure Boot -turvapäivityksiä käynnistysprosessin osiin. Tämä tarkoittaa sitä, että esimerkiksi Windows Boot Manager, Secure Boot -tietokanta sekä käynnistyslataajien ja EFI-sovellusten luottamusten hallinta voivat jäädä ilman päivityksiä. Tietoturvapäivitysten estyminen voi heikentää suojausta esimerkiksi bootloader-hyökkäyksiä vastaan sekä heikentää BitLocker-suojausta.

Ketä muutos koskee?

Muutos koskee käytännössä lähes kaikkia Windows-laitteita, jotka on valmistettu vuoden 2012 jälkeen. Microsoft arvioi kuitenkin, että suurin osa moderneista Windows 11 -laitteista saa päivitykset automaattisesti Windows Updaten kautta.

Haastavampia tapauksia ovat vanhemmat Windows 10 -laitteet, palvelimet, IoT- ja sulautetut järjestelmät, organisaatioiden hallitut ympäristöt sekä laitteet, joiden valmistaja ei enää tarjoa BIOS- tai laiteohjelmiston (firmware) päivityksiä. Microsoft korostaa, että erityisesti Windows 10 -järjestelmät tarvitsevat tuettua versiota tai ESU-laajennustukea saadakseen varmennepäivitykset.

Mitä organisaation tai käyttäjän pitää tehdä?

Microsoft suosittelee varmistamaan, että laitteen Secure Boot -ympäristö päivitetään ennen vanhojen varmenteiden vanhenemista. Tarvittavat toimenpiteet riippuvat laitetyypistä ja siitä, hallitaanko päivityksiä keskitetysti organisaation IT-ympäristössä vai Windows Update -palvelun kautta. Päivitysten avulla varmistetaan, että järjestelmät luottavat vain ajantasaisiin ja turvallisiin allekirjoituksiin.