Bylo to už v loňském roce, kdy Microsoft objevil chybu ve funkci Secure Boot a připravil opravu. Týká se to systémů Windows 10 i 11. Po instalaci záplaty se ale objeví jeden velmi nepříjemný vedlejší účinek. Pokud jste měli do té doby připravené funkční záchranné USB flash disky se spustitelným systémem Windows pro případ nouze, po instalaci záplaty už je nespustíte.
Potřebnou opravu Microsoft prozatím pouze rozšiřuje, ale její aktivaci má naplánovanou podle přesně stanoveného harmonogramu. Po jejím aktivování totiž bude nutné přeinstalovat nouzový USB flash disk na nejnovější verzi. Pokud tedy nechcete nechat nic náhodě a mít vždy po ruce záchranné řešení, budete si muset nouzové USB disky obnovit, a pro jistotu je i otestovat s opravenými Windows.
Záplatu Microsoft aktivuje v postupných krocích
Chyba systému Secure Boot má označení CVE-2023-24932 a Microsoft ji vzhledem k vedlejšímu účinku ovlivnění správné funkčnosti spouštění záchranného média věnuje zvláštní pozornost. Aktualizace zabezpečení instaluje inovovaný Windows Boot Manager, ve výchozím nastavení ale ještě není aktivována. Microsoft tak ale hodlá učinit v některém z následujících měsíců.
Časový plán vypadá následovně:
Fáze 1, počáteční nasazení: tato fáze už byla zahájena aktualizacemi z 9. května 2023 a nabízí základní potlačení zjištěných rizik. V případě potřeby je ale nutné plnou ochranu aktivovat ručně. Soukromí uživatelé by toto neměli dělat.
Fáze 2, nasazení část 1: tato fáze byla započata aktualizacemi, uvolněnými 11. července 2023, které usnadňují aktivaci záplaty. Ani v tomto případě nemusejí soukromí uživatelé podnikat žádné kroky.
Fáze 3, nasazení část 2: v této fázi budou přidána další opatření ke zmírnění rizik pro komponentu Start Manageru. Začne nejdříve 9. dubna 2024.
Fáze 4, vynucení aktualizace: se zahájením fáze nucené aktualizace teprve bude záplata trvale aktivována. To Microsoft plánuje nejdříve na 8. října 2024.
Co je důležité vědět: jakmile je záplata aktivována, nelze ji už vrátit zpět. Soukromí uživatelé by proto neměli dělat žádné ruční zásahy. Mohou počkat, až sám Microsoft záplatu aktivuje automaticky v rámci fáze 4. Do té doby je lepší aktualizovat nouzové spouštěcí USB disky na nejnovější verzi.
Nové vytvoření záchranných USB disků
Přestože oprava ještě nebyla aktivována, je dobré si uvědomit její vliv na spouštěcí flash disky. Pro Windows 10 a 11 jsou už k dispozici aktualizované ISO soubory, které fungují i po aktivaci záplaty pro Secure Boot. Dají se stáhnout z oficiálních stránek Microsoftu prostřednictvím Nástroje pro spouštění médií (Media Creation Tool). Pokud byste se dostali se svým systémem do nesnází, nově vytvořené záchranné USB klíčenky lze použít pro opravu nebo přeinstalování Windows 10 a 11.
Obecným doporučením tedy je vytvořit si nový spouštěcí USB flash disk a otestovat jej na provozovaném systému. Platí to i pro případy, kdy používáte nouzová média z antivirových skenerů nebo zálohovacího softwaru. Ty byste měli v nadcházejících měsících také aktualizovat a otestovat. V opačném případě riskujete, že v případě problémů nebude možné z dříve vytvořeného USB flash disku systém spustit.
Mohlo by vás zajímat
Celkové shrnutí
- V tuto chvíli by stávající vytvořené nouzové USB flash disky měly fungovat; pro jistotu je raději otestujte.
- Pro soukromé uživatele není ruční aktivace záplaty pro Secure Boot nutná.
- Jakmile byste si záplatu aktivovali, budete potřebovat nově vytvořit záchranný spouštěcí USB flash disk.
- Po datu 8. října 2024, kdy Microsoft opravu systému Secure Boot aktivuje automaticky, bude potřeba vytvořit si nové instalace spouštěcích USB disků.
- Pokud tedy máte připravený USB záchranný flash disk (je to nanejvýš vhodné), je dobré jej v následujících několika měsících aktualizovat. Při té příležitosti se vyplatí také aktualizovat datové zálohy.
Zdroj: Microsoft MSCR, Microsoft Support