Bezpečnostní experti Microsoftu objevili bezpečnostní chybu v systému Secure Boot už v loňském roce a následně distribuovali potřebnou záplatu. Týkalo se to systémů Windows 10 a 11. Po instalaci záplaty se ale objevil nepříjemný vedlejší efekt. Záchranné systémy, které uživatelé měli připravené na USB flash discích, už nešlo spustit. Nouzové instalace byly k ničemu.
Z toho důvodu Microsoft pro distribuci patche stanovil přesný časový plán, který má několik kroků. Po úspěšné instalaci záplaty pro Secure Boot bude nutné vytvořit nové nouzové médium. Pokud nechcete nechat nic náhodě a být připraveni, bude zapotřebí záchranný USB flash disk znovu vytvořit a ideálně i otestovat na záplatovaných Windows.
Microsoft potřebnou záplatu aktivuje v několika krocích
Zdroj: Windows 11 / Windows Update
Chyba systému Secure Boot má označení CVE-2023-24932. Vzhledem k vedlejšímu účinku ovlivnění správné funkčnosti spouštění záchranného média jí Microsoft věnuje zvláštní pozornost.
Aktualizace zabezpečení instaluje inovovaný Windows Boot Manager, ve výchozím nastavení ale ještě není aktivována. Microsoft tak ale hodlá učinit v některém z následujících měsíců.
Časový harmonogram postupného zavádění opravy je následující:
Fáze 1, počáteční nasazení: tato fáze už byla zahájena aktualizacemi z 9. května 2023 a nabízí základní minimalizaci zjištěných rizik. V případě potřeby je ale nutné plnou ochranu aktivovat ručně. Soukromí uživatelé by toto neměli dělat.
Fáze 2, nasazení část 1: tato fáze byla započata aktualizacemi, uvolněnými 11. července 2023, které usnadňují aktivaci záplaty. Ani v tomto případě nemusejí soukromí uživatelé podnikat žádné kroky.
Mohlo by vás zajímat
Fáze 3, nasazení část 2: v této fázi budou přidána další opatření ke zmírnění rizik pro komponentu Start Manageru. Začala 9. července 2024.
Fáze 4, vynucení aktualizace: záplata bude trvale aktivována až v rámci zahájeného vynucování. Tato fáze poběží půl roku, ale datum jejího zahájení Microsoft ještě neuvedl.
Co je důležité vědět: jakmile je záplata aktivována, nelze ji už vrátit zpět. Soukromí uživatelé by proto neměli dělat žádné vlastní zásahy. Mohou počkat, až záplatu aktivuje Microsoft automaticky, a to v rámci fáze 4. Do té doby je důležitější aktualizovat nouzová média na nejnovější verzi.
Nová instalace nouzových USB flash disků
Zdroj: Microsoft Support
Přestože oprava ještě nebyla aktivována, je dobré si uvědomit její vliv na spouštěcí flash disky. Pro Windows 10 a 11 jsou už k dispozici aktualizované ISO soubory, které fungují i po aktivaci záplaty pro Secure Boot. Dají se stáhnout z oficiálních stránek Microsoftu prostřednictvím Nástroje pro spouštění médií (Media Creation Tool). Pokud byste se dostali se svým systémem do nesnází, nově vytvořené záchranné USB klíčenky lze použít pro opravu nebo přeinstalování Windows 10 a 11.
Obecným doporučením tedy je vytvořit si nový spouštěcí USB flash disk a otestovat jej na provozovaném systému. Platí to i pro případy, kdy používáte nouzová média z antivirových skenerů nebo zálohovacího softwaru. Ty byste měli v nadcházejících měsících také aktualizovat a otestovat. V opačném případě riskujete, že nastanou-li se systémem problémy, nebude možné z dříve vytvořeného USB flash disku Windows spustit.
Zdroj: Microsoft Support, Microsoft MSCR
