Windows vám po aktualizaci přidal do PC novou složku. Nemažte ji, jinak bude problém se spuštěním počítače

Aktualizace Windows 10 i 11 vytvořily složku „C:\Windows\SecureBoot“. Stojí za ní výměna 15 let starých bezpečnostních certifikátů.

Zdroj fotografie: Pexels

Kdo si po 12. květnu otevřel Průzkumníka a nakoukl do C:\Windows, mohl si všimnout nového adresáře, který tam den předtím nebyl. Složka SecureBoot se objevila bez upozornění i bez dialogového okna, prostě najednou je. Přesně takový scénář spolehlivě spouští vlnu dotazů „mám v PC virus?“. Tentokrát ale nejde ani o malware, ani o chybu; Microsoft ji tam dal záměrně a zdokumentoval to v release notes pro obě hlavní větve systému.

Co přesně se v počítači změnilo

Aktualizace vydané 12. května 2026, konkrétně KB5089549 pro Windows 11 24H2/25H2 a KB5087544 pro Windows 10, na způsobilých zařízeních vytvořily složku C:\Windows\SecureBoot. Uvnitř najdete podsložku ExampleRolloutScriptss skripty PowerShell. Ty slouží správcům IT k inventuře stavu zařízení, orchestraci nasazení a monitoringu celého procesu. Běžný uživatel je nespustí omylem; vyžaduje zvýšené PowerShell, administrátorská oprávnění, v podnikovém prostředí a přístup k doménovému řadiči.

Důležité je, že nejde o jednu izolovanou záplatu. Změna se týká všech podporovaných větví Windows a je součástí širšího rolloutu, který Microsoft doručuje postupně jen na zařízení, která vyhodnocuje jako připravená.

Proč to Microsoft dělá právě teď

Secure Boot, mechanismus, který při startu počítače ověřuje, že spouští jen důvěryhodný software, stojí na certifikátech z roku 2011. Patnáct let stará kryptografie. Microsoft 18. května zpřesnil, kdy přesně tyto certifikáty vyprší:

• KEK CA 2011 – 24. června 2026
• Microsoft UEFI CA 2011 – 27. června 2026
• Windows Production PCA 2011 – 19. října 2026

Od prvních dvou termínů dělí české uživatele necelý měsíc. Po expiraci počítače většinou dál nastartuje, ale dostává nové ochrany pro Windows Boot Manager, databáze DB/DBX a zmírnění budoucích zranitelností v boot procesu. U problémových konfigurací Microsoft poskytuje vážnější scénář: chyby validace Secure Boot, smyčky obnovy BitLockeru, zamrznutí při startu, v krajním případě i úplné selhání spuštění.

Nové certifikáty z roku 2023 mají tyto problémy předejít. Složka SecureBootje viditelnou stopou tohoto přechodu.

Co s tím má dělat běžný uživatel

Krátká odpověď: nic. Přesněji: nechat Windows Update pracovat a nesahat do věcí, které nepotřebují ruční zásah. Microsoft v návodu pro domácího uživatele uvádí, že ve většině případů není třeba žádná akce. Stačí splnit čtyři podmínky:

• podporovaná verze Windows
• nezastavené aktualizace
• připojení k internetu
• zapnutý Secure Boot

Ověřit výsledek můžete v aplikaci Zabezpečení Windows → Zabezpečení zařízení → Secure Boot . Hledejte text ve smyslu „Zabezpečené spouštění je zapnuto a byly použity všechny požadované aktualizace certifikátu.“ Samotný msinfo32 potvrdí jen to, že je Secure Boot zapnutý, neřekne vám ale, jestli už máte nové certifikáty.

Rollout pokračuje postupně do června 2026 a začíná edicemi Home a Pro. Pokud složku zatím nevidíte, neznamená to problém; vaše zařízení prostě ještě neprošlo výběr.

Proč složku nemazat

Buďme přesní: Microsoft v otevřených KB článcích nepíše, že pouhé smazání adresáře SecureBoot okamžitě způsobí nebootovatelnost. Doložená rizika (BitLocker recovery smyčky, zamrznutí startu, selhání spuštění) se váží k neprovedené nebo neúspěšné aktualizaci certifikátů. Složka je ale součástí tohoto mechanismu a obsahuje skripty, které systém nebo správce může potřebovat k dokončení rolloutu. Zasahovat do ní je zbytečné riziko bez jakéhokoli přínosu.

Microsoft zatím ani neuvedl, jestli složku po dokončení aktualizace automaticky odstraní. Do té doby zabírá na diskutabilní místo a nejrozumnější přístup je prostě ji ignorovat.

Transparentnost místo tiché magie

Viditelná složka přímo v C:\Windows je pro Microsoft neobvykle průhledný krok. Obvykle se systémové změny dějí hluboko pod kapotou, bez jakýchkoliv stop v Průzkumníku. Tentokrát firma zvolila hybridní cestu: domácím uživatelům doručuje certifikáty tiše přes Windows Update, ale zároveň nechává na disku nástroje pro podnikového správce, kteří potřebují rollout řídit ručně, testovat firmware, pilotovat po vlnách, monitorovat stav sporáků strojů.