Microsoft ha añadido una nueva carpeta Secure Boot bajo C:\Windows en la última actualización de Windows 11. Dentro mete varios scripts de ejemplo para automatizar la instalación y el seguimiento de los certificados de arranque seguro.
La novedad no aparecía en las notas iniciales del parche KB5089549, aunque Microsoft la incorporó después. Importa porque Secure Boot y los certificados de arranque actualizado son una pieza central contra amenazas como los bootkits, y porque estos cambios forman parte del paquete de certificaciones de 2023 que la compañía ya está desplegando.
La carpeta Secure Boot reúne scripts para admins y despliegues por fases
Según la información disponible, Microsoft ha concentrado los recursos en la carpeta ExampleRolloutScripts. Está pensada para administradores de TI y administradores de sistemas, con automatización por GPO y seguimiento del estado del despliegue en entornos corporativos.
Los scripts cubren dos fases: detección y monitorización, por un lado; despliegue completo de los certificados, por otro. La lista incluida en la carpeta es esta:
- Detect-SecureBootCertUpdateStatus.ps1: recoge datos de estado del dispositivo.
- Aggregate-SecureBootData.ps1: genera informes y paneles.
- Deploy-GPO-SecureBootCollection.ps1: automatiza la creación de GPO para la recopilación de datos.
- Start-SecureBootRolloutOrchestrator.ps1: orquestación continua con despliegue automatizado de GPO para instalar certificados.
- Deploy-OrchestratorTask.ps1: despliega el orquestador como tarea programada de Windows.
- Get-SecureBootRolloutStatus.ps1: muestra el estado del despliegue desde cualquier equipo.
- Enable-SecureBootUpdateTask.ps1: activa la tarea de actualización de Secure Boot.
Por qué Windows 11 está moviendo ahora estos certificados
Microsoft ya había explicado en 2024 que estaba renovando las claves de Secure Boot porque en 2026 cumplirán 15 años y también expiran ese año. Por eso las nuevas certificaciones de 2023 se han ido integrando con las últimas actualizaciones de Windows 11.
La compañía también ha aclarado que los reinicios múltiples responden a ese proceso de renovación. Y para los usuarios domésticos, la app Windows Security incorpora un marcador que ayuda a comprobar si ya están presentes los certificados actualizados.
El movimiento llega, además, con matices prácticos: KB5089549 sigue arrastrando problemas de instalación y Microsoft ya ha publicado soluciones alternativas, mientras la actualización también permanece expuesta a MiniPlasma en Windows 11. A eso se suma que el USB oficial de instalación ya había empezado a reflejar cambios ligados a este parche, como vimos en el USB oficial de KB5089549.
Puedes seguir a HardwarePremium en Facebook, Twitter (X), Instagram, Threads, BlueSky o Youtube. También puedes consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.
FAQ
Añade una nueva carpeta Secure Boot bajo C:\Windows en dispositivos compatibles. Dentro incluye scripts de ejemplo para automatizar despliegues, recopilar estado y seguir el avance de los certificados.
Están dirigidos a administradores de TI y de sistemas. Microsoft los orienta a despliegues por GPO, monitorización y orquestación de certificados en entornos corporativos.
La compañía explicó en 2024 que las claves de Secure Boot cumplirán 15 años en 2026 y también expiran ese año. Por eso está desplegando certificados de 2023 con las actualizaciones recientes de Windows 11.
Microsoft ha añadido un marcador dentro de la app Windows Security para identificar si ya están instalados los certificados actualizados. Es una forma directa de revisar el estado sin recurrir a herramientas de administración.
