شهادات التمهيد الآمن لجهاز Surface
Secure Boot هي ميزة أمان في البرامج الثابتة الموحدة المستندة إلى واجهة البرامج الثابتة الموسعة (UEFI) التي تساعد على ضمان تشغيل البرامج الموثوق بها فقط أثناء تسلسل تمهيد الجهاز (البدء). يعمل من خلال التحقق من التوقيع الرقمي لبرامج التمهيد المسبق مقابل مجموعة من الشهادات الرقمية الموثوق بها (المعروفة أيضا باسم المرجع المصدق أو CA) المخزنة في البرنامج الثابت للجهاز. كمعيار صناعي، يحدد UEFI Secure Boot كيفية إدارة البرنامج الثابت للنظام الأساسي للشهادات، ومصادقة البرامج الثابتة، وكيفية واجهات نظام التشغيل (OS) مع هذه العملية.
تنتهي صلاحية شهادات Windows Secure Boot في 2026
للمساعدة في الحفاظ على أمان جهاز Windows، تقوم Microsoft بتحديث الشهادات المستخدمة بواسطة Secure Boot - وهي ميزة أمان تساعد على حماية أجهزتك من البرامج الضارة أثناء بدء التشغيل. من المقرر أن تنتهي صلاحية هذه الشهادات، التي تم إصدارها في الأصل في عام 2011، بدءا من يونيو 2026. للبقاء محميا، يحتاج جهازك إلى تلقي مجموعة أحدث من شهادات التمهيد الآمن 2023 قبل ذلك. بالنسبة لمعظم المستخدمين، سيتم تسليم التحديثات المطلوبة تلقائيا من خلال Windows التحديثات دون الحاجة إلى إجراء من المستخدم.
يمكن التحقق من صحة التحديثات التي تم تطبيقها بنجاح من خلال تطبيق أمن Windows، كما هو موضح في حالة تحديث شهادة التمهيد الآمن في تطبيق أمن Windows. يمكن لمتخصصي تكنولوجيا المعلومات في المؤسسة أيضا التحقق من حالة الأجهزة المدارة من خلال برنامج نصي للكشف عن PowerShell.
كيف يؤثر هذا على أجهزة Surface؟
تحتوي جميع أجهزة Surface التي تم إصدارها في عام 2024 والإصدارات الأحدث على قاعدة بيانات توقيع التمهيد الآمن UEFI المحدثة (DB) التي تحتوي على شهادات التمهيد الآمن الأحدث 2023. بالنسبة لأجهزة Surface السابقة، إذا كنت لا ترغب في الانتظار حتى يتم تسليم التحديثات المطلوبة تلقائيا من خلال Window Update، وكانت هذه الأجهزة تحتوي بالفعل على تحديثات مدارة بواسطة تكنولوجيا المعلومات، فهناك العديد من طرق النشر المتوفرة:
· أسلوب نهج المجموعة Objects (GPO)
يمكن لبعض أجهزة Surface أيضا نشر تحديثات التمهيد الآمن هذه من خلال UEFI الخاصة بها، ولكن هذا يتطلب خطوات إضافية وتدخل المستخدم. يوضح الجدول أدناه الأجهزة التي لديها هذه التحديثات جاهزة للتوزيع اليدوي، ولكن القيام بذلك سيؤدي إلى تشغيل سيناريو استرداد BitLocker، لذا تأكد من توفر مفتاح استرداد BitLocker إذا قمت باتخاذ الخطوات التالية:
1. قم بالتمهيد في قائمة إعدادات البرنامج الثابت UEFI عن طريق الاحتفاظ بمستوى الصوت والطاقة
2. انتقل إلى قسم الأمان وضمن التمهيد الآمن انقر فوق الزر "تغيير التكوين"
3. حدد "Microsoft only" في القائمة المنسدلة واختر OK
4. على الجانب الأيسر من قائمة الإعدادات، اختر الخيار إنهاء ثم "إعادة التشغيل الآن"
بغض النظر عن الطريقة المستخدمة لتحديث شهادات التمهيد الآمن، قامت جميع أجهزة Surface في الجدول أدناه (وتلك التي تم إصدارها في 2024 والإصدارات الأحدث) بتحديث صور الاسترداد المتوفرة من Microsoft والتي تتطلب هذه الشهادات.
| اسم المنتج | الحد الأدنى لإصدار UEFI مع تحديثات التمهيد الآمن المتوفرة |
|---|---|
| Surface Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| استوديو Surface Laptop 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 مع 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X WiFi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| استديو لـ Surface Laptop | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1يمكن استخدام صور استرداد Surface Hub 3 مع أجهزة Hub 2S التي تم ترحيلها إلى Windows 11.
خيارات إضافية لمتخصصي تكنولوجيا المعلومات والمؤسسات
أضافت مجموعة أدوات تقييم ونشر Windows (ADK) دعما ل CA 2023 في الإصدار 10.1.26100.2454 (ديسمبر 2024)، ويمكن إنشاء صور Windows Preinstallation Environment (WinPE) الجديدة باستخدام الشهادة المحدثة. يمكن تحديث الصور الموجودة مسبقا باتباع الإرشادات الواردة هنا: تحديث وسائط Windows القابلة للتمهيد لاستخدام PCA2023 مدير التمهيد الموقع.