Certifikáty zabezpečeného spouštění zařízení Surface

Zabezpečené spouštění je funkce zabezpečení ve firmwaru založeném na rozhraní UEFI (Unified Extensible Firmware Interface), která pomáhá zajistit, aby během spouštěcí (spouštěcí) sekvence zařízení běžel jenom důvěryhodný software. Funguje tak, že ověřuje digitální podpis softwaru před spuštěním na sadě důvěryhodných digitálních certifikátů (označovaných také jako certifikační autorita nebo CA) uložených ve firmwaru zařízení. Zabezpečené spouštění rozhraní UEFI definuje, jak firmware platformy spravuje certifikáty, ověřuje firmware a jak se s tímto procesem komunikuje operační systém (OS).

Platnost certifikátů zabezpečeného spouštění Systému Windows vyprší v roce 2026

Aby bylo vaše zařízení s Windows zabezpečené, společnost Microsoft aktualizuje certifikáty používané zabezpečeným spouštěním– což je funkce zabezpečení, která pomáhá chránit vaše zařízení před malwarem během spouštění. Platnost těchto certifikátů, původně vydaných v roce 2011, vyprší od června 2026. Aby bylo vaše zařízení chráněné, musí do té doby dostávat novější sadu certifikátů zabezpečeného spouštění 2023. U většiny uživatelů se potřebné aktualizace doručí automaticky prostřednictvím windows Aktualizace bez nutnosti akce uživatele.

To, jestli se aktualizace úspěšně nainstalovaly, je možné ověřit prostřednictvím aplikace Zabezpečení Windows, jak je popsáno v tématu Stav aktualizace certifikátu zabezpečeného spouštění v aplikaci Zabezpečení Windows. It specialisté v organizaci můžou také ověřit stav spravovaných zařízení pomocí skriptu detekce PowerShellu.

Jaký to má vliv na zařízení Surface?

Všechna zařízení Surface vydaná v roce 2024 a novějších verzích mají aktualizovanou databázi podpisů zabezpečeného spouštění rozhraní UEFI, která obsahuje novější certifikáty zabezpečeného spouštění 2023. U starších zařízení Surface platí, že pokud nechcete čekat na automatické doručení potřebných aktualizací prostřednictvím služby Windows Update a tato zařízení už mají aktualizace spravované IT, je k dispozici několik metod nasazení:

· Microsoft Intune metoda

· Metoda klíče registru

· metoda Zásady skupiny Objects (GPO)

Některá zařízení Surface můžou tyto aktualizace zabezpečeného spouštění nasadit také prostřednictvím rozhraní UEFI, ale to vyžaduje další kroky a zásah uživatele. Následující tabulka ukazuje, která zařízení mají tyto aktualizace připravené k ručnímu nasazení, ale tím spustíte scénář obnovení nástroje BitLocker. Pokud tedy provedete tyto kroky, ujistěte se, že máte k dispozici obnovovací klíč nástroje BitLocker :

1. Spusťte nabídku nastavení firmwaru rozhraní UEFI podržením hlasitosti a napájení.

2. Přejděte do části Zabezpečení a v části Zabezpečené spouštění klikněte na tlačítko Změnit konfiguraci.

3. V rozevírací nabídce vyberte "Pouze Microsoft" a zvolte OK.

4. Na levé straně nabídky nastavení zvolte možnost Ukončit a pak "Restartovat nyní"

Bez ohledu na metodu použitou k aktualizaci certifikátů zabezpečeného spouštění mají všechna zařízení Surface uvedená v následující tabulce (a zařízení vydaná v roce 2024 a novějších) aktualizované bitové kopie pro obnovení dostupné od Microsoftu, které tyto certifikáty vyžadují.

^1.Bitové kopie zařízení Surface Hub 3 pro obnovení je možné používat se zařízeními Hub 2S, která byla migrována do Windows 11.

Další možnosti pro IT profesionály a organizace

Sada Windows Assessment and Deployment Kit (ADK) přidala podporu pro certifikační autoritu 2023 ve verzi 10.1.26100.2454 (prosinec 2024) a s aktualizovaným certifikátem je možné vytvořit nové image prostředí Windows Preinstallation Environment (WinPE). Existující image je možné aktualizovat podle těchto pokynů: Aktualizace spouštěcího média Windows tak, aby používala PCA2023 podepsaného správce spouštění.

Související témata

• Správa nastavení rozhraní Surface UEFI na Surface pro firmy zařízeních
• Jak používat rozhraní Surface UEFI