Certifikater til sikker surface-bootstart
Sikker bootstart er en sikkerhedsfunktion i UEFI-baseret firmware (Unified Extensible Firmware Interface), der er med til at sikre, at kun software, der er tillid til, kører under en enheds startsekvens. Det fungerer ved at bekræfte den digitale signatur for software før start i forhold til et sæt pålidelige digitale certifikater (også kaldet nøglecenter), der er gemt i enhedens firmware. Som en branchestandard definerer UEFI Secure Boot, hvordan platformens firmware administrerer certifikater, godkender firmware, og hvordan operativsystemet (OS) bruger denne proces.
Certifikater til sikker bootstart til Windows udløber i 2026
For at beskytte din Windows-enhed opdaterer Microsoft certifikaterne, der bruges af Sikker bootstart – en sikkerhedsfunktion, der beskytter dine enheder mod malware under start. Disse certifikater, der oprindeligt blev udstedt i 2011, er indstillet til at udløbe fra og med juni 2026. For at være beskyttet skal enheden modtage et nyt sæt certifikater inden da. For de fleste brugere er dette allerede sket via Surface-opdateringer, der leveres via Windows Update eller vil ske i fremtiden via almindelige Windows-sikkerhedsopdateringer.
Hvordan påvirker det Surface-enheder?
Microsoft begyndte at opdatere UEFI Secure Boot Signature Database (DB) på Surface-enheder, så den indeholder certifikatet "Windows UEFI CA 2023" fra og med 2023, og disse opdateringer blev leveret til Surface-enheder via UEFI-firmware, der er installeret af Windows Update. Desuden blev alle Surface-enheder, der blev fremstillet i 2024 og nyere, lanceret med certifikatet "Windows UEFI CA 2023". For enheder, der ikke er angivet specifikt i tabellen nedenfor, skal du følge den generelle vejledning, der er angivet for Windows-brugere.
Tabellen nedenfor viser, hvilke enheder der har de opdaterede certifikater, der allerede findes i UEFI (og hvilken version, hvis det er relevant) og et opdateret genoprettelsesbillede , der er tilgængeligt fra Microsoft.
| Produktnavn | Minimum UEFI-version med 2023 CA |
|---|---|
| Surface Laptop 13" | Alle (produkt lanceret med 2023 CA) |
| Surface Pro 12" | Alle (produkt lanceret med 2023 CA) |
| Surface Laptop 5G til virksomheder | Alle (produkt lanceret med 2023 CA) |
| Surface Laptop 7th Edition, Intel-processor | Alle (produkt lanceret med 2023 CA) |
| Surface Pro 11. udgave, Intel-processor | Alle (produkt lanceret med 2023 CA) |
| Surface Pro 11. udgave 5G | Alle (produkt lanceret med 2023 CA) |
| Surface Pro 11. udgave, Snapdragon-processor | Alle (produkt lanceret med 2023 CA) |
| Surface Laptop 7th Edition, Snapdragon-processor | Alle (produkt lanceret med 2023 CA) |
| Surface Laptop 6 til virksomheder | Alle (produkt lanceret med 2023 CA) |
| Surface Pro 10 med 5G | Alle (produkt lanceret med 2023 CA) |
| Surface Pro 10 til virksomheder | Alle (produkt lanceret med 2023 CA) |
| Surface Hub 31 | Alle (produkt lanceret med 2023 CA) |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 med 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X-wi-fi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1Surface Hub 3-genoprettelsesafbildninger kan bruges med Hub 2S-enheder, der er blevet overført til Windows 11.
Handlinger for it-fagfolk og organisationer
Du kan finde flere oplysninger om udløb af certifikat til sikker bootstart og validering af den aktuelle enhedsstatus under Opdateringer til Secure Boot Certificate: Vejledning til it-fagfolk og organisationer
Det er også muligt proaktivt at tilmelde sig installation af sikker bootstartcertifikatopdateringer på enheder, der har brug for dem, via en af disse to metoder:
- Opdateringer af registreringsdatabasenøgler til Secure Boot: Windows-enheder med IT-administrerede opdateringer
- GPO-metode (Group Policy Objects) til sikker opstart af Windows-enheder med IT-administrerede opdateringer
Windows Assessment and Deployment Kit (ADK) har tilføjet understøttelse af nøglecenteret i 2023 i version 10.1.26100.2454 (december 2024), og nye WinPE-afbildninger (Windows Preinstallation Environment) kan oprettes med det opdaterede certifikat. Allerede eksisterende afbildninger kan opdateres efter vejledningen her: Opdatering af windows-startmedier til at bruge PCA2023 signeret startstyring