Sikker bootstart er en sikkerhedsfunktion i UEFI-baseret firmware (Unified Extensible Firmware Interface), der er med til at sikre, at kun software, der er tillid til, kører under en enheds startsekvens. Det fungerer ved at bekræfte den digitale signatur for software før start i forhold til et sæt pålidelige digitale certifikater (også kaldet nøglecenter), der er gemt i enhedens firmware. Som en branchestandard definerer UEFI Secure Boot, hvordan platformens firmware administrerer certifikater, godkender firmware, og hvordan operativsystemet (OS) bruger denne proces.
Certifikater til sikker bootstart til Windows udløber i 2026
For at beskytte din Windows-enhed opdaterer Microsoft certifikaterne, der bruges af Sikker bootstart – en sikkerhedsfunktion, der beskytter dine enheder mod malware under start. Disse certifikater, der oprindeligt blev udstedt i 2011, er indstillet til at udløbe fra og med juni 2026. For at være beskyttet skal enheden modtage et nyere sæt 2023-certifikater til sikker bootstart inden da. For de fleste brugere leveres de nødvendige opdateringer automatisk via Windows Opdateringer uden brug af handling.
Om opdateringerne blev anvendt korrekt, kan bekræftes via Windows Sikkerhed-appen, som beskrevet i status for sikker bootstartcertifikatopdatering i Windows Sikkerhed-appen. It-fagfolk i en organisation kan også bekræfte status for administrerede enheder via et PowerShell-registreringsscript.
Hvordan påvirker det overflade-enheder?
Alle overflade-enheder, der blev udgivet i 2024 og nyere , har en opdateret UEFI Secure Boot Signature Database (DB), der indeholder de nyere 2023-certifikater til sikker bootstart. Hvis du ikke vil vente på, at de nødvendige opdateringer leveres automatisk via Windows Update på tidligere overflade-enheder, og disse enheder allerede har it-administrerede opdateringer, er der flere tilgængelige installationsmetoder:
· Registreringsdatabasenøglemetode
· metoden Gruppepolitik objekter (GPO)
Nogle overflade-enheder kan også installere disse opdateringer til sikker bootstart via deres UEFI, men det kræver yderligere trin og brugerinput. Tabellen nedenfor viser, hvilke enheder der har disse opdateringer klar til manuel installation, men hvis du gør det, udløses et BitLocker-genoprettelsesscenarie, så sørg for, at du har din BitLocker-genoprettelsesnøgle tilgængelig , hvis du udfører disse trin:
1. Start i indstillingsmenuen for UEFI-firmware ved at holde lydstyrke op og tænd/sluk
2. Gå til afsnittet Sikkerhed, og klik på knappen "Skift konfiguration" under Sikker bootstart
3. Vælg "Kun Microsoft" i rullemenuen, og vælg OK
4. I venstre side af indstillingsmenuen skal du vælge indstillingen Afslut og derefter "Genstart nu"
Uanset den metode, der bruges til at opdatere certifikater til sikker bootstart, har alle overflade-enheder i tabellen nedenfor (og dem, der blev udgivet i 2024 og nyere) opdateret de genoprettelsesafbildninger , der er tilgængelige fra Microsoft, og som kræver disse certifikater.
| Produktnavn | Minimum UEFI-version med tilgængelige opdateringer til sikker bootstart |
|---|---|
| overflade Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 med 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X-wi-fi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1overflade Hub 3-genoprettelsesafbildninger kan bruges med Hub 2S-enheder, der er blevet overført til Windows 11.
Yderligere indstillinger for it-fagfolk og organisationer
Windows Assessment and Deployment Kit (ADK) har tilføjet understøttelse af nøglecenteret i 2023 i version 10.1.26100.2454 (december 2024), og nye WinPE-afbildninger (Windows Preinstallation Environment) kan oprettes med det opdaterede certifikat. Allerede eksisterende afbildninger kan opdateres efter vejledningen her: Opdatering af Windows-mediet, der kan startes fra, så det bruger det PCA2023 signerede startstyring.