Certificados de arranque seguro de Surface
Arranque seguro es una característica de seguridad del firmware basado en Unified Extensible Firmware Interface (UEFI) que ayuda a garantizar que solo se ejecute software de confianza durante la secuencia de arranque (inicio) de un dispositivo. Funciona verificando la firma digital del software previo al arranque con un conjunto de certificados digitales de confianza (también conocidos como entidad emisora de certificados o CA) almacenados en el firmware del dispositivo. Como estándar del sector, el arranque seguro de UEFI define cómo el firmware de la plataforma administra los certificados, autentica el firmware y cómo interactúa el sistema operativo (SO) con este proceso.
Los certificados de arranque seguro de Windows expiran en 2026
Para ayudar a proteger tu dispositivo Windows, Microsoft está actualizando los certificados que usa arranque seguro, una función de seguridad que ayuda a proteger tus dispositivos contra el malware durante el inicio. Estos certificados, emitidos originalmente en 2011, están configurados para expirar a partir de junio de 2026. Para seguir estando protegido, el dispositivo debe recibir antes un conjunto más reciente de certificados de arranque seguro 2023. Para la mayoría de los usuarios, las actualizaciones necesarias se entregarán automáticamente a través de Windows Novedades sin que sea necesaria ninguna acción del usuario.
Puede comprobarse si las actualizaciones se aplicaron correctamente a través de la aplicación Seguridad de Windows, como se describe en Estado de actualización del certificado de arranque seguro en la aplicación Seguridad de Windows. Los profesionales de TI de una organización también pueden comprobar el estado de los dispositivos administrados mediante un script de detección de PowerShell.
¿Cómo afecta esto a los dispositivos Surface?
Todos los dispositivos Surface publicados en 2024 y posteriores tienen una base de datos de firmas de arranque seguro (DB) UEFI actualizada que contiene los certificados de arranque seguro 2023 más recientes. Para dispositivos Surface anteriores, si no deseas esperar a que las actualizaciones necesarias se entreguen automáticamente a través de Windows Update y esos dispositivos ya tienen actualizaciones administradas por TI, hay varios métodos de implementación disponibles:
· Método de clave del Registro
· método objetos de directiva de grupo (GPO)
Algunos dispositivos Surface también pueden implementar estas actualizaciones de arranque seguro a través de su UEFI, pero esto requiere pasos adicionales e intervención del usuario. La siguiente tabla muestra qué dispositivos tienen estas actualizaciones listas para la implementación manual, pero al hacerlo se desencadenará un escenario de recuperación de BitLocker, por lo que debes asegurarte de que tienes tu clave de recuperación de BitLocker disponible si sigues estos pasos:
1. Arranca en el menú de configuración de firmware de la UEFI manteniendo pulsado el volumen y el encendido
2. Ve a la sección Seguridad y, en Arranque seguro , haz clic en el botón "Cambiar configuración".
3. Seleccione "Solo Microsoft" en el menú desplegable y elija Aceptar.
4. En el lado izquierdo del menú de configuración, elige la opción Salir y luego "Reiniciar ahora"
Independientemente del método usado para actualizar los certificados de arranque seguro, todos los dispositivos Surface de la tabla siguiente (y los publicados en 2024 y posteriores) han actualizado las imágenes de recuperación disponibles de Microsoft que requieren estos certificados.
| Nombre del producto | Versión mínima de UEFI con actualizaciones de arranque seguro disponibles |
|---|---|
| Surface Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 con 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| WiFi de Surface Pro X | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1Las imágenes de recuperación de Surface Hub 3 se pueden usar con dispositivos Hub 2S que se han migrado a Windows 11.
Opciones adicionales para profesionales de TI y organizaciones
El Windows Assessment and Deployment Kit (ADK) agregó compatibilidad con la CA 2023 en la versión 10.1.26100.2454 (diciembre de 2024) y se pueden crear nuevas imágenes del Entorno de preinstalación de Windows (WinPE) con el certificado actualizado. Las imágenes preexistebles se pueden actualizar siguiendo las instrucciones que se encuentran aquí: Actualizar los medios de arranque de Windows para usar el administrador de arranque firmado por PCA2023.