Surface biztonságos rendszerindítási tanúsítványok
A Biztonságos rendszerindítás az Egyesített bővíthető belső vezérlőprogram-kezelő (UEFI) alapú belső vezérlőprogram biztonsági funkciója, amely segít biztosítani, hogy csak megbízható szoftverek fussanak az eszköz rendszerindítási (indítási) sorozata során. Úgy működik, hogy ellenőrzi a rendszerindítás előtti szoftverek digitális aláírását az eszköz belső vezérlőprogramjában tárolt megbízható digitális tanúsítványok (más néven hitelesítésszolgáltató vagy hitelesítésszolgáltató) alapján. Iparági szabványként az UEFI Secure Boot meghatározza, hogy a platform belső vezérlőprogramja hogyan kezeli a tanúsítványokat, hogyan hitelesíti a belső vezérlőprogramot, és hogy az operációs rendszer (OS) hogyan kezeli ezt a folyamatot.
A Windows biztonságos rendszerindítási tanúsítványai 2026-ban lejárnak
A Windows-eszköz biztonságának megőrzése érdekében a Microsoft frissíti a Biztonságos rendszerindítás által használt tanúsítványokat– ez a biztonsági funkció segít megvédeni az eszközöket a kártevőktől az indítás során. Ezek az eredetileg 2011-ben kiadott tanúsítványok 2026 júniusától lejárnak. A védelem megőrzése érdekében az eszköznek egy újabb, 2023-ból álló biztonságos rendszerindítási tanúsítványkészletet kell kapnia. A legtöbb felhasználó esetében a szükséges frissítések automatikusan, felhasználói beavatkozás nélkül érkeznek meg a Windows Frissítések.
A frissítések sikeres alkalmazásának ellenőrzése a Windows biztonság alkalmazáson keresztül történik,a biztonságos rendszerindítási tanúsítvány frissítési állapota az Windows biztonság alkalmazásban című cikkben leírtak szerint. A szervezet informatikai szakemberei egy PowerShell-észlelési szkripttel is ellenőrizhetik a felügyelt eszközök állapotát.
Milyen hatással van ez a Surface-eszközökre?
A 2024-ben és később kiadott összes Surface-eszköz rendelkezik egy frissített UEFI biztonságos rendszerindítási aláírási adatbázissal (DB), amely tartalmazza az újabb 2023-ban kiadott biztonságos rendszerindítási tanúsítványokat. A korábbi Surface-eszközök esetében, ha nem szeretné megvárni, hogy a szükséges frissítések automatikusan megérkeznek a Windows Update szolgáltatáson keresztül, és ezek az eszközök már rendelkeznek it-felügyelt frissítésekkel, számos üzembe helyezési módszer érhető el:
· Csoportházirend Objects (GPO) metódus
Egyes Surface-eszközök az UEFI-jükön keresztül is üzembe helyezhetik ezeket a biztonságos rendszerindítási frissítéseket, de ehhez további lépésekre és felhasználói beavatkozásra van szükség. Az alábbi táblázat bemutatja, hogy mely eszközökkel vannak készen ezek a frissítések a manuális üzembe helyezésre, de ezzel elindít egy BitLocker helyreállítási forgatókönyvet, ezért az alábbi lépések elvégzése esetén győződjön meg arról, hogy elérhető a BitLocker helyreállítási kulcsa :
1. Indítsa el az UEFI belső vezérlőprogram-beállítások menüjét a hangerő növelése és a bekapcsolás megtartásával
2. Lépjen a Biztonság szakaszra, és a Biztonságos rendszerindítás területen kattintson a "Konfiguráció módosítása" gombra
3. Válassza a legördülő menü "Csak Microsoft" elemét, majd kattintson az OK gombra
4. A beállítások menü bal oldalán válassza a Kilépés lehetőséget, majd az "Újraindítás most" lehetőséget
A Biztonságos rendszerindítási tanúsítványok frissítéséhez használt módszertől függetlenül az alábbi táblázatban szereplő összes Surface-eszköz (és a 2024-ben és újabb verziókban kiadottak) frissített helyreállítási lemezképekkel rendelkezik a Microsofttól, amelyek igénylik ezeket a tanúsítványokat.
| Terméknév | Az UEFI minimális verziója az elérhető biztonságos rendszerindítási frissítésekkel |
|---|---|
| Surface Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 5G-vel | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X WiFi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1A Surface Hub 3 helyreállítási lemezképei a Windows 11 áttelepített Hub 2S-eszközökkel használhatók.
További lehetőségek informatikai szakemberek és szervezetek számára
A Windows Assessment and Deployment Kit (ADK) 10.1.26100.2454-es verzióban (2024. december) már támogatja a 2023-es hitelesítésszolgáltatót, és új Windows előtelepítési környezet (WinPE) rendszerképek hozhatók létre a frissített tanúsítvánnyal. A már meglévő rendszerképek az alábbi útmutató alapján frissíthetők: Windows rendszerindító adathordozó frissítése az PCA2023 aláírt rendszerindítás-kezelő használatára.