Secure Boot adalah fitur keamanan dalam firmware berbasis Unified Extensible Firmware Interface (UEFI) yang membantu memastikan bahwa hanya perangkat lunak tepercaya yang berjalan selama urutan boot (mulai) perangkat. Cara kerjanya dengan memverifikasi tanda tangan digital perangkat lunak pra-boot terhadap sekumpulan sertifikat digital tepercaya (juga dikenal sebagai otoritas sertifikat atau CA) yang disimpan di firmware perangkat. Sebagai standar industri, UEFI Secure Boot menentukan bagaimana firmware platform mengelola sertifikat, mengautentikasi firmware, dan bagaimana antarmuka sistem operasi (OS) dengan proses ini.
Sertifikat Boot Aman Windows kedaluwarsa pada tahun 2026
Untuk membantu menjaga perangkat Windows Anda tetap aman, Microsoft memperbarui sertifikat yang digunakan oleh Boot Aman—fitur keamanan yang membantu melindungi perangkat Anda dari malware selama startup. Sertifikat ini, awalnya diterbitkan pada tahun 2011, diatur untuk kedaluwarsa mulai Juni 2026. Agar tetap terlindungi, perangkat Anda harus menerima kumpulan sertifikat Secure Boot 2023 yang lebih baru sebelum itu. Bagi sebagian besar pengguna, pembaruan yang diperlukan akan dikirimkan secara otomatis melalui Windows Updates tanpa memerlukan tindakan pengguna.
Apakah pembaruan berhasil diterapkan dapat diverifikasi melalui Aplikasi Keamanan Windows, seperti yang dijelaskan dalam status pembaruan sertifikat Boot Aman di aplikasi Keamanan Windows. Profesional TI dalam organisasi juga dapat memverifikasi status untuk perangkat terkelola melalui skrip deteksi PowerShell.
Bagaimana hal ini memengaruhi perangkat Surface?
Semua perangkat Surface yang dirilis pada tahun 2024 dan yang lebih baru memiliki Database Tanda Tangan Boot Aman (DB) UEFI yang diperbarui yang berisi sertifikat Secure Boot 2023 yang lebih baru. Untuk perangkat Surface yang lebih lama, jika Anda tidak ingin menunggu pembaruan yang diperlukan dikirimkan secara otomatis melalui Window Update, dan perangkat tersebut sudah memiliki pembaruan yang dikelola TI, terdapat beberapa metode penyebaran yang tersedia:
· metode objek Kebijakan Grup (GPO)
Beberapa perangkat Surface juga dapat menyebarkan pembaruan Boot Aman ini melalui UEFI mereka, tetapi memerlukan langkah tambahan dan intervensi pengguna. Tabel di bawah ini memperlihatkan perangkat mana yang memiliki pembaruan ini yang siap untuk penyebaran manual, tetapi melakukannya akan memicu skenario pemulihan BitLocker, jadi pastikan Kunci pemulihan BitLocker Anda tersedia jika Anda melakukan langkah-langkah ini:
1. Boot ke menu pengaturan firmware UEFI dengan menahan volume dan daya
2. Masuk ke bagian Keamanan dan di bawah Boot Aman klik tombol "Ubah Konfigurasi"
3. Pilih "Hanya Microsoft" di menu menurun dan pilih OK
4. Di sisi kiri menu pengaturan, pilih opsi Keluar lalu "Mulai ulang sekarang"
Terlepas dari metode yang digunakan untuk memperbarui sertifikat Boot Aman, semua perangkat Surface dalam tabel di bawah ini (dan yang dirilis pada 2024 dan yang lebih baru) telah memperbarui gambar pemulihan yang tersedia dari Microsoft yang memerlukan sertifikat ini.
| Nama Produk | Versi minimum UEFI dengan pembaruan Boot Aman yang tersedia |
|---|---|
| Surface Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 dengan 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| WiFi X Surface Pro | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1Gambar pemulihan Surface Hub 3 dapat digunakan dengan perangkat Hub 2S yang telah dimigrasikan ke Windows 11.
Opsi tambahan untuk profesional dan organisasi TI
Windows Assessment and Deployment Kit (ADK) menambahkan dukungan untuk CA 2023 dalam versi 10.1.26100.2454 (Desember 2024), dan gambar Windows Preinstallation Environment (WinPE) baru dapat dibuat dengan sertifikat yang diperbarui. Gambar yang sudah ada sebelumnya dapat diperbarui mengikuti panduan di sini: Memperbarui media yang dapat di-boot Windows untuk menggunakan PCA2023 boot manager yang ditandatangani.