Certificati di avvio protetto di Surface
Avvio protetto è una funzionalità di sicurezza del firmware basato su UEFI (Unified Extensible Firmware Interface) che garantisce l'esecuzione solo di software attendibile durante la sequenza di avvio di un dispositivo. Funziona verificando la firma digitale del software di pre-avvio rispetto a un set di certificati digitali attendibili (noti anche come autorità di certificazione o CA) archiviati nel firmware del dispositivo. Come standard di settore, UEFI Secure Boot definisce in che modo il firmware della piattaforma gestisce i certificati, autentica il firmware e come il sistema operativo interagisce con questo processo.
Certificati di avvio protetto di Windows in scadenza nel 2026
Per proteggere il dispositivo Windows, Microsoft sta aggiornando i certificati usati da Avvio protetto, una funzionalità di sicurezza che consente di proteggere i dispositivi da malware durante l'avvio. Questi certificati, emessi in origine nel 2011, scadranno a partire da giugno 2026. Per rimanere protetto, il dispositivo deve prima ricevere un nuovo set di certificati. Per la maggior parte degli utenti, questa situazione è già stata eseguita tramite gli aggiornamenti di Surface distribuiti tramite Windows Update o in futuro tramite i normali aggiornamenti della sicurezza di Windows.
Qual è l'impatto di questo effetto su dispositivi Surface?
Microsoft ha iniziato ad aggiornare il database della firma di avvio protetto UEFI nei dispositivi Surface in modo da contenere il certificato "WINDOWS UEFI CA 2023" a partire dal 2023 e questi aggiornamenti sono stati distribuiti ai dispositivi Surface tramite firmware UEFI installato da Windows Update. Inoltre, tutti i dispositivi Surface prodotti nel 2024 e successivamente sono stati lanciati con il certificato "Windows UEFI CA 2023". Per i dispositivi non elencati in modo specifico nella tabella seguente, segui le istruzioni generali fornite per gli utenti di Windows.
La tabella seguente mostra quali dispositivi hanno i certificati aggiornati già presenti in UEFI (e quale versione, se applicabile) e un'immagine di ripristino aggiornata disponibile da Microsoft.
| Nome prodotto | Versione UEFI minima con CA 2023 |
|---|---|
| Surface Laptop da 13 pollici | Qualsiasi (prodotto lanciato con 2023 CA) |
| Surface Pro da 12 pollici | Qualsiasi (prodotto lanciato con 2023 CA) |
| Surface Laptop 5G per le aziende | Qualsiasi (prodotto lanciato con 2023 CA) |
| Surface Laptop 7th Edition, processore Intel | Qualsiasi (prodotto lanciato con 2023 CA) |
| Surface Pro 11a edizione, processore Intel | Qualsiasi (prodotto lanciato con 2023 CA) |
| Surface Pro 11a edizione 5G | Qualsiasi (prodotto lanciato con 2023 CA) |
| Surface Pro 11a edizione, processore Snapdragon | Qualsiasi (prodotto lanciato con 2023 CA) |
| Surface Laptop 7th Edition, processore Snapdragon | Qualsiasi (prodotto lanciato con 2023 CA) |
| Surface Laptop 6 per le aziende | Qualsiasi (prodotto lanciato con 2023 CA) |
| Surface Pro 10 con 5G | Qualsiasi (prodotto lanciato con 2023 CA) |
| Surface Pro 10 per le aziende | Qualsiasi (prodotto lanciato con 2023 CA) |
| Surface Hub 31 | Qualsiasi (prodotto lanciato con 2023 CA) |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 con 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Wi-Fi Surface Pro X | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1Le immagini di ripristino di Surface Hub 3 possono essere usate con i dispositivi Hub 2S di cui è stata eseguita la migrazione a Windows 11.
Azioni per professionisti IT e organizzazioni
Altri dettagli sui certificati di avvio protetto e sulla convalida dello stato corrente del dispositivo sono disponibili in Aggiornamenti del certificato di avvio protetto: linee guida per professionisti IT e organizzazioni
È anche possibile acconsentire in modo proattivo alla distribuzione degli aggiornamenti del certificato di avvio protetto nei dispositivi che li richiedono tramite uno di questi due metodi:
- Aggiornamenti delle chiavi del Registro di sistema per avvio protetto: dispositivi Windows con aggiornamenti gestiti dall'IT
- Metodo Oggetti Criteri di gruppo (GPO) di avvio sicuro per dispositivi Windows con aggiornamenti gestiti dall'IT
Windows Assessment and Deployment Kit (ADK) ha aggiunto il supporto per la CA 2023 nella versione 10.1.26100.2454 (dicembre 2024) e nuove immagini di Ambiente preinstallazione di Windows (WinPE) possono essere create con il certificato aggiornato. Le immagini preesistenti possono essere aggiornate seguendo le indicazioni qui: Aggiornamento dei supporti di avvio di Windows per l'uso di gestione di avvio con firma PCA2023