Certificati di avvio protetto di Surface
Avvio protetto è una funzionalità di sicurezza del firmware basato su UEFI (Unified Extensible Firmware Interface) che garantisce l'esecuzione solo di software attendibile durante la sequenza di avvio di un dispositivo. Funziona verificando la firma digitale del software di pre-avvio rispetto a un set di certificati digitali attendibili (noti anche come autorità di certificazione o CA) archiviati nel firmware del dispositivo. Come standard di settore, UEFI Secure Boot definisce in che modo il firmware della piattaforma gestisce i certificati, autentica il firmware e come il sistema operativo interagisce con questo processo.
Certificati di avvio protetto di Windows in scadenza nel 2026
Per proteggere il dispositivo Windows, Microsoft sta aggiornando i certificati usati da Avvio protetto, una funzionalità di sicurezza che consente di proteggere i dispositivi da malware durante l'avvio. Questi certificati, emessi in origine nel 2011, scadranno a partire da giugno 2026. Per rimanere protetto, il dispositivo deve prima ricevere un set più recente di certificati di avvio protetto 2023. Per la maggior parte degli utenti, gli aggiornamenti necessari verranno distribuiti automaticamente tramite Windows Aggiornamenti senza che sia necessario alcun intervento dell'utente.
È possibile verificare se gli aggiornamenti sono stati applicati correttamente tramite l'app Sicurezza di Windows, come descritto in Stato di aggiornamento del certificato di avvio protetto nell'app Sicurezza di Windows. I professionisti IT di un'organizzazione possono anche verificare lo stato per i dispositivi gestiti tramite uno script di rilevamento di PowerShell.
Qual è l'impatto di questo effetto su dispositivi Surface?
Tutti i dispositivi Surface rilasciati nel 2024 e versioni successive dispongono di un database di firma di avvio protetto UEFI aggiornato che contiene i certificati di avvio protetto 2023 più recenti. Per i dispositivi Surface precedenti, se non desideri attendere che gli aggiornamenti necessari vengano distribuiti automaticamente tramite Windows Update e che tali dispositivi dispongano già di aggiornamenti gestiti dall'IT, sono disponibili diversi metodi di distribuzione:
· Metodo della chiave del Registro di sistema
· metodo Criteri di gruppo Objects (GPO)
Alcuni dispositivi Surface possono anche distribuire questi aggiornamenti di avvio protetto tramite l'interfaccia UEFI, ma ciò richiede ulteriori passaggi e l'intervento dell'utente. La tabella seguente mostra quali dispositivi hanno questi aggiornamenti pronti per la distribuzione manuale, ma in questo modo verrà attivato uno scenario di ripristino di BitLocker, quindi assicurati di avere la chiave di ripristino di BitLocker disponibile se esegui questi passaggi:
1. Esegui l'avvio nel menu delle impostazioni del firmware UEFI tenendo premuto il tasto di aumento del volume e l'alimentazione
2. Vai alla sezione Sicurezza e in Avvio protetto fai clic sul pulsante "Cambia configurazione"
3. Selezionare "Solo Microsoft" nel menu a discesa e scegliere OK
4. Sul lato sinistro del menu impostazioni, scegli l'opzione Esci e quindi "Riavvia ora"
Indipendentemente dal metodo utilizzato per aggiornare i certificati di avvio protetto, tutti i dispositivi Surface nella tabella seguente (e quelli rilasciati nel 2024 e versioni successive) hanno aggiornato le immagini di ripristino disponibili da Microsoft che richiedono questi certificati.
| Nome prodotto | Versione UEFI minima con aggiornamenti di avvio protetto disponibili |
|---|---|
| Surface Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 con 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Wi-Fi Surface Pro X | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1Le immagini di ripristino di Surface Hub 3 possono essere usate con i dispositivi Hub 2S di cui è stata eseguita la migrazione a Windows 11.
Opzioni aggiuntive per professionisti IT e organizzazioni
Windows Assessment and Deployment Kit (ADK) ha aggiunto il supporto per la CA 2023 nella versione 10.1.26100.2454 (dicembre 2024) e nuove immagini di Ambiente preinstallazione di Windows (WinPE) possono essere create con il certificato aggiornato. Le immagini preesistenti possono essere aggiornate seguendo le istruzioni riportate qui: Aggiornamento dei supporti di avvio di Windows per l'uso del boot manager con firma PCA2023.