Surface 보안 부팅 인증서

보안 부팅은 디바이스의 부팅(시작) 시퀀스 중에 신뢰할 수 있는 소프트웨어만 실행되는 데 도움이 되는 UEFI(Unified Extensible Firmware Interface) 기반 펌웨어의 보안 기능입니다. 디바이스의 펌웨어에 저장된 신뢰할 수 있는 디지털 인증서(인증 기관 또는 CA라고도 함)에 대해 사전 부팅 소프트웨어의 디지털 서명을 확인하여 작동합니다. 업계 표준인 UEFI 보안 부팅은 플랫폼 펌웨어가 인증서를 관리하고 펌웨어를 인증하는 방법 및 OS(운영 체제)가 이 프로세스와 인터페이스하는 방법을 정의합니다.

2026년에 만료되는 Windows 보안 부팅 인증서

Windows 디바이스를 안전하게 유지하기 위해 Microsoft는 시작 중에 맬웨어로부터 디바이스를 보호하는 보안 기능인 보안 부팅에서 사용하는 인증서를 업데이트하고 있습니다. 원래 2011년에 발급된 이러한 인증서는 2026년 6월부터 만료되도록 설정됩니다. 보호를 유지하려면 디바이스가 그 전에 최신 2023 보안 부팅 인증서 집합을 받아야 합니다. 대부분의 사용자의 경우 필요한 업데이트는 사용자 작업 없이 Windows 업데이트 통해 자동으로 전달됩니다.

업데이트가 성공적으로 적용되었는지 여부는 Windows 보안 앱의 보안 부팅 인증서 업데이트 상태 설명한 대로 Windows 보안 앱을 통해 확인할 수 있습니다. organization IT 전문가는 PowerShell 검색 스크립트를 통해 관리 디바이스에 대한 상태 확인할 수도 있습니다.

Surface 디바이스에 어떤 영향을 주나요?

2024년에 릴리스된 모든 Surface 장치에는 최신 2023 보안 부팅 인증서가 포함된 업데이트된 UEFI 보안 부팅 서명 데이터베이스(DB)가 있습니다. 이전 Surface 디바이스의 경우 필요한 업데이트가 창 업데이트를 통해 자동으로 배달될 때까지 기다리지 않고 해당 장치에 이미 IT 관리형 업데이트가 있는 경우 다음과 같은 몇 가지 배포 방법을 사용할 수 있습니다.

· Microsoft Intune 메서드

· 레지스트리 키 메서드

· GPO(그룹 정책 개체) 메서드

일부 Surface 디바이스는 UEFI를 통해 이러한 보안 부팅 업데이트를 배포할 수도 있지만 추가 단계와 사용자 개입이 필요합니다. 아래 표에서는 이러한 업데이트를 수동으로 배포할 준비가 된 디바이스를 보여 주지만 이렇게 하면 BitLocker 복구 시나리오가 트리거되므로 다음 단계를 수행하는 경우 BitLocker 복구 키를 사용할 수 있는지 확인합니다 .

1. 볼륨 업 및 전원을 유지하여 UEFI 펌웨어 설정 메뉴로 부팅

2. 보안 섹션으로 이동하고 보안 부팅 에서 "구성 변경" 단추를 클릭합니다.

3. 드롭다운 메뉴에서 "Microsoft 전용"을 선택하고 확인을 선택합니다.

4. 설정 메뉴의 왼쪽에서 종료 옵션을 선택한 다음"지금 다시 시작"을 선택합니다.

보안 부팅 인증서를 업데이트하는 데 사용되는 방법에 관계없이 아래 표의 모든 Surface 장치(및 2024년 이상에서 릴리스된 장치)는 이러한 인증서가 필요한 Microsoft에서 사용할 수 있는 복구 이미지를 업데이트 했습니다.

¹Surface Hub 3 복구 이미지는 Windows 11 마이그레이션된 Hub 2S 디바이스에서 사용할 수 있습니다.

IT 전문가 및 조직을 위한 추가 옵션

Windows ADK(평가 및 배포 키트)는 버전 10.1.26100.2454(2024년 12월)의 2023 CA에 대한 지원을 추가했으며, 업데이트된 인증서를 사용하여 새로운 WinPE(Windows 사전 설치 환경) 이미지를 만들 수 있습니다. 기존 이미지는 PCA2023 서명된 부팅 관리자를 사용하도록 Windows 부팅 가능 미디어 업데이트 지침에 따라 업데이트할 수 있습니다.

관련 항목

• 비즈니스용Surface 디바이스에서 Surface UEFI 설정 관리
• Surface UEFI를 사용하는 방법