overflate Secure Boot-sertifikater
Sikker oppstart er en sikkerhetsfunksjon i UEFI-basert fastvare (Unified Extensible Firmware Interface) som bidrar til å sikre at bare klarert programvare kjører under en enhets oppstartssekvens (start). Det fungerer ved å bekrefte den digitale signaturen til forhåndsoppstartet programvare mot et sett med klarerte digitale sertifikater (også kjent som sertifiseringsinstans eller SERTIFISERING) som er lagret i enhetens fastvare. Som en bransjestandard definerer UEFI Secure Boot hvordan plattform-fastvaren administrerer sertifikater, godkjenner fastvare og hvordan operativsystemets grensesnitt (OS) med denne prosessen.
Sertifikater for sikker oppstart av Windows utløper i 2026
Microsoft oppdaterer sertifikatene som brukes av sikker oppstart, for å bidra til å holde Windows-enheten sikker– en sikkerhetsfunksjon som bidrar til å beskytte enhetene mot skadelig programvare under oppstart. Disse sertifikatene, opprinnelig utstedt i 2011, er satt til å utløpe fra juni 2026. For å forbli beskyttet må enheten motta et nyere sett med sertifikater for sikker oppstart i 2023 før den tid. For de fleste brukere leveres de nødvendige oppdateringene automatisk via Windows Oppdateringer uten at det kreves noen brukerhandling.
Om oppdateringene ble tatt i bruk, kan bekreftes via Windows Sikkerhet App, som beskrevet i oppdateringsstatusen for sertifikatet for sikker oppstart i Windows Sikkerhet-appen. IT-teknikere i en organisasjon kan også bekrefte status for administrerte enheter gjennom et PowerShell-gjenkjenningsskript.
Hvordan påvirker dette overflate-enheter?
Alle overflate-enheter utgitt i 2024 og senere har en oppdatert UEFI Secure Boot Signature Database (DB) som inneholder de nyere 2023 Secure Boot-sertifikatene. For tidligere overflate-enheter, hvis du ikke ønsker å vente på at de nødvendige oppdateringene skal leveres automatisk via Vindusoppdatering, og disse enhetene allerede har IT-administrerte oppdateringer, finnes det flere tilgjengelige distribusjonsmetoder:
· gruppepolicy Objects-metode (GPO)
Noen overflate-enheter kan også distribuere disse oppdateringene for sikker oppstart gjennom UEFI, men det krever ytterligere trinn og brukerintervensjon. Tabellen nedenfor viser hvilke enheter som har disse oppdateringene klare for manuell distribusjon, men dette utløser et BitLocker-gjenopprettingsscenario, så sørg for at du har BitLocker-gjenopprettingsnøkkelen tilgjengelig hvis du utfører disse trinnene:
1. Start opp i innstillingsmenyen for UEFI-fastvare ved å holde volum opp og strøm
2. Gå til Sikkerhet-delen, og klikk endre konfigurasjon-knappen under Sikker oppstart
3. Velg «Bare Microsoft» i rullegardinmenyen, og velg OK
4. Velg Avslutt på venstre side av Innstillinger-menyen, og deretter Start på nytt nå
Uavhengig av metoden som brukes til å oppdatere sertifikater for sikker oppstart, har alle overflate-enheter i tabellen nedenfor (og de som ble utgitt i 2024 og nyere) oppdaterte gjenopprettingsbilder som er tilgjengelige fra Microsoft som krever disse sertifikatene.
| Produktnavn | Minimum UEFI-versjon med tilgjengelige oppdateringer for sikker oppstart |
|---|---|
| overflate Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 med 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X WiFi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1overflate Hub 3-gjenopprettingsbilder kan brukes med Hub 2S-enheter som har blitt overført til Windows 11.
Flere alternativer for IT-teknikere og organisasjoner
Windows Assessment and Deployment Kit (ADK) la til støtte for 2023 CA i versjon 10.1.26100.2454 (desember 2024), og nye WinPE-bilder (Windows Preinstallation Environment) kan opprettes med det oppdaterte sertifikatet. Eksisterende bilder kan oppdateres ved å følge veiledningen her: Oppdatere windows oppstartbare medier for å bruke PCA2023 signert oppstartsbehandling.