Certyfikaty bezpiecznego rozruchu tabletu Surface
Bezpieczny rozruch to funkcja zabezpieczeń w oprogramowaniu układowym opartym na interfejsie UEFI (Unified Extensible Firmware Interface), która zapewnia, że podczas sekwencji rozruchu (uruchamiania) urządzenia działa tylko zaufane oprogramowanie. Jego działaniem jest weryfikowanie podpisu cyfrowego oprogramowania przed rozruchem w zestawie zaufanych certyfikatów cyfrowych (nazywanych również urzędem certyfikacji) przechowywanych w oprogramowaniu układowym urządzenia. Jako standard branżowy, bezpieczny rozruch UEFI definiuje, jak oprogramowanie układowe platformy zarządza certyfikatami, uwierzytelnia oprogramowanie układowe i jak system operacyjny (OS) łączy się z tym procesem.
Certyfikaty bezpiecznego rozruchu systemu Windows wygasają w 2026 r.
Aby zapewnić bezpieczeństwo urządzenia z systemem Windows, firma Microsoft aktualizuje certyfikaty używane przez bezpieczny rozruch — funkcję zabezpieczeń pomagającą chronić urządzenia przed złośliwym oprogramowaniem podczas uruchamiania. Te certyfikaty, pierwotnie wydane w 2011 r., mają wygasnąć od czerwca 2026 r. Aby zachować ochronę, urządzenie musi przedtem otrzymać nowszy zestaw certyfikatów bezpiecznego rozruchu w wersji 2023. W przypadku większości użytkowników wymagane aktualizacje będą dostarczane automatycznie za pośrednictwem systemu Windows Aktualizacje bez konieczności akcji użytkownika.
Czy aktualizacje zostały pomyślnie zastosowane, można zweryfikować za pośrednictwem aplikacji Zabezpieczenia Windows, zgodnie z opisem w temacie Stan aktualizacji certyfikatu bezpiecznego rozruchu w aplikacji Zabezpieczenia Windows. Informatycy w organizacji mogą również weryfikować stan zarządzanych urządzeń za pomocą skryptu wykrywania programu PowerShell.
Jaki ma to wpływ na urządzenia Surface?
Wszystkie urządzenia Surface wydane w 2024 r. i nowszych wersjach mają zaktualizowaną bazę danych DB (DB) bezpiecznego rozruchu UEFI zawierającą nowsze certyfikaty bezpiecznego rozruchu 2023. W przypadku wcześniejszych urządzeń Surface, jeśli nie chcesz czekać na automatyczne dostarczanie wymaganych aktualizacji za pośrednictwem usługi Windows Update, a te urządzenia mają już aktualizacje zarządzane przez dział informatyczny, dostępnych jest kilka metod wdrażania:
· metoda obiektów zasady grupy (GPO)
Niektóre urządzenia Surface mogą również wdrażać te aktualizacje bezpiecznego rozruchu za pośrednictwem interfejsu UEFI, ale wymaga to wykonania dodatkowych czynności i interwencji użytkownika. W poniższej tabeli przedstawiono, które urządzenia mają te aktualizacje gotowe do ręcznego wdrożenia, ale spowoduje to uruchomienie scenariusza odzyskiwania funkcji BitLocker, dlatego upewnij się, że klucz odzyskiwania funkcji BitLocker jest dostępny w przypadku wykonania następujących czynności:
2. Przejdź do sekcji Zabezpieczenia i w obszarze Bezpieczny rozruch kliknij przycisk "Zmień konfigurację"
3. Wybierz pozycję "Tylko microsoft" z menu rozwijanego i wybierz przycisk OK.
4. Po lewej stronie menu ustawień wybierz opcję Zakończ , a następnie "Uruchom ponownie teraz"
Niezależnie od metody używanej do aktualizowania certyfikatów bezpiecznego rozruchu wszystkie urządzenia Surface w poniższej tabeli (i te wydane w 2024 r. i nowszych wersjach) mają zaktualizowane obrazy odzyskiwania dostępne przez firmę Microsoft, które wymagają tych certyfikatów.
| Nazwa produktu | Minimalna wersja interfejsu UEFI z dostępnymi aktualizacjami bezpiecznego rozruchu |
|---|---|
| Surface Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 z 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X WiFi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1Obrazów odzyskiwania urządzenia Surface Hub 3 można używać z urządzeniami Hub 2S, które zostały zmigrowane do Windows 11.
Dodatkowe opcje dla informatyków i organizacji
Zestaw ADK (Windows Assessment and Deployment Kit) dodał obsługę urzędu certyfikacji w wersji 2023 w wersji 10.1.26100.2454 (grudzień 2024 r.), a nowe obrazy środowiska preinstalacji systemu Windows (WinPE) można tworzyć za pomocą zaktualizowanego certyfikatu. Istniejące wcześniej obrazy można aktualizować zgodnie z poniższymi wskazówkami: Aktualizowanie nośnika rozruchowego systemu Windows w celu korzystania z PCA2023 podpisanego menedżera rozruchu.