Сертификаты безопасной загрузки Surface
Безопасная загрузка — это функция безопасности встроенного ПО на основе UEFI, которая помогает гарантировать, что во время загрузки (запуска) устройства выполняется только доверенное программное обеспечение. Он работает путем проверки цифровой подписи предзагрузочного программного обеспечения с набором доверенных цифровых сертификатов (также известных как центр сертификации или ЦС), хранящихся в встроенном ПО устройства. В качестве отраслевого стандарта безопасная загрузка UEFI определяет, как встроенное ПО платформы управляет сертификатами, проверяет подлинность встроенного ПО и как операционная система (ОС) взаимодействует с этим процессом.
Срок действия сертификатов безопасной загрузки Windows истекает в 2026 г.
Чтобы обеспечить безопасность устройства с Windows, корпорация Майкрософт обновляет сертификаты, используемые безопасной загрузкой, — функцию безопасности, которая помогает защитить устройства от вредоносных программ во время запуска. Срок действия этих сертификатов, первоначально выданных в 2011 году, истекает с июня 2026 года. Чтобы обеспечить защиту, ваше устройство должно получить более новый набор сертификатов безопасной загрузки 2023 года. Для большинства пользователей необходимые обновления будут автоматически доставлены через Windows Обновления без каких-либо действий пользователя.
Успешно ли применены обновления, можно проверить с помощью приложения Безопасность Windows, как описано в разделе Состояние обновления сертификата безопасной загрузки в приложении Безопасность Windows. ИТ-специалисты в организации также могут проверять состояние управляемых устройств с помощью скрипта обнаружения PowerShell.
Как это влияет на устройства Surface?
Все устройства Surface, выпущенные в 2024 году и более поздних версий , имеют обновленную базу данных UEFI Secure Boot Signature Database (DB), которая содержит более новые сертификаты безопасной загрузки 2023. Для более ранних устройств Surface, если вы не хотите ждать, пока необходимые обновления будут доставлены автоматически через Обновление окна, и на этих устройствах уже есть обновления, управляемые ИТ-решением, существует несколько способов развертывания:
· Метод объектов групповая политика (GPO)
Некоторые устройства Surface также могут развертывать эти обновления безопасной загрузки с помощью UEFI, но это требует дополнительных действий и вмешательства пользователя. В таблице ниже показано, какие устройства имеют эти обновления, готовые к развертыванию вручную, но это приведет к запуску сценария восстановления BitLocker, поэтому убедитесь, что ключ восстановления BitLocker доступен , если вы выполните следующие действия:
1. Загрузите меню параметров встроенного ПО UEFI, удерживая громкость и питание
2. Перейдите в раздел Безопасность и в разделе Безопасная загрузка нажмите кнопку "Изменить конфигурацию".
3. Выберите "Только Майкрософт" в раскрывающемся меню и нажмите кнопку ОК.
4. В левой части меню параметров выберите параметр Выйти , а затем "Перезапустить сейчас".
Независимо от метода, используемого для обновления сертификатов безопасной загрузки, все устройства Surface в таблице ниже (и устройства, выпущенные в 2024 году и более поздних версиях), имеют обновленные образы восстановления , доступные корпорацией Майкрософт, для которых требуются эти сертификаты.
| Наименование товара | Минимальная версия UEFI с доступными обновлениями для безопасной загрузки |
|---|---|
| Surface Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 с 5G | 18.7.235.0 |
| Комплект средств разработки для Windows 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X Wi-Fi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Ноутбук Surface 4 (Intel) | 23.200.143.0 |
| Ноутбук Surface 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1Образы восстановления Surface Hub 3 можно использовать с устройствами Hub 2S, перенесенными в Windows 11.
Дополнительные возможности для ИТ-специалистов и организаций
В пакет средств оценки и развертывания Windows (ADK) добавлена поддержка ЦС 2023 в версии 10.1.26100.2454 (декабрь 2024 г.), а с обновленным сертификатом можно создавать новые образы среды предустановки Windows (WinPE). Существующие образы можно обновить в соответствии с рекомендациями, приведенными здесь: Обновление загрузочного носителя Windows для использования PCA2023 подписанного диспетчера загрузки.