Certifikáty zabezpečeného spustenia zariadenia Surface
Secure Boot je funkcia zabezpečenia v firmvéri založenom na rozhraní Unified Extensible Firmware Interface (UEFI), ktorá pomáha zabezpečiť, aby sa počas spustenia (spustenia) zariadenia spustil iba dôveryhodný softvér. Funguje tak, že overí digitálny podpis softvéru pred spustením na množine dôveryhodných digitálnych certifikátov (známych aj ako certifikačná autorita alebo CERTIFIKAČNÁ autorita) uložených vo firmvéri zariadenia. Ako priemyselný štandard, UEFI Secure Boot definuje, ako platforma firmware spravuje certifikáty, overuje firmware, a ako operačný systém (OS) rozhrania s týmto procesom.
Platnosť certifikátov zabezpečeného spustenia systému Windows vyprší v roku 2026
Spoločnosť Microsoft aktualizuje certifikáty používané funkciou zabezpečeného spustenia, ktorá pomáha chrániť vaše zariadenia pred malvérom počas spúšťania, čo je pomôcka na zachovanie zabezpečenia zariadenia s Windowsom. Platnosť týchto certifikátov, ktoré boli pôvodne vydané v roku 2011, by mala vypršať od júna 2026. Ak chcete zostať chránení, vaše zariadenie musí dovtedy dostať novšiu množinu certifikátov zabezpečeného spustenia 2023. Pre väčšinu používateľov sa potrebné aktualizácie automaticky doručujú prostredníctvom Windowsu Aktualizácie bez toho, aby sa vyžadovala akcia používateľa.
Či sa aktualizácie úspešne použili, je možné overiť prostredníctvom aplikácie Windows Zabezpečenie, ako je to popísané v stave aktualizácie certifikátu zabezpečeného spustenia v aplikácii Windows Zabezpečenie. IT odborníci v organizácii môžu tiež overiť stav spravovaných zariadení prostredníctvom skriptu zisťovania prostredia PowerShell.
Aký to má vplyv na zariadenia Surface?
Všetky zariadenia Surface vydané v roku 2024 a neskôr majú aktualizovanú databázu podpisu zabezpečeného spustenia rozhrania UEFI (DB), ktorá obsahuje novšie certifikáty zabezpečeného spustenia 2023. V starších zariadeniach Surface, ak nechcete čakať na automatické doručenie potrebných aktualizácií prostredníctvom služby Window Update a tieto zariadenia už majú aktualizácie spravované IT, je k dispozícii niekoľko spôsobov nasadenia:
· Metóda kľúča databázy Registry
· metóda skupinová politika objects (GPO)
Niektoré zariadenia Surface môžu tiež nasadiť tieto aktualizácie zabezpečeného spustenia prostredníctvom rozhrania UEFI, ale to si vyžaduje ďalšie kroky a zásah používateľa. V tabuľke nižšie je uvedené, ktoré zariadenia majú tieto aktualizácie pripravené na manuálne nasadenie, ale tým sa spustí scenár obnovenia funkcie BitLocker, takže ak vykonáte tieto kroky, uistite sa, že máte k dispozícii kľúč na obnovenie funkcie BitLocker :
1. Spustenie do ponuky nastavení firmvéru UEFI podržaním hlasitosti a napájania
2. Prejdite do časti Zabezpečenie a v časti Zabezpečené spustenie kliknite na tlačidlo Zmeniť konfiguráciu
3. V rozbaľovacej ponuke vyberte možnosť Iba spoločnosť Microsoft a vyberte tlačidlo OK.
4. Na ľavej strane ponuky nastavení vyberte možnosť Skončiť a potom položku Reštartovať
Bez ohľadu na metódu, ktorá sa používa na aktualizáciu certifikátov zabezpečeného spustenia, všetky zariadenia Surface v tabuľke nižšie (a zariadenia vydané v roku 2024 a novších verziách) aktualizovali obrázky na obnovenie dostupné od spoločnosti Microsoft, ktoré vyžadujú tieto certifikáty.
| Názov produktu | Minimálna verzia UEFI s dostupnými aktualizáciami zabezpečeného spustenia |
|---|---|
| Surface Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 s 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X WiFi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1. 1Obrázky na obnovenie zariadenia Surface Hub 3 možno použiť so zariadeniami Hub 2S, ktoré boli migrované do Windows 11.
Ďalšie možnosti pre IT profesionálov a organizácie
Súprava Windows Assessment and Deployment Kit (ADK) pridala podporu pre ca 2023 vo verzii 10.1.26100.2454 (december 2024) a pomocou aktualizovaného certifikátu je možné vytvoriť nové obrázky windowsového predinštalačného prostredia (WinPE ). Existujúce obrázky je možné aktualizovať podľa pokynov tu: Aktualizácia zavádzacieho média systému Windows na používanie PCA2023 podpísaného správcu spúšťania.