Surface Secure Boot-certifikat

Säker start är en säkerhetsfunktion i UEFI-baserad inbyggd programvara (Unified Extensible Firmware Interface) som säkerställer att endast betrodd programvara körs under en enhets startsekvens (start). Det fungerar genom att verifiera den digitala signaturen för programvara före start mot en uppsättning betrodda digitala certifikat (kallas även certifikatutfärdare eller CERTIFIKATUTFÄRDARE) som lagras i enhetens inbyggda programvara. Som branschstandard definierar UEFI Secure Boot hur plattformens inbyggda programvara hanterar certifikaten, autentiserar inbyggd programvara och hur operativsystemet samverkar med den här processen.

Windows Secure Boot-certifikat upphör att gälla 2026

För att skydda din Windows-enhet uppdaterar Microsoft certifikaten som används av Säker start – en säkerhetsfunktion som skyddar dina enheter från skadlig kod vid start. Dessa certifikat, som ursprungligen utfärdades 2011, upphör att gälla från och med juni 2026. För att vara skyddad måste enheten få en nyare uppsättning 2023-certifikat för säker start innan dess. För de flesta användare levereras de nödvändiga uppdateringarna automatiskt via Windows Uppdateringar utan användaråtgärd.

Om uppdateringarna har tillämpats kan verifieras via Windows-säkerhet-appen enligt beskrivningen i Status för uppdatering av certifikat för säker start i Windows-säkerhet-appen. IT-tekniker i en organisation kan också verifiera status för hanterade enheter via ett PowerShell-identifieringsskript.

Hur påverkar detta Surface-enheter?

Alla Surface-enheter som släpptes 2024 och senare har en uppdaterad databas för säker start av UEFI (DB) som innehåller de nyare 2023 Secure Boot-certifikaten. Om du inte vill vänta på att de nödvändiga uppdateringarna ska levereras automatiskt via Windows Update för tidigare Surface-enheter och enheterna redan har IT-hanterade uppdateringar finns det flera olika distributionsmetoder:

· Microsoft Intune metod

· Registernyckelmetod

· grupprincip-metoden (GPO)

Vissa Surface-enheter kan också distribuera dessa uppdateringar för säker start via sin UEFI, men det kräver ytterligare steg och användarintervention. Tabellen nedan visar vilka enheter som har dessa uppdateringar redo för manuell distribution, men om du gör det utlöser du ett BitLocker-återställningsscenario, så se till att du har din BitLocker-återställningsnyckel tillgänglig om du gör följande:

1. Starta i inställningsmenyn för UEFI-inbyggd programvara genom att hålla volymhöjningsknappen och strömförsörjningen

2. Gå till avsnittet Säkerhet och klicka på knappen Ändra konfiguration under Säker start

3. Välj "Endast Microsoft" i den nedrullningsbara menyn och välj OK

4. På vänster sida av inställningsmenyn väljer du alternativet Avsluta och sedan "Starta om nu"

Oavsett vilken metod som används för att uppdatera certifikat för säker start har alla Surface-enheter i tabellen nedan (och de som släpptes 2024 och senare) uppdaterade återställningsavbildningar från Microsoft som kräver dessa certifikat.

¹Återställningsavbildningar för Surface Hub 3 kan användas med Hub 2S-enheter som har migrerats till Windows 11.

Ytterligare alternativ för IT-personal och organisationer

Windows Assessment and Deployment Kit (ADK) har lagt till stöd för 2023 CA i version 10.1.26100.2454 (december 2024), och nya Windows Preinstallation Environment-avbildningar (WinPE) kan skapas med det uppdaterade certifikatet. Befintliga avbildningar kan uppdateras enligt anvisningarna här: Uppdatera startbara Windows-media för att använda den PCA2023 signerade starthanteraren.

Relaterade ämnen

• Hantera UEFI-inställningar för Surface på Surface för företag enheter
• Använda Surface UEFI