ใบรับรองการบูตแบบปลอดภัยสําหรับ Surface

การบูตแบบปลอดภัยเป็นฟีเจอร์ความปลอดภัยในเฟิร์มแวร์ Unified Extensible Firmware Interface (UEFI) ที่ช่วยให้แน่ใจว่าซอฟต์แวร์ที่เชื่อถือได้เท่านั้นที่ทํางานระหว่างลําดับการบูต (เริ่ม) ของอุปกรณ์ ซึ่งทํางานโดยการตรวจสอบลายเซ็นดิจิทัลของซอฟต์แวร์ก่อนการเริ่มต้นระบบกับชุดใบรับรองดิจิทัลที่เชื่อถือได้ (หรือที่เรียกว่าผู้ให้บริการออกใบรับรองหรือ CA) ที่เก็บไว้ในเฟิร์มแวร์ของอุปกรณ์ ตามมาตรฐานอุตสาหกรรม UEFI Secure Boot จะกําหนดวิธีที่เฟิร์มแวร์ของแพลตฟอร์มจัดการใบรับรอง รับรองความถูกต้องของเฟิร์มแวร์ และวิธีการที่อินเทอร์เฟสของระบบปฏิบัติการ (OS) กับกระบวนการนี้

ใบรับรองการบูตแบบปลอดภัยของ Windows ที่หมดอายุในปี 2026

เพื่อช่วยรักษาความปลอดภัยของอุปกรณ์ Windows ของคุณ Microsoft กําลังอัปเดตใบรับรองที่ใช้โดยการบูตแบบปลอดภัย ซึ่งเป็นฟีเจอร์ด้านความปลอดภัยที่ช่วยปกป้องอุปกรณ์ของคุณจากมัลแวร์ระหว่างการเริ่มต้นระบบ ใบรับรองเหล่านี้ซึ่งออกให้ครั้งแรกในปี 2554 มีการตั้งค่าเป็นหมดอายุตั้งแต่เดือนมิถุนายน 2026 เพื่อให้ได้รับการปกป้องอยู่เสมอ อุปกรณ์ของคุณต้องได้รับใบรับรองการบูตแบบปลอดภัย 2023 ชุดที่ใหม่กว่าก่อน สําหรับผู้ใช้ส่วนใหญ่ การอัปเดตที่จําเป็นจะถูกส่งโดยอัตโนมัติผ่านทาง Windows Updates โดยไม่จําเป็นต้องมีการดําเนินการของผู้ใช้

การอัปเดตที่นําไปใช้สําเร็จสามารถตรวจสอบผ่านแอป ความปลอดภัยของ Windows ตามที่อธิบายไว้ใน สถานะการอัปเดตใบรับรองการบูตแบบปลอดภัย ในแอป ความปลอดภัยของ Windows หรือไม่ ผู้เชี่ยวชาญด้าน IT ในองค์กรยังสามารถตรวจสอบสถานะสําหรับอุปกรณ์ที่มีการจัดการผ่านสคริปต์การตรวจจับ PowerShell

สิ่งนี้ส่งผลกระทบต่ออุปกรณ์ Surface อย่างไร

อุปกรณ์ Surface ทั้งหมดที่เผยแพร่ในปี 2024 และใหม่กว่ามี UEFI Secure Boot Signature Database (DB) ที่อัปเดตซึ่งมีใบรับรองการบูตแบบปลอดภัยของ 2023 ที่ใหม่กว่า สําหรับอุปกรณ์ Surface รุ่นก่อนหน้า หากคุณไม่ต้องการรอให้การอัปเดตที่จําเป็นส่งโดยอัตโนมัติผ่านทาง Window Update และอุปกรณ์เหล่านั้นมีการอัปเดตที่จัดการโดย IT อยู่แล้ว จะมีวิธีการปรับใช้หลายวิธี:

· วิธีการ Microsoft Intune

· วิธีการของรีจิสทรีคีย์

· เมธอด นโยบายกลุ่ม Objects (GPO)

อุปกรณ์ Surface บางอย่างยังสามารถปรับใช้การอัปเดตการบูตแบบปลอดภัยเหล่านี้ผ่าน UEFI ได้ แต่ต้องมีขั้นตอนเพิ่มเติมและการแทรกแซงของผู้ใช้ ตารางด้านล่างแสดงอุปกรณ์ที่มีการอัปเดตเหล่านี้พร้อมสําหรับการปรับใช้ด้วยตนเอง แต่การทําเช่นนั้นจะทริกเกอร์สถานการณ์การกู้คืน BitLocker ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณมีคีย์การกู้คืน BitLocker ที่พร้อมใช้งาน หากคุณทําตามขั้นตอนเหล่านี้:

1. เริ่มต้นระบบใน เมนูการตั้งค่าเฟิร์มแวร์ UEFI โดยการกดปุ่มเพิ่มระดับเสียงและเปิด/ปิดเครื่อง

2. ไปที่ส่วน ความปลอดภัย และภายใต้ การบูตแบบปลอดภัย คลิกปุ่ม "เปลี่ยนการกําหนดค่า"

3. เลือก "Microsoft เท่านั้น" ในเมนูดรอปดาวน์ และเลือก ตกลง

4. ทางด้านซ้ายของเมนูการตั้งค่า ให้เลือกตัวเลือก ออก จากนั้นเลือก "เริ่มระบบใหม่เดี๋ยวนี้"

โดยไม่คํานึงถึงวิธีการที่ใช้ในการอัปเดตใบรับรองการบูตแบบปลอดภัย อุปกรณ์ Surface ทั้งหมดในตารางด้านล่าง (และที่เผยแพร่ในปี 2024 และใหม่กว่า) ได้ อัปเดตอิมเมจการกู้คืน ที่พร้อมใช้งานจาก Microsoft ที่ต้องการใบรับรองเหล่านี้

¹อิมเมมการกู้คืน Surface Hub 3 สามารถใช้กับอุปกรณ์ Hub 2S ที่ถูกโยกย้ายไปยัง Windows 11

ตัวเลือกเพิ่มเติมสําหรับผู้เชี่ยวชาญด้านไอทีและองค์กร

Windows Assessment and Deployment Kit (ADK) ได้เพิ่มการสนับสนุนสําหรับ 2023 CA ในเวอร์ชัน 10.1.26100.2454 (ธันวาคม 2024) และสามารถสร้างรูปภาพ Windows Preinstallation Environment (WinPE) ใหม่ด้วยใบรับรองที่อัปเดตแล้ว รูปภาพที่มีอยู่ก่อนสามารถอัปเดตได้ตามคําแนะนําที่นี่: การอัปเดตสื่อที่สามารถเริ่มต้นระบบได้ของ Windows เพื่อใช้ตัวจัดการการเริ่มต้นระบบที่ PCA2023 แล้ว

หัวข้อที่เกี่ยวข้อง

• จัดการการตั้งค่า Surface UEFI บนอุปกรณ์ Surface สำหรับธุรกิจ
• วิธีใช้ Surface UEFI