Сертифікати безпечного завантаження Surface
Безпечне завантаження – це функція безпеки в мікропрограмі на основі інтерфейсу UEFI, яка забезпечує запуск лише надійного програмного забезпечення під час послідовності завантаження (запуску) пристрою. Він працює, перевіряючи цифровий підпис програмного забезпечення перед завантаженням на наявність набору надійних цифрових сертифікатів (також відомих як центр сертифікації або центр сертифікації), що зберігаються в мікропрограмі пристрою. Як галузевий стандарт, UEFI Secure Boot визначає, як мікропрограма платформи керує сертифікатами, автентифікує мікропрограму та як інтерфейси операційної системи (ОС) з цим процесом.
Термін дії сертифікатів безпечного завантаження Windows завершується у 2026 р.
Щоб захистити пристрій Windows, корпорація Майкрософт оновлює сертифікати, що використовуються за допомогою безпечного завантаження– функції безпеки, яка допомагає захистити пристрої від зловмисних програм під час запуску системи. Термін дії цих сертифікатів, випущених у 2011 році, завершується з червня 2026 року. Щоб залишатися захищеним, пристрій має отримати новий набір сертифікатів до цього часу. Для більшості користувачів це вже відбулося через оновлення Surface, доставлені через Windows Update або відбуватимуться в майбутньому за допомогою регулярних оновлень системи безпеки Windows.
Як це впливає на пристрої Surface?
Корпорація Майкрософт почала оновлювати базу даних UEFI Secure Boot Signature Database (DB) на пристроях Surface, щоб вона містила сертифікат "Windows UEFI CA 2023", починаючи з 2023 року, і ці оновлення було доставлено на пристрої Surface через мікропрограму UEFI, інстальовану Windows Update. Крім того, всі пристрої Surface, виготовлені в 2024 році і пізніше, були запущені з сертифікатом "Windows UEFI CA 2023". Для пристроїв, не перелічених у таблиці нижче, дотримуйтеся загальних інструкцій для користувачів Windows.
У таблиці нижче показано, які пристрої вже мають оновлені сертифікати в UEFI (а також версію, якщо це можливо) і оновлене образ для відновлення , доступне від корпорації Майкрософт.
| Назва товару. | Мінімальна версія UEFI з 2023 CA |
|---|---|
| Surface Laptop 13 дюймів | Будь-який (продукт запущено з 2023 CA) |
| Surface Pro 12 дюймів | Будь-який (продукт запущено з 2023 CA) |
| Surface Laptop 5G для бізнесу | Будь-який (продукт запущено з 2023 CA) |
| Surface Laptop 7th Edition, процесор Intel | Будь-який (продукт запущено з 2023 CA) |
| 11-й випуск Surface Pro, процесор Intel | Будь-який (продукт запущено з 2023 CA) |
| Surface Pro 11-е видання 5G | Будь-який (продукт запущено з 2023 CA) |
| 11-й випуск Surface Pro, процесор Snapdragon | Будь-який (продукт запущено з 2023 CA) |
| Surface Laptop 7th Edition, процесор Snapdragon | Будь-який (продукт запущено з 2023 CA) |
| Surface Laptop 6 для бізнесу | Будь-який (продукт запущено з 2023 CA) |
| Surface Pro 10 з 5G | Будь-який (продукт запущено з 2023 CA) |
| Surface Pro 10 для бізнесу | Будь-який (продукт запущено з 2023 CA) |
| Surface Hub 31 | Будь-який (продукт запущено з 2023 CA) |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 з 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X Wi-Fi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1(-е)Зображення для відновлення Surface Hub 3 можна використовувати з пристроями Hub 2S, які було перенесено до Windows 11.
Дії для ІТ-фахівців і організацій
Докладніші відомості про завершення терміну дії сертифіката безпечного завантаження та перевірку поточного стану пристрою доступні в оновленнях сертифіката безпечного завантаження: Рекомендації для ІТ-фахівців і організацій
Крім того, можна заздалегідь приєднатися до розгортання оновлень сертифіката безпечного завантаження на пристроях, яким вони потрібні, одним із цих двох способів:
- Оновлення розділу реєстру для безпечного завантаження: пристрої Windows з оновленнями, керованими ІТ-фахівцями
- Метод безпечного завантаження за допомогою об’єктів групової політики (GPO) на пристроях Windows з оновленнями, керованими ІТ-фахівцями
Пакет оцінювання та розгортання Windows (ADK) додав підтримку для центру сертифікації 2023 року у версії 10.1.26100.2454 (грудень 2024 р.), а нові зображення середовища попередньої інсталяції Windows (WinPE) можна створити з оновленим сертифікатом. Наявні зображення можна оновити, дотримуючись наведених тут вказівок: Оновлення завантажувального носія Windows для використання диспетчера завантаження PCA2023