Безпечне завантаження – це функція безпеки в мікропрограмі на основі інтерфейсу UEFI, яка забезпечує запуск лише надійного програмного забезпечення під час послідовності завантаження (запуску) пристрою. Він працює, перевіряючи цифровий підпис програмного забезпечення перед завантаженням на наявність набору надійних цифрових сертифікатів (також відомих як центр сертифікації або центр сертифікації), що зберігаються в мікропрограмі пристрою. Як галузевий стандарт, UEFI Secure Boot визначає, як мікропрограма платформи керує сертифікатами, автентифікує мікропрограму та як інтерфейси операційної системи (ОС) з цим процесом.
Термін дії сертифікатів безпечного завантаження Windows завершується у 2026 р.
Щоб захистити пристрій Windows, корпорація Майкрософт оновлює сертифікати, що використовуються за допомогою безпечного завантаження– функції безпеки, яка допомагає захистити пристрої від зловмисних програм під час запуску системи. Термін дії цих сертифікатів, випущених у 2011 році, завершується з червня 2026 року. Щоб захистити пристрій, пристрій має отримати новіший набір сертифікатів безпечного завантаження 2023 року до цього часу. Для більшості користувачів необхідні оновлення доставлятимуться автоматично через windows Оновлення без жодних дій користувача.
Чи можна перевірити успішність застосування оновлень у програмі Безпека у Windows, як описано в розділі Стан оновлення сертифіката безпечного завантаження в програмі Безпека у Windows. ІТ-фахівці в організації також можуть перевірити стан керованих пристроїв за допомогою сценарію виявлення PowerShell.
Як це впливає на пристрої Surface?
Усі пристрої Surface, випущені в 2024 році та пізніших версіях , мають оновлену базу даних UEFI Secure Boot Signature Database (DB), яка містить новіші сертифікати безпечного завантаження 2023 року. Якщо ви не хочете, щоб необхідні оновлення надалялись автоматично за допомогою Windows Update на попередніх пристроях Surface, а на цих пристроях уже є оновлення під керуванням ІТ-служб, доступно кілька способів розгортання:
· Метод Групова політика Objects (GPO)
Деякі пристрої Surface також можуть розгортати ці оновлення безпечного завантаження за допомогою свого UEFI, але це вимагає додаткових кроків і втручання користувача. У таблиці нижче показано, на яких пристроях ці оновлення готові до ручного розгортання, але це призведе до запуску сценарію відновлення BitLocker, тому переконайтеся, що ключ відновлення BitLocker доступний , якщо ви виконуєте такі дії:
1. Завантажте в меню настройок мікропрограми UEFI, утримуючи рівень гучності та живлення
2. Перейдіть до розділу безпека і в розділі Безпечне завантаження натисніть кнопку "Змінити конфігурацію"
3. Виберіть "Лише Microsoft" у розкривному меню та натисніть кнопку OK.
4. У лівій частині меню настройок виберіть вихід параметр , а потім "Перезавантажити зараз"
Незалежно від методу оновлення сертифікатів безпечного завантаження всі пристрої Surface у таблиці нижче (і ті, що були випущені в 2024 році та пізніших версіях) оновили доступні в корпорації Майкрософт зображення для відновлення , для яких потрібні ці сертифікати.
| Назва товару. | Мінімальна версія UEFI з доступними оновленнями безпечного завантаження |
|---|---|
| Surface Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 з 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X Wi-Fi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1(-е)Зображення для відновлення Surface Hub 3 можна використовувати з пристроями Hub 2S, які було перенесено до Windows 11.
Додаткові варіанти для ІТ-фахівців і організацій
Пакет оцінювання та розгортання Windows (ADK) додав підтримку для центру сертифікації 2023 року у версії 10.1.26100.2454 (грудень 2024 р.), а нові зображення середовища попередньої інсталяції Windows (WinPE) можна створити з оновленим сертифікатом. Попередньо наявні зображення можна оновити, дотримуючись наведених тут вказівок: Оновлення завантажувального носія Windows для використання диспетчера завантаження PCA2023.