Chứng chỉ Khởi động an toàn của Surface
Khởi động An toàn là một tính năng bảo mật trong vi chương trình dựa trên Unified Extensible Firmware Interface (UEFI) giúp đảm bảo rằng chỉ phần mềm đáng tin cậy chạy trong chuỗi khởi động (bắt đầu) của thiết bị. Cách này hoạt động bằng cách xác minh chữ ký số của phần mềm trước khi khởi động dựa trên một tập hợp các chứng chỉ kỹ thuật số đáng tin cậy (còn được gọi là cơ quan cấp chứng chỉ hoặc CA) được lưu trữ trong vi chương trình của thiết bị. Là một tiêu chuẩn ngành, Khởi động An toàn UEFI xác định cách vi chương trình nền tảng quản lý các chứng chỉ, xác thực vi chương trình và cách giao diện hệ điều hành (HĐH) với quy trình này.
Chứng chỉ Khởi động An toàn của Windows hết hạn vào năm 2026
Để giúp giữ an toàn cho thiết bị Windows của bạn, Microsoft đang cập nhật các chứng chỉ mà Khởi động An toàn sử dụng—một tính năng bảo mật giúp bảo vệ thiết bị của bạn khỏi phần mềm có hại trong khi khởi động. Các chứng chỉ, ban đầu được phát hành vào năm 2011, được đặt hết hạn bắt đầu vào tháng 6 năm 2026. Để tiếp tục được bảo vệ, trước đó, thiết bị của bạn cần nhận được một bộ chứng chỉ mới. Đối với hầu hết người dùng, điều này đã xảy ra thông qua các bản cập nhật Surface được cung cấp thông qua Windows Update hoặc sẽ xảy ra trong tương lai thông qua các bản cập nhật bảo mật Windows thông thường.
Điều này ảnh hưởng như thế nào đến các thiết bị Surface?
Microsoft đã bắt đầu cập nhật Cơ sở dữ liệu Chữ ký Khởi động An toàn UEFI (DB) trên thiết bị Surface để chứa chứng chỉ "Windows UEFI CA 2023" bắt đầu từ năm 2023 và các bản cập nhật này đã được gửi đến các thiết bị Surface thông qua vi chương trình UEFI được cài đặt bởi Windows Update. Ngoài ra, tất cả các thiết bị Surface được sản xuất vào năm 2024 và sau đó đều được khởi chạy với chứng chỉ "Windows UEFI CA 2023". Đối với các thiết bị không được liệt kê cụ thể trong bảng bên dưới, hãy làm theo hướng dẫn chung được cung cấp cho người dùng Windows.
Bảng dưới đây cho biết những thiết bị nào có chứng chỉ cập nhật đã có trong UEFI (và phiên bản, nếu có) và hình ảnh khôi phục cập nhật sẵn có từ Microsoft.
| Tên Sản phẩm | Phiên bản UEFI tối thiểu với CA 2023 |
|---|---|
| Surface Laptop 13 inch | Bất kỳ (sản phẩm ra mắt với 2023 CA) |
| Surface Pro 12 inch | Bất kỳ (sản phẩm ra mắt với 2023 CA) |
| Surface Laptop 5G dành cho Doanh nghiệp | Bất kỳ (sản phẩm ra mắt với 2023 CA) |
| Surface Laptop Phiên bản 7, bộ xử lý Intel | Bất kỳ (sản phẩm ra mắt với 2023 CA) |
| Surface Pro 11th Edition, bộ xử lý Intel | Bất kỳ (sản phẩm ra mắt với 2023 CA) |
| Surface Pro 5G Phiên bản 11 | Bất kỳ (sản phẩm ra mắt với 2023 CA) |
| Surface Pro 11, bộ xử lý Snapdragon | Bất kỳ (sản phẩm ra mắt với 2023 CA) |
| Surface Laptop Phiên bản 7, bộ xử lý Snapdragon | Bất kỳ (sản phẩm ra mắt với 2023 CA) |
| Surface Laptop 6 dành cho Doanh nghiệp | Bất kỳ (sản phẩm ra mắt với 2023 CA) |
| Surface Pro 10 với 5G | Bất kỳ (sản phẩm ra mắt với 2023 CA) |
| Surface Pro 10 dành cho Doanh nghiệp | Bất kỳ (sản phẩm ra mắt với 2023 CA) |
| Surface Hub 31 | Bất kỳ (sản phẩm ra mắt với 2023 CA) |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 với 5G | 18.7.235.0 |
| Bộ Phát triển Windows 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X WiFi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1Có thể sử dụng hình ảnh phục hồi Surface Hub 3 với các thiết bị Hub 2S đã được di chuyển sang Windows 11.
Hành động dành cho các chuyên gia CNTT và tổ chức
Thông tin chi tiết khác về việc chứng chỉ Khởi động An toàn hết hạn và xác thực trạng thái thiết bị hiện tại có sẵn tại bản cập nhật Chứng chỉ Khởi động An toàn: Hướng dẫn cho các chuyên gia CNTT và tổ chức
Bạn cũng có thể chủ động chọn tham gia để triển khai các bản cập nhật chứng chỉ Khởi động An toàn trên các thiết bị cần chúng thông qua một trong hai phương pháp sau:
- Cập nhật khóa đăng ký cho tính năng Khởi động an toàn: Thiết bị Windows có bản cập nhật do bộ phận CNTT quản lý
- Phương pháp sử dụng đối tượng chính sách nhóm (GPO) để cấu hình Secure Boot cho các thiết bị Windows được quản lý cập nhật bởi bộ phận CNTT
Bộ công cụ Đánh giá và Triển khai Windows (ADK) đã bổ sung hỗ trợ cho CA 2023 trong phiên bản 10.1.26100.2454 (tháng 12 năm 2024) và hình ảnh Môi trường Cài đặt sẵn (WinPE) mới của Windows có thể được tạo bằng chứng chỉ đã cập nhật. Các hình ảnh tồn tại trước có thể được cập nhật theo hướng dẫn tại đây: Cập nhật phương tiện có thể khởi động Windows để sử dụng trình quản lý khởi động PCA2023 ký của bạn