Chứng chỉ Khởi động an toàn của Surface

Khởi động An toàn là một tính năng bảo mật trong vi chương trình dựa trên Unified Extensible Firmware Interface (UEFI) giúp đảm bảo rằng chỉ phần mềm đáng tin cậy chạy trong chuỗi khởi động (bắt đầu) của thiết bị. Cách này hoạt động bằng cách xác minh chữ ký số của phần mềm trước khi khởi động dựa trên một tập hợp các chứng chỉ kỹ thuật số đáng tin cậy (còn được gọi là cơ quan cấp chứng chỉ hoặc CA) được lưu trữ trong vi chương trình của thiết bị. Là một tiêu chuẩn ngành, Khởi động An toàn UEFI xác định cách vi chương trình nền tảng quản lý các chứng chỉ, xác thực vi chương trình và cách giao diện hệ điều hành (HĐH) với quy trình này.

Chứng chỉ Khởi động An toàn của Windows hết hạn vào năm 2026

Để giúp giữ an toàn cho thiết bị Windows của bạn, Microsoft đang cập nhật các chứng chỉ mà Khởi động An toàn sử dụng—một tính năng bảo mật giúp bảo vệ thiết bị của bạn khỏi phần mềm có hại trong khi khởi động. Các chứng chỉ, ban đầu được phát hành vào năm 2011, được đặt hết hạn bắt đầu vào tháng 6 năm 2026. Để tiếp tục được bảo vệ, thiết bị của bạn cần phải nhận được một bộ chứng chỉ Khởi động An toàn 2023 mới hơn trước đó. Đối với hầu hết người dùng, các bản cập nhật cần thiết sẽ được gửi tự động thông qua Windows Cập nhật yêu cầu hành động của người dùng.

Việc áp dụng thành công các bản cập nhật có thể được xác minh thông qua Ứng dụng Bảo mật Windows hay không, như được mô tả trong trạng thái cập nhật chứng chỉ Khởi động An toàn trong ứng Bảo mật Windows. Các chuyên gia CNTT trong tổ chức cũng có thể xác minh trạng thái cho các thiết bị được quản lý thông qua tập lệnh phát hiện PowerShell.

Điều này ảnh hưởng như thế nào đến các thiết bị Surface?

Tất cả các thiết bị Surface được phát hành vào năm 2024 trở lên có cập nhật cơ sở dữ liệu chữ ký khởi động an toàn UEFI (DB) chứa chứng chỉ Khởi động An toàn 2023 mới hơn. Đối với các thiết bị Surface cũ hơn, nếu bạn không muốn đợi các bản cập nhật cần thiết được gửi tự động thông qua Window Update và các thiết bị đó đã có các bản cập nhật được quản lý CNTT, có sẵn một số phương pháp triển khai:

· Microsoft Intune pháp

· Phương pháp khóa đăng ký

· chính sách nhóm Đối tượng (GPO)

Một số thiết bị Surface cũng có thể triển khai các bản cập nhật Khởi động An toàn thông qua UEFI, nhưng điều đó yêu cầu thêm các bước và sự can thiệp của người dùng. Bảng dưới đây cho biết những thiết bị nào có các bản cập nhật này sẵn sàng để triển khai thủ công, nhưng làm như vậy sẽ kích hoạt kịch bản khôi phục BitLocker, vì vậy, hãy đảm bảo bạn có khóa khôi phục BitLocker nếu bạn thực hiện các bước sau:

1. Khởi động vào menu cài đặt vi chương trình UEFI bằng cách giữ nút tăng âm lượng và nguồn

2. Đi tới phần Bảo mật và trong Khởi động An toàn , bấm vào nút "Thay đổi Cấu hình"

3. Chọn "Chỉ Microsoft" trong menu thả xuống và chọn OK

4. Ở bên trái của menu cài đặt, chọn tùy chọn Thoát , rồi chọn "Khởi động lại ngay"

Bất kể phương pháp được sử dụng để cập nhật chứng chỉ Khởi động An toàn, tất cả các thiết bị Surface trong bảng bên dưới (và các thiết bị được phát hành trong năm 2024 trở lên) đều có sẵn hình ảnh khôi phục cập nhật từ Microsoft yêu cầu các chứng chỉ này.

¹Có thể sử dụng hình ảnh phục hồi Surface Hub 3 với các thiết bị Hub 2S đã được di chuyển sang Windows 11.

Tùy chọn bổ sung cho các chuyên gia CNTT và tổ chức

Bộ công cụ Đánh giá và Triển khai Windows (ADK) đã bổ sung hỗ trợ cho CA 2023 trong phiên bản 10.1.26100.2454 (tháng 12 năm 2024) và hình ảnh Môi trường Cài đặt sẵn (WinPE) mới của Windows có thể được tạo bằng chứng chỉ đã cập nhật. Các hình ảnh tồn tại trước có thể được cập nhật theo hướng dẫn tại đây: Cập nhật phương tiện có thể khởi động Windows để sử dụng trình quản lý PCA2023 khởi động đã ký.

Chủ đề liên quan

• Quản lý cài đặt Surface UEFI trên Surface dành cho thiết bị Doanh nghiệp
• Cách sử dụng Surface UEFI