Surface 安全启动证书

安全启动是统一可扩展固件接口中的一项安全功能, (基于 UEFI) 的固件,可帮助确保只有受信任的软件在设备的启动 (启动) 序列中运行。 它的工作原理是针对存储在设备固件中的一组受信任的数字证书 ((也称为证书颁发机构或 CA) )验证预启动软件的数字签名。 作为行业标准,UEFI 安全启动定义了平台固件如何管理证书、对固件进行身份验证,以及操作系统 (操作系统) 如何与此过程交互。

Windows 安全启动证书在 2026 年到期

为了帮助保护 Windows 设备的安全,Microsoft正在更新安全启动使用的证书,这是一项安全功能,可帮助 在启动期间保护设备免受恶意软件的侵害。 这些最初于 2011 年颁发的证书 将于 2026 年 6 月到期。 为了保持受保护状态,设备需要在此之前接收一组较新的 2023 安全启动证书。 对于大多数用户,所需的更新将通过 Windows 汇报自动提供,无需用户操作。

是否可以通过 Windows 安全中心 应用验证更新是否成功,如 Windows 安全中心 应用中的安全启动证书更新状态中所述。 组织中的 IT 专业人员还可以 通过 PowerShell 检测脚本验证托管设备的状态

这如何影响 Surface 设备?

2024 年及更高版本发布的所有 Surface 设备都具有更新的 UEFI 安全启动签名数据库 (DB) ,其中包含较新的 2023 安全启动证书。 对于早期的 Surface 设备,如果不希望等待所需的更新通过窗口更新自动传递,并且这些设备已有 IT 管理的更新,可以使用以下几种部署方法:

·Microsoft Intune 方法

· 注册表项方法

·组策略 对象 (GPO) 方法

某些 Surface 设备还可以通过其 UEFI 部署这些安全启动更新,但这需要额外的步骤和用户干预。 下表显示了哪些设备已准备好手动部署这些更新,但这样做将触发 BitLocker 恢复方案,因此,如果执行以下步骤, 请确保具有可用的 BitLocker 恢复密钥

1. 通过按住音量和电源启动到 UEFI 固件设置菜单

2. 转到 “安全性 ”部分,然后在“ 安全启动 ”下单击“更改配置”按钮

3.在下拉菜单中选择“仅Microsoft”,然后选择“确定”

4. 在设置菜单的左侧,选择 “退出 ”选项,然后选择“立即重启

无论使用哪种方法更新安全启动证书,下表中的所有 Surface 设备 (以及 2024 年及更高版本发布的 Surface 设备) 都更新了需要这些证书的Microsoft提供的 恢复映像

产品名称 具有可用安全启动更新的最低 UEFI 版本
Surface Hub 31 6.104.143.0
Surface Go 4 8.200.143.0
Surface Laptop Go 3 10.200.143.0
Surface Laptop 工作室 2 16.200.143.0
Surface Laptop 5 9.200.143.0
Surface Pro 9 12.200.143.0
Surface Pro 9 5G 版 18.7.235.0
Windows 开发工具包 2023 12.6.235.0
Surface Studio 2+ 20.101.143.0
Surface Laptop Go 2 26.102.143.0
Surface Laptop SE 7.9.139.0
Surface Pro X WiFi 10.703.140.0
Surface Go 3 11.200.143.0
Surface Pro 8 23.200.143.0
Surface Laptop 工作室 23.200.143.0
Surface Laptop 4 (Intel) 23.200.143.0
Surface Laptop 4 (AMD) 4.200.140.0
Surface Pro 7+ 23.200.143.0
Surface Pro 7 17.200.140.0
Surface Book 3 17.200.140.0

1Surface Hub 3 恢复映像可与已迁移到 Windows 11 的 Hub 2S 设备一起使用。

面向 IT 专业人员和组织的其他选项

Windows 评估和部署工具包 (ADK) 在版本 10.1.26100.2454 中添加了对 2023 CA 的支持, (2024 年 12 月) ,新的 Windows 预安装环境 (WinPE) 映像可以使用更新的证书创建。 可以按照以下指南更新预先存在的映像: 更新 Windows 可启动媒体以使用PCA2023签名的启动管理器。