Surface 安全開機憑證

安全開機是統一可擴充韌體介面(Unified Extensible Firmware Interface) (基於UEFI) 韌體的一項安全功能,有助於確保只有受信任的軟體在裝置開機 (啟動) 順序中執行。 它透過驗證開機前軟體的數位簽章,並與一組可信的數位憑證(也稱為憑證授權中心或 CA)相符,這些憑證憑證儲存在裝置韌體中 () 來運作。 作為產業標準,UEFI 安全開機定義了平台韌體如何管理憑證、驗證韌體,以及作業系統 (作業系統) 如何與此流程介接。

Windows 安全開機憑證將於 2026 年到期

為了幫助保護你的 Windows 裝置安全,Microsoft 正在更新安全啟動(Secure Boot)所使用的憑證——這是一項安全功能,能 在啟動時保護你的裝置免受惡意軟體侵害。 這些證書最初於2011年核發,預計 將於2026年6月起到期。 為了保持保護,你的裝置需要在此之前取得一套更新的 2023 年安全開機憑證。 對大多數使用者來說,所需的更新會透過 Windows 匯報自動傳送,無需使用者操作。

更新是否成功套用可透過 Windows 安全性應用程式驗證,詳情請參閱 Windows 安全性應用程式中的安全開機憑證更新狀態。 組織中的 IT 專業人員也能 透過 PowerShell 偵測腳本驗證受管裝置的狀態

這會如何影響 Surface 裝置?

2024 年及以後發行的所有 Surface 裝置都已更新 UEFI 安全開機簽章資料庫 (資料庫) ,包含較新的 2023 年安全開機憑證。 對於較早期的 Surface 裝置,如果你不想等待 Windows Update 自動交付所需的更新,且這些裝置已經有 IT 管理的更新,有幾種部署方式可供選擇:

·Microsoft Intune 方法

· 登錄檔金鑰方法

·群組原則 (GPO) 方法 的物件

部分 Surface 裝置也能透過 UEFI 部署這些安全開機更新,但這需要額外步驟和使用者介入。 下表顯示哪些裝置已準備好手動部署這些更新,但若手動部署,將觸發 BitLocker 復原情境,請 確保你有 BitLocker 復原金鑰, 若採取以下步驟:

1. 按 住音量放大和電源鍵,進入 UEFI 韌體設定選單

2. 進入 安全 區塊,在 安全開機 下點選「變更設定」按鈕

3. 在下拉選單中選擇「僅 Microsoft」並選擇確定

4. 在設定選單左側,選擇 退出 選項,然後選擇「立即重啟

無論更新安全開機憑證的方法為何,下表中所有 Surface 裝置 (,以及 2024 年及以後發行的裝置,) 都已從需要這些憑證的 Microsoft提供更新的復原映像 檔。

產品名稱 最低 UEFI 版本,並可獲得安全開機更新
Surface Hub 31 6.104.143.0
Surface Go 4 8.200.143.0
Surface Laptop Go 3 10.200.143.0
Surface Laptop Studio 2 16.200.143.0
Surface Laptop 5 9.200.143.0
Surface Pro 9 12.200.143.0
Surface Pro 9 具有 5G 18.7.235.0
Windows 開發套件 2023 12.6.235.0
Surface Studio 2+ 20.101.143.0
Surface Laptop Go 2 26.102.143.0
Surface Laptop SE 7.9.139.0
Surface Pro X WiFi 10.703.140.0
Surface Go 3 11.200.143.0
Surface Pro 8 23.200.143.0
Surface Laptop Studio 23.200.143.0
Surface Laptop 4 (Intel) 23.200.143.0
Surface Laptop 4 (AMD) 4.200.140.0
Surface Pro 7+ 23.200.143.0
Surface Pro 7 17.200.140.0
Surface Book 3 17.200.140.0

1Surface Hub 3 的復原映像檔可用於已遷移至 Windows 11 的 Hub 2S 裝置

IT 專業人員與組織的額外選項

ADK (Windows 評估與部署套件) 於 2024 年 12 月) 版本 10.1.26100.2454 新增對 2023 CA (支援,並可利用更新後的憑證建立新的 Windows 預安裝環境 (WinPE) 映像。 可依此指引更新既有映像檔: 更新 Windows 可開機媒體以使用PCA2023簽名的開機管理器。