Surface 安全開機憑證

安全開機是統一可擴充韌體介面（Unified Extensible Firmware Interface） (基於UEFI) 韌體的一項安全功能，有助於確保只有受信任的軟體在裝置開機 (啟動) 順序中執行。它透過驗證開機前軟體的數位簽章，並與一組可信的數位憑證（也稱為憑證授權中心或 CA）相符，這些憑證憑證儲存在裝置韌體中 () 來運作。作為產業標準，UEFI 安全開機定義了平台韌體如何管理憑證、驗證韌體，以及作業系統 (作業系統) 如何與此流程介接。

Windows 安全開機憑證將於 2026 年到期

為了幫助保護你的 Windows 裝置安全，Microsoft 正在更新安全啟動（Secure Boot）所使用的憑證——這是一項安全功能，能在啟動時保護你的裝置免受惡意軟體侵害。這些證書最初於2011年核發，預計將於2026年6月起到期。為了保護裝置，必須在此之前取得新的憑證。對大多數使用者來說，這已經透過 Windows Update 的 Surface 更新實現，或未來會透過一般的 Windows 安全更新實現。

這會如何影響 Surface 裝置？

Microsoft 從 2023 年起開始更新 Surface 裝置上的 UEFI 安全開機簽章資料庫 (DB) ，以包含「Windows UEFI CA 2023」憑證，這些更新透過 Windows Update 安裝的 UEFI 韌體傳送給 Surface 裝置。此外，所有 2024 年及以後製造的 Surface 裝置都附帶「Windows UEFI CA 2023」證書。對於未特別列於下表的裝置，請遵循 Windows 使用者提供的一般指引。

除了更新儲存在 UEFI 中的憑證外，我們也正在更新截至 2025 年 9 月所有目前支援 (的 Surface 復原映像) Surface 裝置。下表顯示哪些裝置已在 UEFI (中擁有更新憑證，以及在哪個版本（如適用）) 及更新的復原映像狀態。

產品名稱	最低 UEFI 版本，2023 CA 版本	BMR (恢復映像檔已更新至 2023 年) CA
Surface Laptop 13 吋	任何與2023年CA上市 (產品)
Surface Pro 12 吋	任何與2023年CA上市 (產品)
商務用 Surface Laptop 5G	任何與2023年CA上市 (產品)
Surface Laptop 第七版，Intel 處理器	任何與2023年CA上市 (產品)
Surface Pro 第11版，Intel 處理器	任何與2023年CA上市 (產品)
Surface Pro 第十一版 5G	任何與2023年CA上市 (產品)
Surface Pro 第11版，Snapdragon 處理器	任何與2023年CA上市 (產品)
Surface Laptop 第七版，Snapdragon 處理器	任何與2023年CA上市 (產品)
商務用 Surface Laptop 6	任何與2023年CA上市 (產品)
Surface Pro 10 搭配 5G	任何與2023年CA上市 (產品)
商務用 Surface Pro 10	任何與2023年CA上市 (產品)
Surface Hub 3	任何與2023年CA上市 (產品)	2023 (，加州簽署的BMR將於2026年1月^{1) 發布}
Surface Go 4	8.200.143.0
Surface Laptop Go 3	10.200.143.0
Surface Laptop Studio 2	16.200.143.0
Surface Laptop 5	9.200.143.0
Surface Pro 9	12.200.143.0
Surface Pro 9 具有 5G	18.7.235.0
Windows 開發套件 2023	12.6.235.0
Surface Studio 2+	20.101.143.0
Surface Laptop Go 2	26.102.143.0
Surface Laptop SE	7.9.139.0
Surface Pro X WiFi	10.703.140.0
Surface Go 3	11.200.143.0
Surface Pro 8	23.200.143.0
Surface Laptop Studio	23.200.143.0
Surface Laptop 4 (Intel)	23.200.143.0
Surface Laptop 4 (AMD)	4.200.140.0
Surface Pro 7+	23.200.143.0
Surface Pro 7	17.200.140.0
Surface Book 3	17.200.140.0