Freigeben über

Erweiterte UEFI-Sicherheitsfeatures für Surface Pro 3

In diesem Artikel wird beschrieben, wie Sie das UEFI-Update v3.11.760.0 installieren und konfigurieren, um weitere Sicherheitsoptionen für Surface Pro 3-Geräte zu aktivieren.

Um die Sicherheit von Surface-Geräten genauer zu steuern, bietet das UEFI-Update v3.11.760.0 weitere Sicherheitsoptionen, mit denen Sie bestimmte Hardwaregeräte deaktivieren oder das Starten von diesen Geräten verhindern können. Nachdem das UEFI-Update auf einem Gerät installiert wurde, können Sie es manuell oder automatisch durch Ausführung eines Skripts konfigurieren.

Manuelle Installation des UEFI-Updates

Bevor Sie die erweiterten Sicherheitsfeatures des Surface-Geräts konfigurieren können, müssen Sie zunächst das UEFI-Update v3.11.760.0 installieren. Über Windows Update wird dieses Update automatisch installiert. Weitere Informationen zum Konfigurieren von Windows zur automatischen Aktualisierung über Windows Update finden Sie unter Konfigurieren und Verwenden des Features „Automatische Updates“ in Windows.

Zum Aktualisieren der UEFI auf Surface Pro 3 können Sie die Surface UEFI-Updates als Teil der Firmware und des Treiberpakets für Surface Pro 3 herunterladen und installieren. Diese Firmware- und Treiberpakete stehen auf der Surface Pro 3-Seite im Microsoft Download Center zur Verfügung. Weitere Informationen zu Firmware und Treiberpaketen finden Sie unter Herunterladen von Treibern und Firmware für Surface. Die Firmware- und Treiberpakete sind in zwei Formaten verfügbar: eigenständiger Windows Installer (.msi) und Archiv (.zip). Weitere Informationen zu diesen beiden Formaten und deren Verwendung zum Aktualisieren Ihrer Treiber finden Sie unter Verwalten und Bereitstellen von Surface-Treiber- und Firmwareupdates.

Manuelles Konfigurieren anderer Sicherheitseinstellungen

Hinweis

Auf einem Surface-Gerät können Sie das Firmwaresetup aufrufen, indem Sie das Gerät zunächst ausschalten, die Lauter-Taste gedrückt halten, und dann die Ein/Aus-Taste drücken und loslassen. Wenn das Gerät zu starten begonnen hat, lassen Sie die Lauter-Taste los.

Nachdem das UEFI-Update v3.11.760.0 auf einem Surface-Gerät installiert wurde, wird ein weiteres UEFI-Menü namens Advanced Device Security verfügbar. Wenn Sie dieses Menü auswählen, werden die folgenden Optionen angezeigt:

Option Beschreibung Verfügbare Einstellungen (Standardeinstellungen fett formatiert)
Netzwerkstart Aktiviert oder deaktiviert die Fähigkeit des Surface-Geräts, vom Netzwerk zu starten (PXE-Start). Aktiviert, nicht startbar
Side USB Aktiviert oder deaktiviert den seitlichen USB-Anschluss am Surface-Gerät. Zusätzlich kann der USB-Port aktiviert werden, aber das Starten über USB wird nicht zugelassen. Aktiviert, nicht startbar, deaktiviert
Docking Port Aktiviert oder deaktiviert die Anschlüsse an der Surface-Dockingstation. Zusätzlich kann der Dockinganschluss aktiviert, aber das Starten über einen beliebigen USB- oder Ethernet-Anschluss an der Dockingstation blockiert werden. Aktiviert, nicht startbar, deaktiviert
Frontkamera Aktiviert oder deaktiviert die Kamera an der Vorderseite des Surface-Geräts. Aktiviert, deaktiviert
Rückwärtige Kamera Aktiviert oder deaktiviert die Kamera an der Rückseite des Surface-Geräts. Aktiviert, deaktiviert
On Board Audio Aktiviert oder deaktiviert die Wiedergabe von Audioinhalten auf dem Surface-Gerät. Aktiviert, deaktiviert
microSD Aktiviert oder deaktiviert den MicroSD-Kartensteckplatz am Surface-Gerät. Aktiviert, deaktiviert
WLAN Aktiviert oder deaktiviert den integrierten WLAN-Transceiver des Surface-Geräts. Dadurch wird auch Bluetooth deaktiviert. Aktiviert, deaktiviert
Bluetooth Aktiviert oder deaktiviert den integrierten Bluetooth-Transceiver des Surface-Geräts. Aktiviert, deaktiviert

Automatisieren weiterer Sicherheitseinstellungen

Als IT-Experte mit Administratorrechten können Sie die Konfiguration von UEFI-Einstellungen automatisieren, indem Sie Surface Pro 3 Firmware Tools (476 KB) verwenden, die im Microsoft Download Center verfügbar sind. Diese Tools installieren eine .NET-Assembly, die über eine benutzerdefinierte Anwendung oder ein Skript aufgerufen werden kann.

Voraussetzungen

  • Die Beispielskripts auf dieser Seite wenden die zuvor erwähnte Erweiterung an und gehen daher davon aus, dass das Tool auf dem verwalteten Gerät installiert ist.
  • Die Skripts müssen mit Administratorrechten ausgeführt werden.
  • Der Windows PowerShell Befehl Set-ExecutionPolicy Unrestricted muss vor dem Ausführen von Beispielskripts aufgerufen werden, wenn sie nicht digital signiert sind.

Beispielskripts

Hinweis

Das in den Beispielskripts verwendete UEFI-Kennwort wird in Klartext dargestellt. Wir empfehlen dringend, die Skripts an einem geschützten Speicherort abzulegen und sie in einer kontrollierten Umgebung auszuführen.

Alle konfigurierbaren Optionen anzeigen:

# Load the extension 
[System.Reflection.Assembly]::Load("SurfaceUefiManager, Version=1.0.5483.22783, Culture=neutral, PublicKeyToken=20606f4b5276c705")  
 
# Get the collection of all configurable settings 
$uefiOptions = [Microsoft.Surface.FirmwareOption]::All() 
 
foreach ($uefiOption in $uefiOptions) 
{ 
    Write-Host "Name:" $uefiOption.Name 
    Write-Host " Description =" $uefiOption.Description 
    Write-Host " Current Value =" $uefiOption.CurrentValue 
    Write-Host " Default Value =" $uefiOption.DefaultValue 
    Write-Host " Proposed Value =" $uefiOption.ProposedValue 
     
    # This gives usage and validation information 
    Write-Host " Allowed Values =" $uefiOption.FriendlyRegEx 
    Write-Host " Regular Expression =" $uefiOption.RegEx 
     
    Write-Host 
}

UEFI-Kennwort festlegen oder ändern:

# Load the extension 
[System.Reflection.Assembly]::Load("SurfaceUefiManager, Version=1.0.5483.22783, Culture=neutral, PublicKeyToken=20606f4b5276c705")  
 
# Must supply UEFI administrator Password if set 
# If it is not currently set this is ignored 
[Microsoft.Surface.FirmwareOption]::Unlock("1234") 
 
$Password = [Microsoft.Surface.FirmwareOption]::Find("Password") 
 
# Set New value to 12345 
$Password.ProposedValue = "12345"

Status der vorgeschlagenen Änderungen prüfen:

# Load the extension 
[System.Reflection.Assembly]::Load("SurfaceUefiManager, Version=1.0.5483.22783, Culture=neutral, PublicKeyToken=20606f4b5276c705")  
 
# Check update status 
$updateStatus = [Microsoft.Surface.FirmwareOption]::UpdateStatus 
$updateIteration = [Microsoft.Surface.FirmwareOption]::UpdateIteration 
Write-Host "Last Update Status =" $updateStatus 
Write-Host "Last Update Iteration =" $updateIteration 
 
# Get the individual results for the last proposed update 
# If the device has never had an update attempt this will be an empty list 
$details = [Microsoft.Surface.FirmwareOption]::UpdateStatusDetails 
Write-Host $details.Count "Settings were proposed" 
if ($details.Count -gt 0) 
{ 
    Write-Host "Result Details" 
    foreach ($detail in $details.GetEnumerator()) 
    { 
        Write-Host " " $detail.Key "=" $detail.Value 
    } 
}

UEFI-Standardwerte wiederherstellen:

# Load the extension 
[System.Reflection.Assembly]::Load("SurfaceUefiManager, Version=1.0.5483.22783, Culture=neutral, PublicKeyToken=20606f4b5276c705")  
 
# Must supply UEFI administrator Password if set 
# If it is not currently set this is ignored 
[Microsoft.Surface.FirmwareOption]::Unlock("1234") 
 
# Get the collection of all configurable settings 
$uefiOptions = [Microsoft.Surface.FirmwareOption]::All() 
 
# Reset all options to the factory default 
foreach ($uefiOption in $uefiOptions) 
{ 
    $uefiOption.ProposedValue = $uefiOption.DefaultValue 
}

Interpretation des Statuscodes

Die folgenden status Codes helfen bei der Interpretation der Ergebnisse von UEFI-Konfigurationsänderungen:

  • 00 - Das vorgeschlagene Update war erfolgreich.
  • 02 - Einer der vorgeschlagenen Werte besaß einen ungültigen Wert.
  • 03 – Es wurde ein vorgeschlagener Wertsatz, der nicht erkannt wurde
  • 0F: Das Entsperrkennwort stimmte nicht mit dem aktuell festgelegten Kennwort überein.