系统之家装机大师 6 月 25 日消息,Windows Secure Boot(安全启动)于昨日陆续进入过期状态,微软提醒用户虽然不影响 Win11 设备启动,但影响后续安全,如果用户绕过 TPM 偷渡用户更新失败几率更高。
微软为 Windows Secure Boot(安全启动)机制签发的三组核心证书于 2026 年 6 月 24 日起陆续进入过期状态。
这些证书自 2011 年签发以来,一直是验证 PC 启动过程中每个固件与软件组件数字签名的信任锚点。此次更新涉及将系统固件中的信任链从 2011 年的旧证书迁移至 2023 年签发的新证书。
当然,微软已在该日期前将 Secure Boot 2023 证书更新推送至所有符合条件的 Windows 11 和 Windows 10 电脑。如果您的电脑已收到 2026 年 6 月的“星期二补丁”更新,那么无需您进行任何操作。对此,微软回应 Windows Latest 称:
通过此次更新,Windows 质量更新包含更多高置信度的设备定向数据,扩大了有资格自动接收新 Secure Boot 证书的设备覆盖范围。设备仅在展示足够的成功更新信号后才会接收新证书,从而维持受控且分阶段的推出。
根据微软官方说明及戴尔等厂商公布的清晰时间线,本次证书过期的具体节点为:
微软公司密钥交换密钥证书(Microsoft Corporation KEK CA 2011)于 2026 年 6 月 24 日过期。
微软 UEFI CA 2011 证书于 2026 年 6 月 27 日过期。
微软 Windows 生产 PCA 2011 证书则将于 2026 年 10 月 19 日过期。
当前运行与长期风险
对于普通用户而言,证书过期之后不会导致 Win11 突然无法启动。依赖旧证书的设备仍可正常开机,应用程序也不会出现重大问题。微软将此次截止日期设计为一次后台基础设施的更新,而非立即生效的“终止开关”。
真正的风险在于后续。如果设备未能完成新证书的迁移,将失去接收未来启动层面安全补丁的能力。
Windows 将停止为这些未更新的设备更新 Windows 启动管理器(Windows Boot Manager)、安全启动数据库(DB)以及撤销黑名单(DBX)。这使得硬件在面对 BlackLotus 等专门的固件级启动套件(Bootkit)时处于无防护状态 —— 这类恶意软件在传统杀毒软件启动之前就已感染系统。
安全启动的设计初衷正是为了防范此类引导程序病毒,它们会在操作系统及大多数其他代码之前完成加载,极难被检测和清除。
自动更新与潜在问题
对大多数用户而言,修复方案会通过每月的 Windows 更新渠道静默完成。Windows 会自动将旧证书替换为“Microsoft Corporation KEK 2K CA 2023”等新证书。
2024 年起出厂的新款 PC 已在工厂预装了这些新密钥。系统之家装机大师注意到,微软在 2024 年 2 月 13 日及之后的更新中已包含将 Windows UEFI CA 2023 证书应用到安全启动允许签名数据库(DB)的能力。
然而,较旧的设备与自行组装的 PC 可能面临问题。某些老款主板架构需要手动刷新 BIOS,才能支持 2023 年证书所需的更大加密密钥尺寸。
技术人员还提到,在那些曾使用手段绕过 CPU 或 TPM 硬件检查来安装 Windows 11 的机器上,更新失败率更高。微软也明确警告,在安全启动禁用的情况下无法更新证书。对于企业 IT 管理员,微软建议通过 Intune 监控报告验证更新状态,并在推送前对每种硬件型号的代表性设备进行测试。
用户可通过以下方式检查设备的安全启动状态:打开“Windows 安全中心”应用,点击“设备安全性”,在“安全启动”区域查看状态徽章;或按 Windows 键 +R 打开运行对话框,输入 msinfo32 后回车,在系统信息中查看“安全启动状态”。
系统推荐
1. 拥有超强的性能,专为“干重活”的专业用户设计(例如 CAD、动画、媒体制作者、图形设计团队等等),推荐你下载:Windows11 25H2 专业工作站版(前往下载)
2. 真正纯净的 Windows11 专业版系统,安装完成以后不捆绑软件,系统占用小。推荐你下载:Windows11 25H2 纯净专业版系统(前往下载)
3. 拥有五年超长生命周期支持的养老版,不频繁更新补丁,适合对稳定性要求高的企业用户。推荐你下载:Win11 24H2 LTSC 2024 企业版(前往下载)
4. 支持远程桌面主机、组策略管理等高级功能,适合对安全性、管理性和专业性有更高需求的用户。推荐你下载:Windows 11 25H2 专业版(前往下载)
以上是系统之家装机大师提供的最新资讯,感谢您的阅读,更多精彩内容请关注系统之家装机大师官网。
热门视频
换一批
