微软正在更新安全启动证书,以维护 Windows 设备的安全。旧证书将于 2026 年到期,但通过定期更新,向新证书的过渡应该会非常顺利。不过,部分较旧的设备可能无法获得新的安全保护。
目前,兼容的 Windows 设备正在通过 Windows 更新服务进行安全启动证书更新。从 2026 年 6 月起,自 2011 年以来随 Windows 颁发的安全启动证书将陆续过期。微软已宣布,这些旧证书将被 2023 年颁发的新证书替换。
如果您的电脑系统始终保持最新状态,您可能无需进行任何操作。但是,某些较旧的设备在过渡期间可能会遇到问题。
电脑突然出现故障虽然不必立即担心,但随着时间的推移,它可能会在启动时丢失关键的安全保护措施,而您可能却浑然不知。让我们来探讨一下究竟发生了什么,为什么这种情况至关重要,以及如何确保您的电脑及时保持最新状态。
什么是安全启动?
安全启动是UEFI 固件的一项功能,几乎从 2012 年左右开始销售的每一台 PC 都内置了这项功能。
安全启动会在 Windows 启动之前运行,以验证引导加载程序和第一个引导组件是否已由受信任方签名。如果任何不在受信任列表中的程序(例如引导工具包)试图插入到引导链中,安全启动会阻止其运行。
"受信任方"部分至关重要。信任是通过嵌入主板固件中的加密证书建立的。目前的证书于 2011 年颁发,即将过期。其中涉及三个特定的证书:
- 微软公司 KEK CA 2011:有效期至 2026 年 6 月 24 日
- Microsoft UEFI CA 2011:有效期至 2026 年 6 月 27 日
- Microsoft Windows 生产版 PCA 2011:有效期至 2026 年 10 月 19 日
微软正在用一套日期为 2023 年的证书替换它们,其中包括 Windows UEFI CA 2023 和 Microsoft Corporation KEK 2K CA 2023。 据微软工程师称,新证书有效期至2038 年,并且计划在2030 年左右为未来的硬件单独过渡到后量子加密技术。
Ask Microsoft Anything: Secure Boot - March 12, 2026 - Windows Tech Community
我的电脑有安全隐患吗?
这一点至关重要,因为谣言往往比事实更有影响力。
如果证书到期日到来,而您的电脑仍然使用 2011 年的证书,Windows 仍会启动,Windows 更新仍会继续工作,您的电脑仍会继续正常运行。
微软表示 ,变化之处在于,该设备"将无法再接收新的安全保护措施"以用于早期启动过程,包括Windows 启动管理器、安全启动数据库、撤销列表的更新以及针对新发现的启动级漏洞的缓解措施。
简而言之:随着时间的推移,保护您的电脑变得越来越难。它目前可以抵御已知的启动威胁,但未必能抵御下个月或明年发现的威胁。例如,CVE-2022-21894(绰号"接力棒")允许在完全更新的 Windows 系统上绕过安全启动。一旦安装,它就可以在 Windows 完全加载之前禁用 BitLocker、Hypervisor-Protected Code Integrity (HVCI) 和 Microsoft Defender。
这是一个问题,因为引导程序可以禁用通常会检测到它们的安全工具。
IT团队需要了解什么?
如果您管理着大量设备,微软已发布了 详细的指南 来帮助您管理这种情况。简而言之:
Secure Boot Certificate updates: Guidance for IT professionals and organizations - Microsoft Support
立即清点您的设备。提取所有设备的制造商、型号、BIOS 版本和日期、主板产品以及安全启动状态。Microsoft 提供了一个 PowerShell 脚本示例,网址为:
aka.ms/GetSecureBoot它会显示相关的注册表项和事件 ID。
这是一项安全事件,不会在2026年6月24日引发重大事故。当天不会有任何可见的损坏。
真正的风险在于接下来的几个月甚至几年里会发生什么。未能过渡到新的信任链的设备,随着微软持续应对诸如 BlackLotus 和其他启动工具包之类的威胁,可能会逐渐落后于未来的启动级保护措施。
对于大多数家庭用户而言,Windows 更新会自动处理过渡过程。您的主要责任是确保系统保持最新状态,并在截止日期前验证安全启动状态。
如果您的硬件比较老旧,现在是检查制造商是否仍然提供固件更新以及您的电脑是否已准备好迎接未来十年的安全启动保护的好时机。