如果你从未关注过电脑里的“安全启动(Secure Boot)”,那么现在是你必须重视它的时候了。今年 6 月,微软用于验证 Windows 引导加载程序合法性的根证书将正式过期。
对于绝大多数 Windows 11 用户,这将是一次无感的后台升级;但对于数亿台 Windows 10 设备而言,这可能意味着永久性的安全防御缺失。
什么是安全启动?为何证书过期如此致命?
安全启动是 UEFI 固件的一项核心功能,它是现代 PC 抵御引导级恶意软件(Bootkits)的第一道防线。
- 工作原理:电脑启动时,UEFI 会检查 Windows 引导加载程序的数字签名。只有持有微软有效签名的程序才能运行,防止黑客在操作系统加载前植入恶意代码。
- 过期后果:加密证书都有有效期。当 6 月证书过期后:
- 不会立即崩溃:你的电脑仍能正常启动进入 Windows 10。
- 安全降级:系统将无法验证使用新证书签名的引导加载程序。这意味着你无法安装未来的启动级安全更新。
- 门户大开:一旦新的引导级病毒出现,过期的证书将无法识别并拦截它们,你的电脑将处于“裸奔”状态。
微软的解决方案:证书轮换
微软已准备了全新的信任链和证书来替代即将过期的旧证书。
- Windows 11 用户:放心。只要你的系统保持更新,Windows 更新 和 OEM 厂商的固件更新会自动在后台完成证书轮换,过程透明无感。
- Windows 10 用户:危机降临。由于 Windows 10 已于 2025 年 10 月正式终止支持,微软不再为其提供常规更新,包括此次关键的证书轮换。
Windows 10 :被遗忘的“孤儿”设备
对于仍在使用 Windows 10 的用户,形势严峻:
- 无自动修复:除非你购买了昂贵的扩展安全更新 (ESU) 计划(主要面向企业且有时限),否则普通消费者设备永远不会收到新的安全启动证书。
- OEM 的冷漠:即使主板厂商愿意推送固件更新,由于硬件已老旧(不支持 Win11),他们缺乏动力去维护这些“寿终正寝”的设备。
- 双重依赖:安全启动更新需要 OS 层(微软)和 固件层(OEM)的完美配合。缺一不可。对于 Win10 设备,这两条路基本都被堵死了。
用户该怎么办?三条出路
面对这一难以修复的长期安全鸿沟,用户仅剩以下选择:
1. 升级至 Windows 11(首选)
- 条件:如果你的硬件支持 Windows 11(或仅需极低成本升级,如加个 TPM 模块或换 CPU),请立即升级。
- 收益:不仅解决证书问题,还能获得持续的安全支持和性能优化。
2. 转向 Linux(最佳替代方案)
- 适用人群:硬件太老无法升级 Win11,但又不想放弃安全性的用户。
- 优势:许多主流 Linux 发行版(如 Ubuntu, Fedora)完全支持安全启动,且不会抛弃旧硬件。只要你的 UEFI 能更新(或部分 Linux 发行版自带 shim 引导器),你就能获得比 Win10 更安全的体验。
- 注意:需确认日常软件是否有 Linux 替代品。
3. 接受风险或关闭安全启动(下策)
- 现状:若坚持使用 Win10 且无法升级,你将面临引导级攻击风险。
- 操作:部分用户可能会选择在 UEFI 中关闭安全启动。但这等于拆除了大门锁,让电脑可以启动任何系统(包括恶意引导程序),安全性进一步降低。
行动
- 检查硬件支持:访问主板/笔记本厂商官网,查看是否有针对 Secure Boot Certificate Update 的固件更新。
- 评估升级成本:如果只需花费少量资金升级硬件即可上 Win11,这比承担安全风险划算得多。
- 备份数据:无论作何选择,鉴于潜在的安全风险,请务必做好重要数据的异地备份。
评论