首页 > 教程/资讯 > 资讯

微软更新 Windows 安全启动证书:2011 年旧证书将于 2026 年到期,新证书正通过补丁推送

屌屌 2 月 11, 2026 8

微软正在通过常规的“星期二补丁”更新,向受支持的 Windows 设备推送新一代安全启动(Secure Boot)证书。此举是要替换自 2011 年起使用的原始信任根证书——该证书将于 2026 年 6 月下旬正式到期

安全启动是现代 Windows 系统的核心安全机制,自 Windows 8 引入,并在 Windows 11 中成为强制要求。它在操作系统加载前运行,确保只有经数字签名的可信固件和引导程序能够执行,从而抵御底层恶意软件(如 bootkit)。

微软更新 Windows 安全启动证书:2011 年旧证书将于 2026 年到期,新证书正通过补丁推送插图

为了守住Windows设备的底层安全,微软已联合戴尔、惠普、联想等全行业生态伙伴,启动大规模证书更新工作,每一台Windows设备都需要关注。(PS:品牌机基本无需担心,组装机就需要查看一番)

什么是安全启动?为什么必须更新?

安全启动,是现代PC最核心的底层安全防线,没有之一。

它的核心作用的是:确保设备开机时,只有经过数字签名、受信任的操作系统和固件代码,才能被执行。简单说,就是从设备按下电源的那一刻起,就拦截未签名的恶意代码,避免其在系统加载前入侵设备。

这项安全机制早在15年前就已提出,而在2021年Windows 11发布时,它被正式列为强制系统要求——没有开启安全启动的设备,甚至无法安装Windows 11。

微软在官方公告中明确表示:“随着加密安全技术持续演进,定期更新证书与密钥是维持高强度防护的必要措施。淘汰旧证书、引入新证书是行业标准实践,可以避免旧凭证成为安全短板,并确保平台符合现代安全标准。”

如今,服务了超过15年的初代证书即将到期,更新信任根、强化启动安全,已成为整个Windows生态必须完成的关键任务,也是保护每一台设备的必要操作。

关键疑问:证书过期,我的设备会变砖吗?

很多用户最担心的问题:如果没及时收到更新,设备会不会像当年“千年虫”一样,一夜之间无法使用?

微软已明确给出答案,大家可以放心:证书过期不会导致设备立即无法开机,现有系统和已安装的软件,仍可正常运行。

但需要警惕的是,未更新证书的设备,会直接进入安全降级状态,长期来看会面临四大风险,不可忽视:

  1. 无法接收未来针对“启动级漏洞”的安全修复,漏洞会持续暴露;
  2. 易被黑客利用未修补的启动漏洞,植入恶意软件(如Rootkit),难以检测和清除;
  3. 未来推出的新版Windows系统、固件更新、硬件驱动,可能出现兼容问题,无法正常安装;
  4. 依赖安全启动的软件、游戏反作弊系统(如《使命召唤》《战地》系列),可能无法正常运行。

总结来说:设备不会立刻瘫痪,但会逐渐变得不安全、不可靠、不可更新,长期不处理会埋下严重安全隐患。

划重点:谁能收到新证书?谁收不到?

新证书将通过正常的Windows月度更新(也就是大家熟悉的“星期二补丁”),自动推送给所有受支持的设备,无需手动申请。

可正常接收更新的设备包括:

  • 所有运行Windows 11全版本的设备;
  • 参与扩展安全更新计划(ESU)的Windows 10设备;
  • 运行受支持Windows Server版本的企业设备。

无法获得新证书的设备(重点注意):

  • 未加入ESU计划的Windows 10设备(Windows 10已于2025年10月14日结束官方支持);
  • Windows 8.1及更早的老旧系统;
  • 长期关闭Windows更新,或从不安装月度累积更新的设备。

用户必看:我需要做什么?(绝大多数人无需操作)

这部分是重点,大家对照自己的情况查看即可,整体操作非常简单,甚至无需动手。

对于普通家庭用户、个人用户、常规企业用户:

完全不需要手动操作!微软会自动完成整个证书更新流程,你只需要确保两件事:

  1. Windows更新功能处于开启状态(不要手动关闭);
  2. 及时安装最新的月度累积更新(系统会自动提醒,也可手动检查更新)。

对于极少数特殊设备:

部分老旧设备、小众机型,可能需要先安装设备厂商(OEM)提供的固件(BIOS/UEFI)更新,才能顺利完成证书轮换。

微软建议:大家可以定期查看自己电脑品牌(戴尔、惠普、联想等)的官方支持页面,确保BIOS/UEFI固件为最新版本,避免因固件不兼容导致证书更新失败。

另外,未来几个月,微软会在Windows安全中心中,新增专门的“安全启动证书状态”面板,届时大家可以直观查看自己的证书是否已更新成功,无需再通过复杂命令查询。

全行业协同:微软+戴尔+惠普+联想联合发力

这次安全启动证书更新,并不是微软单方面的工作,而是Windows生态有史以来规模最大、协同最复杂的底层安全维护工作。

因为安全启动直接运行在设备的固件层面,影响设备的开机流程,因此必须联合UEFI论坛、芯片厂商、PC制造商(OEM)进行统一部署、协同适配。

目前,微软已与戴尔、惠普、联想等头部PC厂商深度合作,完成了全产品线的适配工作,具体进展如下:

  • 2024年之后出厂的新PC,早已预装新的安全启动证书,用户无需任何操作;
  • 2025年上市的所有Windows设备,全面标配新一代安全启动证书;
  • 市场上的存量旧设备,将通过“Windows更新+固件更新”的组合方式,完成平滑过渡,不影响正常使用。

各大厂商的安全负责人也纷纷表态,承诺保障用户顺利过渡:

  • 戴尔:“我们很早就与微软的工程团队合作,为客户准备顺畅的过渡过程,确保不同使用场景的客户都有清晰的迁移路径。”——Rick Martinez,戴尔科技Fellow兼安全CTO副总裁。
  • 惠普:“确保所有受支持的运行Windows 11的惠普PC,能在旧证书到期前采用新的安全启动证书,与客户紧密合作,确保业务运营不受影响。”——Vali Ali,惠普Inc. Fellow兼安全与隐私首席技术专家。
  • 联想:“通过在规划、测试和推出阶段的紧密合作,帮助确保客户保持受保护、知情和支持——而业务不会中断。”——Tom Butler,联想PC全球商业组合与产品管理副总裁。

企业用户专属:部署注意事项

对于企业IT管理员、企业设备运维人员,需重点关注以下几点,确保企业设备批量完成更新:

  1. 新证书将通过常规的月度Windows更新交付,前提是设备能提供足够的诊断数据,用于验证更新就绪状态;
  2. 对于无法通过自动方式可靠验证的设备,需计划使用微软提供的IT管理员手册,以及企业现有管理工具,手动部署和监控新证书;
  3. 服务器、物联网(IoT)设备等专用设备,可能遵循不同的更新流程,需作为部署规划的一部分单独评估;
  4. 若遇到更新失败等问题,优先排查两点:是否安装了最新Windows累积更新、是否安装了最新设备固件。

企业用户如需进一步的技术支持,可访问微软官方文档:https://aka.ms/SecureBootPlaybook,获取权威指导。

补充科普:安全启动为什么是Windows 11的强制要求?

很多用户至今不清楚,为什么Windows 11非要强制开启安全启动?其实答案很简单——为了底层安全。

安全启动最早随Windows 8推出,是UEFI固件的核心安全功能,它的核心价值在于:在系统启动的最早期,就拦截恶意代码,从根源上抵御底层攻击。

要知道,传统的安全软件,都是在系统加载后才开始工作,无法防御启动阶段的恶意入侵;而安全启动在系统加载前就开始验证,相当于给设备加了一道“开机第一道防线”。

除了Windows 11的强制要求,现在越来越多的大型游戏,也将“安全启动+TPM”作为反作弊的基础条件——如果关闭安全启动,不仅无法升级Windows 11,还可能无法启动这些新游戏。

实操指南:如何检查自己的设备是否开启安全启动?

不管是想确认自己的设备是否符合Windows 11安装要求,还是想检查安全启动是否正常开启,下面3种方法,任选一种即可,简单易懂。

方法1:系统信息(最简单,适合所有用户)

  1. 按下键盘上的 Win + R 组合键,弹出“运行”窗口;
  2. 输入命令 msinfo32,按下回车键;
  3. 在弹出的“系统信息”窗口中,找到“系统摘要”(默认显示);
  4. 向下滚动,找到 安全启动状态,查看显示结果:
    • 显示“开启”:安全启动已正常启用,无需操作;
    • 显示“关闭”:安全启动未开启,需按后续步骤开启。

方法2:PowerShell命令(精准,适合有基础的用户)

  1. 以“管理员身份”运行PowerShell(右键开始菜单,选择“Windows PowerShell (管理员)”);
  2. 输入命令:Confirm-SecureBootUEFI,按下回车键;
  3. 查看返回结果:
    • 返回 True:安全启动已启用;
    • 返回 False:安全启动未启用。

方法3:Steam客户端(适合游戏玩家)

  1. 打开Steam客户端;
  2. 点击顶部菜单栏的 帮助 → 系统信息;
  3. 向下滚动页面,找到“操作系统”部分,查看“安全启动”状态即可。

实操指南:安全启动未开启?这样开启(通用步骤)

如果检查后发现,你的设备未开启安全启动,可按以下通用步骤开启(不同品牌主板/笔记本的UEFI界面略有差异,但核心步骤一致)。

  1. 重启电脑,在开机时快速按下对应的按键,进入BIOS/UEFI设置(大多数主板按Del键,笔记本常见F2、F10键,不确定的可查看电脑开机画面提示,或参考电脑用户手册);
  2. 进入UEFI界面后,注意区分“简单模式”和“专家模式”(部分主板有此区分),安全启动设置通常在“专家模式”中;
  3. 找到“启动”“Security”(安全)或“Boot Security”相关的选项卡(不同品牌名称略有差异);
  4. 在选项中找到 Secure Boot,将其设置为 Enabled(开启);
  5. 保存设置并重启电脑(通常按F10键保存,重启后设置生效)。

重要提醒(必看):

  • 如果你的设备只安装了Windows系统,且未修改过系统引导,开启安全启动后,不会影响现有系统安装和使用;
  • 如果你的设备是Windows+Linux双系统,开启安全启动后,可能导致Linux系统无法引导(需单独配置Linux的签名);
  • 如果你的Windows系统是修改过的破解版、自定义版,开启安全启动后,可能出现启动故障,建议谨慎操作。

开启完成后,可再次使用前面的方法,验证安全启动是否已成功开启。

保持系统更新,不仅是获得新功能,更是维持数字世界基本信任的必要条件。这一次,微软替你完成了大部分工作——你只需确保“更新”开着。

打赏微海报分享

标签

热门

 

同类推荐

评论