安全启动(Secure Boot) 是 Windows 11 的一项核心安全机制,也是安装系统时必须启用的功能之一。它自 Windows 8 起引入,至今已运行十多年。然而,微软近期发布官方公告指出:2011 年签发的安全启动证书将在 2026 年陆续到期,若未及时更新,可能会影响设备的正常启动和安全性。
什么是安全启动?
安全启动(Secure Boot) 是一种 UEFI(统一可扩展固件接口)功能,旨在确保设备在开机过程中仅加载由受信任方签名的引导组件。它可以防止恶意软件(如 BlackLotus 引导级病毒)篡改系统启动过程,并提升整个系统的完整性。
简单来说:
- 它验证固件和操作系统引导程序的合法性;
- 防止未经授权的操作系统或恶意代码在启动时运行;
- 是现代 Windows 系统中不可或缺的安全防线。
为什么现在要关注证书问题?
微软于 2011 年签发的第一批安全启动证书将于 2026 年 6 月和 10 月 相继过期。这意味着:
- 若未更新证书,Windows 引导管理器将无法接收新的安全更新;
- 设备将无法识别使用新证书签名的软件,导致引导失败;
- 更严重的是,旧证书失效后,系统将暴露于引导级恶意软件攻击之下,而这些攻击往往难以被常规杀毒软件检测到。
哪些设备会受到影响?
以下运行 Windows 的物理机和虚拟机都可能受到此次证书过期的影响:
- ✅ Windows 10(所有受支持版本)
- ✅ Windows 11
- ✅ Windows Server 2012 及以上版本(包括 2016、2019、2022 和 2025)
- ❌ 不包括 Copilot+ PC(因其采用全新安全架构)
⚠️ 特别提醒:双启动 Linux 系统的用户也需注意,微软将为这类系统提供兼容性证书以避免冲突。
您需要更新哪些证书?(关键对照表)
| 过期时间 | 旧证书名称 | 新证书名称 | 功能说明 | 存储位置 |
|---|---|---|---|---|
| 2026年6月 | Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK 2K CA 2023 | 更新签名数据库(db 和 dbx) | 密钥交换密钥(KEK) |
| 2026年6月 | Microsoft Corporation UEFI CA 2011(或第三方UEFI CA) | Microsoft Corporation UEFI CA 2023 Microsoft Option ROM UEFI CA 2023 | 签名第三方操作系统及驱动 签名硬件选项ROM | 允许签名数据库(db) |
| 2026年10月 | Microsoft Windows Production PCA 2011 | Windows UEFI CA 2023 | 签名 Windows 引导加载程序和核心组件 | 固件签名链 |
您该怎么做?
✅ 最简单的解决方案:让微软自动处理
微软表示,未来几个月内,将通过 每月累积更新 自动向您的设备推送新证书。只要保持系统更新正常进行,即可无缝完成迁移,无需手动干预。
📦 对企业用户的建议
- 如果你管理大量设备,建议尽快部署更新策略,确保所有设备都能及时获取新证书。
- 微软为企业客户提供付费的 Extended Security Updates(ESU) 计划,以延长对旧版系统的支持。
🧰 对“空气隔离”设备的支持
对于那些完全与网络隔离的设备(如工业控制系统、高安全性环境),微软也提供了有限的手动更新支持。具体方法请参考微软发布的官方支持文档。
如何检查我的设备是否启用了安全启动?
您可以快速查看当前设备是否启用了安全启动:
- 按下 Win + R 打开运行窗口;
- 输入
msinfo32并回车; - 在系统信息界面中查找 “安全启动状态”:
- 若显示为“已启用”,则设备已启用安全启动;
- 若显示为“不支持”或“已禁用”,则需进入 BIOS/UEFI 设置中启用。
评论