微软将在三月为 Windows 11 和 Windows 10 ESU 用户开始刷新 Secure Boot 证书

Source: Engadget

概览

Microsoft 宣布将在三月刷新 Secure Boot 证书。最初的证书是在 2011 年 Secure Boot 推出时引入的。Secure Boot 在 Windows 启动前保护系统不运行未签名且可能带有恶意代码的程序，并且是 Windows 11 的必备条件。它也被《Valorant》《使命召唤：黑色行动 6/7》和《战地 6》等游戏的反作弊软件所使用。

刷新影响

• 安全状态降级 – 没有新证书的系统仍能正常工作，但会进入安全状态降级模式，限制未来的启动级别防护。这意味着对针对旧版 Windows 的恶意软件和病毒的防护力度会降低。
• 适用范围 – 新证书仅向以下设备推送：
  • Windows 11 系统
  • 订阅了 Microsoft 延长安全更新（ESU）的 Windows 10 PC

不受支持的 Windows 版本将不会收到新证书。

获取更新证书的方法

• 大多数用户可以通过 Windows Update 自动接收更新的 Secure Boot 证书。
• 某些设备可能需要从系统或主板 OEM 获取额外的固件更新。
• 您的安全证书状态可以在未来几个月的 Windows Security 应用的 “Secure Boot” 部分查看。

Microsoft 的声明

“随着密码学安全性的演进，证书和密钥必须定期刷新以保持强大的防护，” Windows 服务与交付合作总监 Nuno Costa 在博客文章中写道。 “退役旧证书并引入新证书是业界的标准做法，可防止老化凭证成为薄弱环节，并使平台保持与现代安全期望的一致。”

Costa 补充说，Microsoft 已与 Dell、HP 等 OEM 合作，确保平稳过渡。许多 2024 年新制造的系统已经预装了更新的证书，而“几乎所有”去年出货的设备也已包含这些证书。Microsoft 自去年起就一直在向 IT 客户通报此项过渡。

---

本文最初发表于 Engadget。
阅读原文