Windows 原始 Secure Boot 证书将在六月到期——您需要做的事
Source: Ars Technica
获取启动
没有新证书的 PC 可能最终在启动新操作系统时遇到麻烦。
来源:Microsoft
为什么安全启动很重要
Windows 8 最为人记住的是它那奇特的触摸屏全屏开始菜单,但它也为 Windows 引入了许多底层增强功能。其中之一是 UEFI 安全启动,一种用于验证 PC 引导加载程序的机制,以确保未验证的软件无法在启动时加载。
- 对于 Windows 8 和 Windows 10,安全启动 已启用但在技术上是可选的。
- 从 Windows 11(2021) 开始,它成为安装 Windows 的 正式系统要求。
安全启动自 2011 年起(即 Windows 8 开发周期)就使用相同的安全证书来验证引导加载程序。正如 Microsoft 在最近的文章中强调的,那些原始证书将于 2026 年 6 月和 10 月 过期。
即将到期
此到期并非新消息——微软和大多数主要 PC 制造商已经讨论了数月甚至数年,准备 Windows 生态系统的幕后工作也一直在进行。更新安全证书是常规操作;大多数用户只有在出现问题时才会注意到。
如果在 2026 年 6 月之前未应用补丁的潜在影响
- PC 将继续正常运行,但过期的证书可能会:
- 阻止微软对新发现的 Secure Boot 漏洞进行修补。
- 使这些 PC 无法启动或安装使用 2023 年时代新证书的更新操作系统版本。
“如果设备在 2011 年证书到期前未收到新的 Secure Boot 证书,PC 将继续正常工作,现有软件也会保持运行,”微软 Windows Servicing and Delivery 部门的项目经理 Nuno Costa 如是说。
“然而,设备将进入一种降级的安全状态,限制其接收未来启动级别保护的能力。随着新启动级别漏洞的被发现,受影响的系统会因无法安装新的缓解措施而变得日益暴露。随着时间推移,这也可能导致兼容性问题,因为更新的操作系统、固件、硬件或依赖 Secure Boot 的软件可能无法加载。”
您可以做的事项
- 确保已启用 Windows Update,并让系统接收最新的固件和 Secure Boot 更新。
- 检查电脑的固件版本(通常在 BIOS/UEFI 屏幕中显示),并与制造商的最新发布版本进行对比。
- 在 2026 年 6 月截止日期前,应用所有待处理的 BIOS/UEFI 更新。
- 验证新证书是否已存在:
- 在 Windows 中,运行
certutil -store "TrustedPublisher"并查找日期为 2023‑2026 的条目。
- 在 Windows 中,运行
现在保持更新可让您的机器摆脱“安全降级状态”,并确保将来顺利升级到新的 Windows 发行版。
确认您已拥有新证书
对于大多数系统——包括那些制造商不再积极支持的旧系统——Microsoft 依赖 Windows Update 来提供更新的证书。对于已完全打好补丁、运行受支持的 Windows 版本且启用了 Secure Boot 的 PC,迁移应当是无缝的;您可能已经在使用新证书而未察觉。
基于 UEFI 的系统拥有少量 NVRAM,可在重启之间存储变量。使用 LVFS 进行固件更新的 Windows 和 Linux 操作系统应能够将新证书写入 NVRAM。只有在 NVRAM 已满或碎片化,或 PC 制造商发布了不支持此类更新的有缺陷固件时,才会出现部署新证书的问题。
如何查看您的 PC 是否已拥有新证书
正如 Dell 支持页面 所述,最简便的方法是运行一个 PowerShell 命令,检查存储在 active db(当前用于启动 PC 的数据库)中的证书。
- 右键 PowerShell(或 Terminal),选择 以管理员身份运行。
- 粘贴以下命令并按 Enter:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')- 如果命令返回
True,说明您的 PC 正在使用新证书——一切正常。 - 如果返回
False,请按照下文步骤启用 Windows Update 为您安装新证书。
启用新证书的步骤
-
受支持的 Windows 版本
- Windows 11:版本 24H2 或 25H2。
- Windows 10:必须 将 PC 注册到扩展安全更新(ESU)计划(消费者可在完成几步后免费完成)。
-
已启用 Secure Boot
- 打开 运行(
Win + R),输入msinfo32,按 Enter。 - 在系统信息窗口中,确保 Secure Boot State 为 On。
- 打开 运行(
-
固件更新
- 前往 PC 制造商的网站,查找 BIOS/UEFI 更新。固件更新常能修复阻止新证书安装的 bug。
-
恢复出厂设置的 Secure Boot 密钥(可选,针对旧 PC)
- 对于最初随 Windows 8 或 Windows 10 出厂的系统,在 BIOS 中恢复 Secure Boot 密钥可以释放 NVRAM 空间。参考 UEFI‑DB 处理指南。
- 如果已启用 BitLocker,在重置前务必准备好 恢复密钥: 如何获取 BitLocker 恢复密钥。
检查 “default db”
default db 显示新 Secure Boot 证书是否已内置于 PC 固件。即使您将 Secure Boot 设置恢复为 BIOS 默认值,内置证书仍会允许使用该证书的操作系统启动。
- 再次以管理员身份打开 PowerShell/Terminal。
- 运行:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')True→ 您的 BIOS 已经包含新证书。False→ 您的固件尚未包含,需要 BIOS/UEFI 更新(或上述步骤)来获取。
Microsoft 的 Costa 表示,“自 2024 年起出厂的许多新 PC,以及几乎所有 2025 年出货的设备,已经内置了这些证书”,因此不需要任何更新。几年前的老旧 PC 可能需要通过 BIOS 更新来获取证书。
制造商资源
- Dell – Secure Boot certificate expiration info(Secure Boot 证书到期信息)
- HP – Secure Boot update guidance(Secure Boot 更新指南)
- Lenovo – Secure Boot certificate support(Secure Boot 证书支持)
- Microsoft – Surface Secure Boot certificates(Surface Secure Boot 证书)
- Asus – How to get new certificates(如何获取新证书)(通过 Windows Update、MyAsus 应用或 Asus 网站)
列出的最早的 PC 通常可以追溯到 2019‑2020。如果您的 PC 出厂时已预装 Windows 11,则应有包含新证书的 BIOS 更新可用,尽管并非所有符合 Windows 11 要求的系统都有此更新。
获取帮助
- 无法安装新证书的家庭用户 应联系 Microsoft 客户支持。
- IT 专业人士 可以查阅详细文档:
- 概览:(链接在原文中省略)
- 企业安全启动手册:(链接在原文中省略)
“Secure Boot 证书更新标志着现代 PC 启动时所依赖的信任基础进行了一代的刷新,” Costa 写道。“通过更新这些证书,Windows 生态系统……[text truncated in source]”
“Microsoft 正在确保硬件、固件和操作系统的未来创新能够继续基于安全、行业对齐的启动过程构建。”
Andrew Cunningham – Ars Technica 的高级技术记者
关注领域:消费技术、计算机硬件,以及对 Windows 和 macOS 等操作系统的深入评测。
所在地:费城。
每周图书播客 Overdue 的联合主持人。
27 条评论
