5 月 26 日,据科技媒体 Windows Latest 报道,微软正积极推动 Windows 11 用户将安全启动证书从 2011 版升级至 2023 版。微软官方已确认,旧版证书将于 2026 年 6 月正式到期。
在今年 3 月的 AMA 活动中,微软曾明确表示,若用户未及时处理,电脑大多仍能正常开机,但系统将无法获取启动链的关键安全更新,长期来看安全隐患会不断攀升。
安全启动是 UEFI 固件中的核心校验机制,通过验证引导加载程序、驱动和系统组件的数字签名,确保仅受信任的软件得以运行。该机制依赖 KEK、DB 和 DBX 等多层密钥与签名数据库协同工作。此次升级,微软计划先将 2023 新证书写入系统,随后刷入主板 UEFI 固件,逐步完成信任链的切换。
针对用户关心的各类边界情况,微软也做出了详细解答:
老旧设备: 纯 Legacy BIOS 设备因不支持安全启动,系统将自动跳过更新,不会强推;若设备通过 CSM 模拟传统 BIOS,但本身具备 UEFI 和安全启动能力,则可正常执行更新。
关闭安全启动: 若用户在 BIOS 中手动关闭了安全启动,更新将会报错终止。微软解释称,不同主板在关闭状态下写入证书的逻辑差异巨大,强行更新极易破坏启动链。
企业与服务器: Windows Server 不参与面向普通设备的自动 CFR 推送。即便是全新安装或从 Server 2022 升级至 Server 2025,也不会自动满足新证书要求,管理员必须使用指定的 PowerShell 命令手动部署。
虚拟化环境: 存在额外限制。针对 Hyper-V 长时间运行的虚拟机曾出现的 KEK 更新 Bug,必须确保宿主机和客户机均安装了 2026 年 3 月的更新,否则证书更新流程会卡死。
微信扫一扫 
支付宝扫一扫 