安全启动证书是微软用于验证系统引导安全性的重要凭证,它确保计算机在启动过程中只加载可信任的固件和引导加载程序。这一机制自 2011 年引入后,已成为 Windows 安全体系的核心组成部分,并在 Windows 11 中与可信平台模块(Trusted Platform Module, TPM)一同被列为硬件要求。
随着首批安全启动证书将在 2026 年 6 月到期,系统安全和更新机制都将受到影响。为了帮助用户理解并应对潜在风险,以下是关键问题的梳理:
证书到期的风险
安全启动证书的有效期为 15 年,到期后系统将无法应用部分关键更新,增加遭受 BootKit 等恶意软件攻击的风险。这意味着证书更新不仅是技术需求,更是确保设备稳定和安全的必要条件。
微软的应对措施
微软已发布常见问题解答(FAQ),说明了不同用户的应对方式。对于大多数通过 Windows Update 获取更新的家庭用户,证书更新将由系统在后台自动完成,因此几乎无需手动干预。这也是不建议长期关闭 Windows 更新的原因之一。
Windows 10 用户的选择
仍在使用 Windows 10 的用户若不打算升级至 Windows 11,需要加入延长安全更新(Extended Security Updates, ESU)计划才能继续获得新证书。例外情况是 Windows 10 LTSC/LTSB 版本,它们将在 2025 年 10 月 14 日后继续接收安全更新。微软已明确表示,未受支持的 Windows 版本将不会获得新的安全启动证书。
LTSC 升级注意事项
如果用户在关闭安全启动并使用过期证书的情况下,从 Windows 10 LTSC 升级至 Windows 11 LTSC,设备将无法收到新证书。微软强调,用户需遵循当时的迁移步骤,确保系统能够安装 2023 年发布的证书,从而保持安全。
固件重置导致的启动问题
在某些情况下,设备在重置固件后可能无法启动。如果此前系统已使用带有 2023 年证书的引导管理器,但固件恢复至未包含该证书的默认状态,系统将失去启动能力。对此,微软建议通过恢复 USB 重新应用证书来解决。
当然,如果不想参考微软的方案,可以关闭安全启动(但这不是建议操作)。
更多信息有关《安全启动更新过程常见问题》的内容,请访问这篇微软支持页面内容。
