对于 Windows 11 用户来说，安全启动并不陌生。这项功能是 Windows 11 的基本硬件要求。然而，微软于 2011 年颁发的安全启动证书即将于 2026 年开始陆续过期，证书过期后将，Windows 系统可能会出现引导失败以及相关兼容性或安全性问题。微软近期已经准备通过 Windows 更新来完成证书替换。因此，最近一段时间请不要继续禁用 Windows 更新，以免系统出现启动故障。

安全启动证书到期带来的影响

2011 年，微软首次发布了用于安全启动的根证书，用于验证系统引导时加载的关键组件。这些证书将于 2026 年 6 月和 10 月分别到期。一旦过期：

• 旧证书将无法验证引导加载程序、驱动和固件；
• 系统可能无法启动，或会遭遇引导恶意软件（如 BlackLotus）攻击；
• 多种 Windows 系统都受影响，包括 Windows 10、Windows 11 以及 Windows Server 系列。

即便当前设备运行正常，但如果更新未开启，系统将错过微软即将通过累积更新推送的新证书，从而在证书到期时陷入无法引导的困境。

注意事项：受影响的第三方操作系统包括 macOS，但这超出了微软的支持范围。对于与 Windows 进行双系统启动的 Linux 系统，Windows 将更新 Linux 所依赖的证书。

为什么不要关闭 Windows 更新

为了应对这一问题，微软计划在未来的每月安全更新中自动分发新版证书。因此，最简单、最安全的做法就是：保持系统更新功能开启，让系统在后台自动处理所有关键证书替换工作。

许多用户习惯性关闭或延迟更新，担心带来兼容性问题或打断使用节奏。但在这类涉及底层启动机制的更新中，关闭更新将直接影响系统能否正常开机和防御恶意攻击的能力。

如何检查安全启动状态

你可以按下 Win + R，输入 “msinfo32”，在打开的系统信息窗口中确认“安全启动状态”。如果显示“已启用”，说明系统正在使用安全启动机制，届时也需要接受证书更新。

对于运行 Windows 10 或 Windows 11 的电脑用户来说，至少是最近这段时间，请不要关闭 Windows 更新。

via Windows IT Pro Blog