2025 年,Microsoft 发布了一项重要通知:Windows Secure Boot 的 2011 版证书将在 2026 年开始陆续过期
为了保证设备仍然能够获得启动阶段的安全保护,需要更新到 2023 版 Secure Boot 证书

本文整理并解释官方文档内容,帮助理解:

  • Secure Boot 是什么

  • 为什么证书会过期

  • 不更新会有什么影响

  • 如何更新

  • IT 管理员需要注意什么

一、什么是 Secure Boot

Secure Boot(安全启动) 是基于 UEFI 固件 的安全机制,用于保证在系统启动过程中只加载可信的软件组件

简单来说,它会在系统启动时检查:

  • UEFI 驱动

  • 启动加载器(Boot Loader)

  • EFI 应用程序

这些组件必须由可信证书签名,否则系统会阻止它们运行。

核心目的:

  • 防止 Bootkit / Rootkit

  • 防止恶意启动程序

  • 防止篡改系统启动流程

二、Secure Boot 的信任体系

Secure Boot 使用多个证书数据库进行验证:

组件

作用

PK (Platform Key)

平台根信任

KEK (Key Exchange Key)

用于更新安全数据库

DB

允许执行的软件签名

DBX

被吊销的软件签名

其中:

  • DB:允许的启动程序

  • DBX:已被撤销的程序(例如存在漏洞)

系统在启动时会验证:

启动程序签名 -> 是否存在 DB -> 是否被 DBX 吊销

只有通过验证的软件才允许执行。

三、为什么会出现证书过期

Windows Secure Boot 使用的一批核心证书来自 2011 年发布

这些证书包括:

即将过期证书

过期时间

新证书

Microsoft Corporation KEK CA 2011

2026 年 6 月

Microsoft Corporation KEK CA 2023

Microsoft Windows Production PCA 2011

2026 年 10 月

Windows UEFI CA 2023

Microsoft UEFI CA 2011

2026 年 6 月

Microsoft UEFI CA 2023

这些证书存在于设备的 UEFI Secure Boot 数据库中

Microsoft 必须发布新的证书来继续签名:

  • Windows Boot Manager

  • Secure Boot 数据库更新

  • 新的安全补丁

  • 启动漏洞缓解措施

四、如果不更新会怎样?

很多人误解为:

证书过期后电脑无法启动

实际上不是这样。

即使证书过期:

✔ Windows 仍然可以正常启动
✔ Windows Update 仍然可以工作

但会产生一个重要问题:

设备将无法再接收启动阶段的安全更新。

包括:

  • Boot Manager 更新

  • Secure Boot 数据库更新

  • 启动漏洞修复

  • 吊销列表更新(DBX)

随着时间推移,这意味着:

  • 设备更容易受到 Bootkit 攻击

  • 新启动加载器可能无法被信任

  • BitLocker 等安全功能可能受影响

五、谁需要关注这个问题

基本上 所有启用 Secure Boot 的 Windows 设备 都会受到影响。

包括:

  • Windows 10

  • Windows 11

  • Windows Server

  • Windows IoT

  • Windows 365

只要设备中仍使用 2011 Secure Boot CA

六、更新方式

大多数用户 无需手动操作

Microsoft 的设计方案是:

1 Windows Update 自动更新

对于普通用户:

Windows Update
↓
更新 Secure Boot 证书
↓
写入 UEFI 数据库

通常无需干预。

2 OEM 固件更新

部分设备可能需要:

  • BIOS / UEFI 更新

  • OEM 发布固件补丁

例如:

  • Dell

  • HP

  • Lenovo

  • ASUS

3 企业环境更新

企业设备通常通过:

  • Intune

  • WSUS

  • SCCM

进行统一部署。

Microsoft 甚至提供了 Intune 监控脚本来检查设备证书状态。

可以查看:

  • 设备型号

  • BIOS 版本

  • Secure Boot 状态

  • 是否已更新 2023 证书

七、企业 IT 管理员需要注意的事情

企业环境需要特别注意:

1 提前部署更新

截止时间:

2026 年 6 月

2 监控证书状态

可以检查:

  • 注册表

  • Secure Boot UEFI 变量

  • Intune 报告

3 特殊设备

例如:

  • 服务器

  • IoT

  • 虚拟机

  • 存储设备

可能需要手动更新固件。

八、一些容易踩坑的情况

1 关闭 Secure Boot

如果关闭 Secure Boot:

可能会导致:

Secure Boot 更新被移除

因为更新写入的是 active variables

2 旧设备

一些老设备可能:

  • BIOS 不支持新证书

  • 无法更新 KEK

这种情况通常需要:

  • OEM 固件升级

  • 或关闭 Secure Boot

九、总结

Secure Boot 证书更新是 未来几年 Windows 平台的重要安全事件

关键时间点:

2026 年 6 月

核心结论:

  • 旧证书(2011)即将过期

  • 新证书(2023)必须部署

  • 大部分用户会自动更新

  • 企业环境需要提前规划

如果不更新:

系统不会立即坏,但安全性会逐渐下降。

十、建议

个人用户:

  • 保持 Windows Update 开启

  • 更新 BIOS / UEFI

  • 不要关闭 Secure Boot

企业环境:

  • 监控证书部署

  • 提前更新设备

  • 测试 PXE / BitLocker 兼容性