https://knightli.com/tags/secure-boot/ Recent content in Secure Boot on KnightLi的博客 Hugo -- gohugo.io zh-cn Wed, 20 May 2026 23:15:08 +0800 https://knightli.com/2026/05/20/windows-secure-boot-certificate-expiration-2026/ Wed, 20 May 2026 23:15:08 +0800 https://knightli.com/2026/05/20/windows-secure-boot-certificate-expiration-2026/ <p>微软更新了关于 Windows 安全启动证书过期和 CA 更新的说明。重点不是“电脑到期就不能开机”，而是：2011 年签发的一批 Secure Boot 证书会从 2026 年 6 月开始陆续过期，Windows 设备需要迁移到 2023 年的新证书，才能继续获得后续启动阶段的安全保护更新。</p> <p>原文见：<a class="link" href="https://support.microsoft.com/zh-cn/topic/windows-%E5%AE%89%E5%85%A8%E5%90%AF%E5%8A%A8%E8%AF%81%E4%B9%A6%E8%BF%87%E6%9C%9F%E5%92%8C-ca-%E6%9B%B4%E6%96%B0-7ff40d33-95dc-4c3c-8725-a9b95457578e" target="_blank" rel="noopener" >Microsoft 支持：Windows 安全启动证书过期和 CA 更新</a>。</p> <h2 id="这次更新说的是什么">这次更新说的是什么 </h2><p>Secure Boot 是 UEFI 固件里的安全机制。它会在系统启动前验证启动加载程序、UEFI 驱动、Option ROM 等组件的签名，尽量阻止 bootkit、rootkit 这类早期启动阶段恶意代码。</p> <p>这套验证依赖固件里的几个数据库和密钥：</p> <ul> <li><code>KEK</code>：密钥注册密钥，用来授权更新安全启动数据库。</li> <li><code>DB</code>：允许的签名数据库，决定哪些启动组件可以被信任。</li> <li><code>DBX</code>：吊销数据库，用来拦截已知不可信或有风险的启动组件。</li> </ul> <p>微软说明中提到，Windows 设备长期使用的一批 2011 年证书即将过期，对应的新证书已经变为 2023 版本。其中包括用于签署 <code>DB</code> / <code>DBX</code> 更新的 KEK 证书、用于签署 Windows 启动加载程序的 Windows UEFI CA，以及用于第三方启动加载程序、EFI 应用和 Option ROM 的 UEFI CA。</p> <h2 id="会不会影响开机">会不会影响开机 </h2><p>大多数用户最关心的是：到 2026 年证书过期后，电脑会不会突然无法启动？</p> <p>微软给出的结论比较明确：没有收到 2023 新证书的设备，仍然可以继续启动并正常运行，标准 Windows 更新也会继续安装。但问题在于，这些设备将无法继续接收与早期启动过程相关的新安全保护，例如 Windows 启动管理器更新、安全启动数据库更新、吊销列表更新，以及针对新发现启动级漏洞的缓解措施。</p> <p>所以它更像是一个“安全保护链条老化”的问题，而不是一个单纯的“系统立刻报废”的问题。短期看，机器可能照常工作；长期看，设备对新 bootkit、启动链漏洞和被吊销组件的防护能力会下降。</p> <h2 id="普通用户该怎么做">普通用户该怎么做 </h2><p>普通用户不需要手动编辑 Secure Boot 密钥，也不建议在 BIOS / UEFI 里随意删除、重置或导入证书。</p> <p>更稳妥的做法是：</p> <ol> <li>保持 Windows Update 开启，并安装累积更新。</li> <li>安装电脑厂商推送的固件、BIOS、UEFI 和驱动更新。</li> <li>不要为了临时兼容问题长期关闭 Secure Boot。</li> <li>如果设备启用了 BitLocker，在做固件或 Secure Boot 相关改动前，先确认恢复密钥可用。</li> <li>使用 <code>msinfo32</code> 查看“安全启动状态”，确认设备确实启用了 Secure Boot。</li> </ol> <p>对家用电脑来说，主要风险通常不是“不会操作”，而是长期不更新固件。很多笔记本和品牌机的 Secure Boot 相关变更，最终仍然要依赖 OEM 固件配合。</p> <h2 id="企业管理员要关注什么">企业管理员要关注什么 </h2><p>企业环境的麻烦不在单台机器，而在设备型号、固件版本、加密策略、部署工具和第三方启动组件混在一起。</p> <p>建议先做四件事：</p> <ol> <li>盘点设备型号、Windows 版本、Secure Boot 状态、固件版本和 BitLocker 状态。</li> <li>选择典型机型做小范围测试，再逐步扩大部署。</li> <li>把 Windows 更新、OEM 固件更新、恢复密钥备份、PXE / MDT / ConfigMgr / Intune 流程放在同一个变更计划里。</li> <li>验证恢复介质、镜像工具、第三方安全软件、双系统启动加载程序是否仍能正常启动。</li> </ol> <p>微软文档也为 IT 管理设备提供了注册表、组策略、WinCS API、Intune 和监控示例等路径。对于企业来说，不建议把这次证书更新当成普通补丁处理，而应当按固件级变更来做测试、灰度和回滚预案。</p> <h2 id="双系统和第三方启动工具要额外谨慎">双系统和第三方启动工具要额外谨慎 </h2><p>如果设备上有 Linux 双系统、第三方启动加载程序、自定义签名的 EFI 应用、老版本恢复盘或离线部署工具，这次更新更值得提前验证。</p> <p>原因是微软把原来的部分信任拆得更细，例如第三方启动加载程序和 Option ROM 对应的信任不再完全混在一起。这样做有利于缩小信任范围，但也意味着老旧启动组件、未更新的 shim / GRUB、旧恢复介质或定制启动工具，未来可能更容易遇到签名不被信任的问题。</p> <p>这里的原则很简单：不要等到证书过期后再发现恢复盘也启动不了。重要机器至少要提前验证一次真实恢复流程。</p> <h2 id="不建议做的事">不建议做的事 </h2><p>这类问题看起来像“证书到期”，很容易让人想直接进 BIOS 手工改密钥。但除非厂商或微软文档明确要求，否则不建议这样做。</p> <p>不要长期关闭 Secure Boot。不要在生产设备上直接清空 Secure Boot keys。不要把一台设备上的固件设置照搬到另一批型号不同的设备。也不要只更新 Windows、不更新 OEM 固件，然后默认认为问题已经解决。</p> <p>更合理的判断是：Windows 更新解决操作系统侧，OEM 固件更新解决平台侧，企业部署策略解决规模化一致性。三者缺一项，后面都可能变成很难排查的启动问题。</p> <h2 id="小结">小结 </h2><p>这次 Windows 安全启动证书过期事件的实际影响，不是 2026 年某一天所有电脑同时无法开机，而是旧证书设备会逐渐失去后续 Secure Boot 安全更新能力。</p> <p>个人用户应保持 Windows 和固件更新，避免随意关闭 Secure Boot；企业管理员则应尽快开始盘点、测试和分阶段部署。越靠近 2026 年 6 月，留给固件兼容性、恢复流程和批量回滚的时间就越少。</p>