技術文檔

Windows 安全啟動憑證 2026 年過期:普通使用者和管理員該怎麼更新

整理微軟關於 Windows 安全啟動憑證過期和 2023 CA 更新的說明:2011 憑證將在 2026 年開始過期,裝置需要透過 Windows、韌體或 OEM 更新遷移到新憑證,避免失去後續安全啟動保護更新。

微軟更新了關於 Windows 安全啟動憑證過期和 CA 更新的說明。重點不是「電腦到期就不能開機」,而是:2011 年簽發的一批 Secure Boot 憑證會從 2026 年 6 月開始陸續過期,Windows 裝置需要遷移到 2023 年的新憑證,才能繼續獲得後續啟動階段的安全保護更新。

原文見:Microsoft 支援:Windows 安全啟動憑證過期和 CA 更新

這次更新說的是什麼

Secure Boot 是 UEFI 韌體裡的安全機制。它會在系統啟動前驗證啟動載入程式、UEFI 驅動、Option ROM 等元件的簽章,盡量阻止 bootkit、rootkit 這類早期啟動階段惡意程式碼。

這套驗證依賴韌體裡的幾個資料庫和密鑰:

  • KEK:密鑰註冊密鑰,用來授權更新安全啟動資料庫。
  • DB:允許的簽章資料庫,決定哪些啟動元件可以被信任。
  • DBX:撤銷資料庫,用來攔截已知不可信或有風險的啟動元件。

微軟說明中提到,Windows 裝置長期使用的一批 2011 年憑證即將過期,對應的新憑證已經變為 2023 版本。其中包括用於簽署 DB / DBX 更新的 KEK 憑證、用於簽署 Windows 啟動載入程式的 Windows UEFI CA,以及用於第三方啟動載入程式、EFI 應用和 Option ROM 的 UEFI CA。

會不會影響開機

大多數使用者最關心的是:到 2026 年憑證過期後,電腦會不會突然無法啟動?

微軟給出的結論比較明確:沒有收到 2023 新憑證的裝置,仍然可以繼續啟動並正常執行,標準 Windows 更新也會繼續安裝。但問題在於,這些裝置將無法繼續接收與早期啟動過程相關的新安全保護,例如 Windows 啟動管理器更新、安全啟動資料庫更新、撤銷清單更新,以及針對新發現啟動級漏洞的緩解措施。

所以它更像是一個「安全保護鏈條老化」的問題,而不是一個單純的「系統立刻報廢」的問題。短期看,機器可能照常工作;長期看,裝置對新 bootkit、啟動鏈漏洞和被撤銷元件的防護能力會下降。

普通使用者該怎麼做

普通使用者不需要手動編輯 Secure Boot 密鑰,也不建議在 BIOS / UEFI 裡隨意刪除、重置或匯入憑證。

更穩妥的做法是:

  1. 保持 Windows Update 開啟,並安裝累積更新。
  2. 安裝電腦廠商推送的韌體、BIOS、UEFI 和驅動更新。
  3. 不要為了臨時相容問題長期關閉 Secure Boot。
  4. 如果裝置啟用了 BitLocker,在做韌體或 Secure Boot 相關改動前,先確認復原密鑰可用。
  5. 使用 msinfo32 查看「安全啟動狀態」,確認裝置確實啟用了 Secure Boot。

對家用電腦來說,主要風險通常不是「不會操作」,而是長期不更新韌體。很多筆電和品牌機的 Secure Boot 相關變更,最終仍然要依賴 OEM 韌體配合。

企業管理員要關注什麼

企業環境的麻煩不在單台機器,而在裝置型號、韌體版本、加密策略、部署工具和第三方啟動元件混在一起。

建議先做四件事:

  1. 盤點裝置型號、Windows 版本、Secure Boot 狀態、韌體版本和 BitLocker 狀態。
  2. 選擇典型機型做小範圍測試,再逐步擴大部署。
  3. 把 Windows 更新、OEM 韌體更新、復原密鑰備份、PXE / MDT / ConfigMgr / Intune 流程放在同一個變更計畫裡。
  4. 驗證復原媒體、映像工具、第三方安全軟體、雙系統啟動載入程式是否仍能正常啟動。

微軟文件也為 IT 管理裝置提供了登錄檔、群組原則、WinCS API、Intune 和監控範例等路徑。對企業來說,不建議把這次憑證更新當成普通補丁處理,而應當按韌體級變更來做測試、灰度和回滾預案。

雙系統和第三方啟動工具要額外謹慎

如果裝置上有 Linux 雙系統、第三方啟動載入程式、自訂簽章的 EFI 應用、老版本復原碟或離線部署工具,這次更新更值得提前驗證。

原因是微軟把原來的部分信任拆得更細,例如第三方啟動載入程式和 Option ROM 對應的信任不再完全混在一起。這樣做有利於縮小信任範圍,但也意味著老舊啟動元件、未更新的 shim / GRUB、舊復原媒體或定制啟動工具,未來可能更容易遇到簽章不被信任的問題。

這裡的原則很簡單:不要等到憑證過期後才發現復原碟也啟動不了。重要機器至少要提前驗證一次真實復原流程。

不建議做的事

這類問題看起來像「憑證到期」,很容易讓人想直接進 BIOS 手工改密鑰。但除非廠商或微軟文件明確要求,否則不建議這樣做。

不要長期關閉 Secure Boot。不要在生產裝置上直接清空 Secure Boot keys。不要把一台裝置上的韌體設定照搬到另一批型號不同的裝置。也不要只更新 Windows、不更新 OEM 韌體,然後預設認為問題已經解決。

更合理的判斷是:Windows 更新解決作業系統側,OEM 韌體更新解決平台側,企業部署策略解決規模化一致性。三者缺一項,後面都可能變成很難排查的啟動問題。

小結

這次 Windows 安全啟動憑證過期事件的實際影響,不是 2026 年某一天所有電腦同時無法開機,而是舊憑證裝置會逐漸失去後續 Secure Boot 安全更新能力。

個人使用者應保持 Windows 和韌體更新,避免隨意關閉 Secure Boot;企業管理員則應盡快開始盤點、測試和分階段部署。越靠近 2026 年 6 月,留給韌體相容性、復原流程和批量回滾的時間就越少。

© 2022 - 2026 KnightLi的博客
记录并分享
使用 Hugo 建立
主題 StackJimmy 設計