https://knightli.com/zh-tw/tags/%E5%AE%89%E5%85%A8%E5%95%9F%E5%8B%95/ Recent content in 安全啟動 on KnightLi的博客 Hugo -- gohugo.io zh-tw Wed, 20 May 2026 23:15:08 +0800 https://knightli.com/zh-tw/2026/05/20/windows-secure-boot-certificate-expiration-2026/ Wed, 20 May 2026 23:15:08 +0800 https://knightli.com/zh-tw/2026/05/20/windows-secure-boot-certificate-expiration-2026/ <p>微軟更新了關於 Windows 安全啟動憑證過期和 CA 更新的說明。重點不是「電腦到期就不能開機」，而是：2011 年簽發的一批 Secure Boot 憑證會從 2026 年 6 月開始陸續過期，Windows 裝置需要遷移到 2023 年的新憑證，才能繼續獲得後續啟動階段的安全保護更新。</p> <p>原文見：<a class="link" href="https://support.microsoft.com/zh-cn/topic/windows-%E5%AE%89%E5%85%A8%E5%90%AF%E5%8A%A8%E8%AF%81%E4%B9%A6%E8%BF%87%E6%9C%9F%E5%92%8C-ca-%E6%9B%B4%E6%96%B0-7ff40d33-95dc-4c3c-8725-a9b95457578e" target="_blank" rel="noopener" >Microsoft 支援：Windows 安全啟動憑證過期和 CA 更新</a>。</p> <h2 id="這次更新說的是什麼">這次更新說的是什麼 </h2><p>Secure Boot 是 UEFI 韌體裡的安全機制。它會在系統啟動前驗證啟動載入程式、UEFI 驅動、Option ROM 等元件的簽章，盡量阻止 bootkit、rootkit 這類早期啟動階段惡意程式碼。</p> <p>這套驗證依賴韌體裡的幾個資料庫和密鑰：</p> <ul> <li><code>KEK</code>：密鑰註冊密鑰，用來授權更新安全啟動資料庫。</li> <li><code>DB</code>：允許的簽章資料庫，決定哪些啟動元件可以被信任。</li> <li><code>DBX</code>：撤銷資料庫，用來攔截已知不可信或有風險的啟動元件。</li> </ul> <p>微軟說明中提到，Windows 裝置長期使用的一批 2011 年憑證即將過期，對應的新憑證已經變為 2023 版本。其中包括用於簽署 <code>DB</code> / <code>DBX</code> 更新的 KEK 憑證、用於簽署 Windows 啟動載入程式的 Windows UEFI CA，以及用於第三方啟動載入程式、EFI 應用和 Option ROM 的 UEFI CA。</p> <h2 id="會不會影響開機">會不會影響開機 </h2><p>大多數使用者最關心的是：到 2026 年憑證過期後，電腦會不會突然無法啟動？</p> <p>微軟給出的結論比較明確：沒有收到 2023 新憑證的裝置，仍然可以繼續啟動並正常執行，標準 Windows 更新也會繼續安裝。但問題在於，這些裝置將無法繼續接收與早期啟動過程相關的新安全保護，例如 Windows 啟動管理器更新、安全啟動資料庫更新、撤銷清單更新，以及針對新發現啟動級漏洞的緩解措施。</p> <p>所以它更像是一個「安全保護鏈條老化」的問題，而不是一個單純的「系統立刻報廢」的問題。短期看，機器可能照常工作；長期看，裝置對新 bootkit、啟動鏈漏洞和被撤銷元件的防護能力會下降。</p> <h2 id="普通使用者該怎麼做">普通使用者該怎麼做 </h2><p>普通使用者不需要手動編輯 Secure Boot 密鑰，也不建議在 BIOS / UEFI 裡隨意刪除、重置或匯入憑證。</p> <p>更穩妥的做法是：</p> <ol> <li>保持 Windows Update 開啟，並安裝累積更新。</li> <li>安裝電腦廠商推送的韌體、BIOS、UEFI 和驅動更新。</li> <li>不要為了臨時相容問題長期關閉 Secure Boot。</li> <li>如果裝置啟用了 BitLocker，在做韌體或 Secure Boot 相關改動前，先確認復原密鑰可用。</li> <li>使用 <code>msinfo32</code> 查看「安全啟動狀態」，確認裝置確實啟用了 Secure Boot。</li> </ol> <p>對家用電腦來說，主要風險通常不是「不會操作」，而是長期不更新韌體。很多筆電和品牌機的 Secure Boot 相關變更，最終仍然要依賴 OEM 韌體配合。</p> <h2 id="企業管理員要關注什麼">企業管理員要關注什麼 </h2><p>企業環境的麻煩不在單台機器，而在裝置型號、韌體版本、加密策略、部署工具和第三方啟動元件混在一起。</p> <p>建議先做四件事：</p> <ol> <li>盤點裝置型號、Windows 版本、Secure Boot 狀態、韌體版本和 BitLocker 狀態。</li> <li>選擇典型機型做小範圍測試，再逐步擴大部署。</li> <li>把 Windows 更新、OEM 韌體更新、復原密鑰備份、PXE / MDT / ConfigMgr / Intune 流程放在同一個變更計畫裡。</li> <li>驗證復原媒體、映像工具、第三方安全軟體、雙系統啟動載入程式是否仍能正常啟動。</li> </ol> <p>微軟文件也為 IT 管理裝置提供了登錄檔、群組原則、WinCS API、Intune 和監控範例等路徑。對企業來說，不建議把這次憑證更新當成普通補丁處理，而應當按韌體級變更來做測試、灰度和回滾預案。</p> <h2 id="雙系統和第三方啟動工具要額外謹慎">雙系統和第三方啟動工具要額外謹慎 </h2><p>如果裝置上有 Linux 雙系統、第三方啟動載入程式、自訂簽章的 EFI 應用、老版本復原碟或離線部署工具，這次更新更值得提前驗證。</p> <p>原因是微軟把原來的部分信任拆得更細，例如第三方啟動載入程式和 Option ROM 對應的信任不再完全混在一起。這樣做有利於縮小信任範圍，但也意味著老舊啟動元件、未更新的 shim / GRUB、舊復原媒體或定制啟動工具，未來可能更容易遇到簽章不被信任的問題。</p> <p>這裡的原則很簡單：不要等到憑證過期後才發現復原碟也啟動不了。重要機器至少要提前驗證一次真實復原流程。</p> <h2 id="不建議做的事">不建議做的事 </h2><p>這類問題看起來像「憑證到期」，很容易讓人想直接進 BIOS 手工改密鑰。但除非廠商或微軟文件明確要求，否則不建議這樣做。</p> <p>不要長期關閉 Secure Boot。不要在生產裝置上直接清空 Secure Boot keys。不要把一台裝置上的韌體設定照搬到另一批型號不同的裝置。也不要只更新 Windows、不更新 OEM 韌體，然後預設認為問題已經解決。</p> <p>更合理的判斷是：Windows 更新解決作業系統側，OEM 韌體更新解決平台側，企業部署策略解決規模化一致性。三者缺一項，後面都可能變成很難排查的啟動問題。</p> <h2 id="小結">小結 </h2><p>這次 Windows 安全啟動憑證過期事件的實際影響，不是 2026 年某一天所有電腦同時無法開機，而是舊憑證裝置會逐漸失去後續 Secure Boot 安全更新能力。</p> <p>個人使用者應保持 Windows 和韌體更新，避免隨意關閉 Secure Boot；企業管理員則應盡快開始盤點、測試和分階段部署。越靠近 2026 年 6 月，留給韌體相容性、復原流程和批量回滾的時間就越少。</p>