技术文档

Windows 安全启动证书 2026 年过期:普通用户和管理员该怎么更新

整理微软关于 Windows 安全启动证书过期和 2023 CA 更新的说明:2011 证书将在 2026 年开始过期,设备需要通过 Windows、固件或 OEM 更新迁移到新证书,避免失去后续安全启动保护更新。

微软更新了关于 Windows 安全启动证书过期和 CA 更新的说明。重点不是“电脑到期就不能开机”,而是:2011 年签发的一批 Secure Boot 证书会从 2026 年 6 月开始陆续过期,Windows 设备需要迁移到 2023 年的新证书,才能继续获得后续启动阶段的安全保护更新。

原文见:Microsoft 支持:Windows 安全启动证书过期和 CA 更新

这次更新说的是什么

Secure Boot 是 UEFI 固件里的安全机制。它会在系统启动前验证启动加载程序、UEFI 驱动、Option ROM 等组件的签名,尽量阻止 bootkit、rootkit 这类早期启动阶段恶意代码。

这套验证依赖固件里的几个数据库和密钥:

  • KEK:密钥注册密钥,用来授权更新安全启动数据库。
  • DB:允许的签名数据库,决定哪些启动组件可以被信任。
  • DBX:吊销数据库,用来拦截已知不可信或有风险的启动组件。

微软说明中提到,Windows 设备长期使用的一批 2011 年证书即将过期,对应的新证书已经变为 2023 版本。其中包括用于签署 DB / DBX 更新的 KEK 证书、用于签署 Windows 启动加载程序的 Windows UEFI CA,以及用于第三方启动加载程序、EFI 应用和 Option ROM 的 UEFI CA。

会不会影响开机

大多数用户最关心的是:到 2026 年证书过期后,电脑会不会突然无法启动?

微软给出的结论比较明确:没有收到 2023 新证书的设备,仍然可以继续启动并正常运行,标准 Windows 更新也会继续安装。但问题在于,这些设备将无法继续接收与早期启动过程相关的新安全保护,例如 Windows 启动管理器更新、安全启动数据库更新、吊销列表更新,以及针对新发现启动级漏洞的缓解措施。

所以它更像是一个“安全保护链条老化”的问题,而不是一个单纯的“系统立刻报废”的问题。短期看,机器可能照常工作;长期看,设备对新 bootkit、启动链漏洞和被吊销组件的防护能力会下降。

普通用户该怎么做

普通用户不需要手动编辑 Secure Boot 密钥,也不建议在 BIOS / UEFI 里随意删除、重置或导入证书。

更稳妥的做法是:

  1. 保持 Windows Update 开启,并安装累积更新。
  2. 安装电脑厂商推送的固件、BIOS、UEFI 和驱动更新。
  3. 不要为了临时兼容问题长期关闭 Secure Boot。
  4. 如果设备启用了 BitLocker,在做固件或 Secure Boot 相关改动前,先确认恢复密钥可用。
  5. 使用 msinfo32 查看“安全启动状态”,确认设备确实启用了 Secure Boot。

对家用电脑来说,主要风险通常不是“不会操作”,而是长期不更新固件。很多笔记本和品牌机的 Secure Boot 相关变更,最终仍然要依赖 OEM 固件配合。

企业管理员要关注什么

企业环境的麻烦不在单台机器,而在设备型号、固件版本、加密策略、部署工具和第三方启动组件混在一起。

建议先做四件事:

  1. 盘点设备型号、Windows 版本、Secure Boot 状态、固件版本和 BitLocker 状态。
  2. 选择典型机型做小范围测试,再逐步扩大部署。
  3. 把 Windows 更新、OEM 固件更新、恢复密钥备份、PXE / MDT / ConfigMgr / Intune 流程放在同一个变更计划里。
  4. 验证恢复介质、镜像工具、第三方安全软件、双系统启动加载程序是否仍能正常启动。

微软文档也为 IT 管理设备提供了注册表、组策略、WinCS API、Intune 和监控示例等路径。对于企业来说,不建议把这次证书更新当成普通补丁处理,而应当按固件级变更来做测试、灰度和回滚预案。

双系统和第三方启动工具要额外谨慎

如果设备上有 Linux 双系统、第三方启动加载程序、自定义签名的 EFI 应用、老版本恢复盘或离线部署工具,这次更新更值得提前验证。

原因是微软把原来的部分信任拆得更细,例如第三方启动加载程序和 Option ROM 对应的信任不再完全混在一起。这样做有利于缩小信任范围,但也意味着老旧启动组件、未更新的 shim / GRUB、旧恢复介质或定制启动工具,未来可能更容易遇到签名不被信任的问题。

这里的原则很简单:不要等到证书过期后再发现恢复盘也启动不了。重要机器至少要提前验证一次真实恢复流程。

不建议做的事

这类问题看起来像“证书到期”,很容易让人想直接进 BIOS 手工改密钥。但除非厂商或微软文档明确要求,否则不建议这样做。

不要长期关闭 Secure Boot。不要在生产设备上直接清空 Secure Boot keys。不要把一台设备上的固件设置照搬到另一批型号不同的设备。也不要只更新 Windows、不更新 OEM 固件,然后默认认为问题已经解决。

更合理的判断是:Windows 更新解决操作系统侧,OEM 固件更新解决平台侧,企业部署策略解决规模化一致性。三者缺一项,后面都可能变成很难排查的启动问题。

小结

这次 Windows 安全启动证书过期事件的实际影响,不是 2026 年某一天所有电脑同时无法开机,而是旧证书设备会逐渐失去后续 Secure Boot 安全更新能力。

个人用户应保持 Windows 和固件更新,避免随意关闭 Secure Boot;企业管理员则应尽快开始盘点、测试和分阶段部署。越靠近 2026 年 6 月,留给固件兼容性、恢复流程和批量回滚的时间就越少。

© 2022 - 2026 KnightLi的博客
记录并分享
使用 Hugo 构建
主题 StackJimmy 设计