了解安全启动证书过期对 Windows 用户的影响
对于 Windows 11 用户来说, “安全启动”一词至关重要。此功能是安装操作系统的必要硬件前提之一。安全启动于 2012 年首次随 Windows 8 推出,它依赖于 2011 年颁发的证书,而这些证书即将到期。微软最近在一篇博客文章中强调了这个问题,强调组织和消费者必须及时更新其安全启动证书。
什么是安全启动?为什么它至关重要?
安全启动本质上是一种保护机制,旨在确认您的电脑固件和引导加载程序是可信且经过验证的。由于现有的2011年证书将于2026年6月到期,未能更新证书可能会损害设备启动过程的完整性。如果继续使用过期的证书,Windows 启动管理器和安全启动组件的基本安全更新可能无法应用。这会使设备容易受到复杂的 Bootkit 恶意软件(例如 BlackLotus)的攻击,这些恶意软件可以逃避传统防病毒程序的检测。此外,过期的安全启动证书可能会损害使用较新证书签名的软件的可信度。
符合证书更新条件的设备
重要的是,运行受支持 Windows 版本(包括 Windows 10、Windows 11 以及 Windows Server 的各个版本(2012 年至 2025 年))的物理机和虚拟环境都可能受到这些即将过期的证书的影响。不过,值得注意的是,2025 年推出的 Copilot+ PC 不会受到影响。
所需操作:更新您的证书
为了避免潜在的中断和安全风险,微软敦促用户和组织过渡到 2023 年推出的更新证书。下表概述了有关即将发生的变化的关键信息:
| 截止日期 | 旧证书 | 新证书 | 功能 | 存储位置 |
|---|---|---|---|---|
| 2026年6月 | 微软公司 KEK CA 2011 | 微软公司 KEK 2K CA 2023 | 签署 DB 和 DBX 的更新 | 密钥注册密钥 (KEK) |
| Microsoft Corporation UEFI CA 2011(或第三方 UEFI CA)* |
|
|
允许签名数据库 (DB) | |
| 2026年10月 | Microsoft Windows 生产 PCA 2011 | Windows UEFI CA 2023 | 标记 Windows 引导加载程序和组件 |
建议遵循的步骤
那么,用户如何确保顺利过渡到更新的证书?微软建议允许其管理您的 Windows 更新。不久的将来,新证书将以每月累积更新的形式发布,从而简化用户的流程。此外,企业可以考虑将其 Windows 10 设备注册到扩展安全更新计划中,该计划对个人消费者免费,但对企业用户则需要付费。微软还承诺提供 Linux 系统双启动配置所需的证书。
对“气隙”设备的考虑
必须承认的是,并非所有 Windows 设备都能接收这些更新。“隔离”系统,即与互联网和其他网络物理隔离的系统,其更新访问权限将受到限制,类似于个人电脑。对于这些设备,微软提供有限的支持,更多详细信息请参阅其专门的博客文章。用户还可以通过此支持文档监控安全启动证书的更新。
检查安全启动状态
要验证您的机器是否启用了安全启动,只需按下Win + R,输入msinfo32,然后查找“安全启动状态”。
发表回复