了解安全啟動憑證過期對 Windows 使用者的影響
對於 Windows 11 使用者來說, 「安全啟動」一詞至關重要。此功能是安裝作業系統的必要硬體前提之一。安全啟動於 2012 年首次隨 Windows 8 推出,它依賴 2011 年頒發的證書,而這些證書即將到期。微軟最近在一篇部落格文章中強調了這個問題,強調組織和消費者必須及時更新其安全啟動證書。
什麼是安全啟動?為什麼它至關重要?
安全啟動本質上是一種保護機制,旨在確認您的電腦韌體和引導程式是可信任且經過驗證的。由於現有的2011年證書將於2026年6月到期,因此未能更新證書可能會損害設備啟動流程的完整性。如果繼續使用過期的證書,Windows 啟動管理員和安全啟動元件的基本安全性更新可能無法套用。這會使裝置容易受到複雜的 Bootkit 惡意軟體(例如 BlackLotus)的攻擊,這些惡意軟體可以逃避傳統防毒程式的偵測。此外,過期的安全啟動憑證可能會損害使用較新憑證簽署的軟體的可信度。
符合證書更新條件的設備
重要的是,執行受支援 Windows 版本(包括 Windows 10、Windows 11 以及 Windows Server 的各個版本(2012 年至 2025 年))的實體機和虛擬環境都可能受到這些即將過期的憑證的影響。不過,值得注意的是,2025 年推出的 Copilot+ PC 不會受到影響。
所需操作:更新您的證書
為了避免潛在的中斷和安全風險,微軟敦促用戶和組織過渡到 2023 年推出的更新證書。下表概述了即將發生的變化的關鍵資訊:
| 截止日期 | 舊證書 | 新證書 | 功能 | 儲存位置 |
|---|---|---|---|---|
| 2026年6月 | 微軟公司 KEK CA 2011 | 微軟公司 KEK 2K CA 2023 | 簽署 DB 和 DBX 的更新 | 金鑰註冊金鑰 (KEK) |
| Microsoft Corporation UEFI CA 2011(或第三方 UEFI CA)* |
|
|
允許簽章資料庫 (DB) | |
| 2026年10月 | Microsoft Windows 生產 PCA 2011 | Windows UEFI CA 2023 | 標記 Windows 開機載入程式和元件 |
建議遵循的步驟
那麼,使用者如何確保順利過渡到更新的憑證?微軟建議允許其管理您的 Windows 更新。在不久的將來,新證書將以每月累積更新的形式發布,從而簡化用戶的流程。此外,企業可以考慮將其 Windows 10 裝置註冊到擴展安全性更新計畫中,該計畫對個人消費者免費,但對企業用戶則需要付費。微軟也承諾提供 Linux 系統雙啟動配置所需的憑證。
對「氣隙」設備的考慮
必須承認的是,並非所有 Windows 裝置都能接收這些更新。 「隔離」系統,即與網際網路和其他網路實體隔離的系統,其更新存取權限將受到限制,類似於個人電腦。對於這些設備,微軟提供有限的支持,更多詳細資訊請參閱其專門的部落格文章。使用者還可以透過此支援文件監控安全啟動證書的更新。
檢查安全啟動狀態
要驗證您的機器是否啟用了安全啟動,只需按下Win + R,輸入msinfo32,然後尋找「安全啟動狀態」。
發佈留言