最新 Windows 更新正在替换即将过期的 Secure Boot 证书

微软已开始在受支持的 Windows 11 24H2 和 25H2 版本系统上逐步自动替换即将过期的 Secure Boot（安全启动）证书。此次更新将自动推送，旨在确保设备在 2026 年 6 月之后仍能维持安全启动功能并继续接收安全更新。

Secure Boot（安全启动）是一项安全功能，用于防止恶意软件（如 rootkit）在系统启动阶段运行。它通过 UEFI 固件确保设备仅加载经过验证的可信引导程序。具体而言，系统会使用存储在设备固件中的一组受信任数字证书，对启动软件的数字签名进行验证。

此次公告紧随微软于去年 9 月和 11 月向 IT 管理员发出的预警：建议他们提前更新用于验证 UEFI 固件的安全证书，以免证书过期造成影响。

微软表示：

“目前大多数 Windows 设备所使用的 Secure Boot 证书将从 2026 年 6 月起陆续到期。若未能及时更新，可能会影响部分个人及企业设备的安全启动能力。”

从本次更新开始，Windows 每月的质量更新将包含一套检测数据，可高精度识别出适合自动接收新 Secure Boot 证书的设备。新证书仅在设备表现出足够多的成功更新信号后才会安装，以确保部署过程安全、平稳、分阶段推进。

微软建议系统管理员务必在今年夏季旧证书到期前完成新证书的部署。否则，设备可能失去对 Windows Boot Manager 和 Secure Boot 的保护——因为启用了 Secure Boot 的设备将无法再获得操作系统加载前组件的安全更新。

微软进一步解释道：

“若不更新证书，启用 Secure Boot 的 Windows 设备将面临无法接收安全更新或无法信任新引导程序的风险，这将同时损害系统的可维护性与整体安全性。”

尽管微软将通过 Windows Update 自动为符合条件的设备更新证书，但企业组织也可通过注册表项、Windows 配置系统或组策略手动部署 Secure Boot 证书。

根据微软发布的 Secure Boot 管理指南，管理员应首先对现有设备资产进行全面盘点，使用 PowerShell 命令或注册表键值检查 Secure Boot 状态，并在安装微软提供的新证书之前，先从硬件厂商处获取并部署最新的固件更新。