Windows 安全启动证书 6 月到期！你的电脑安全了吗？

从 2011 年默默守护电脑启动安全的 Windows 安全启动原始证书，即将在2026 年 6 月正式过期。这不是普通系统更新，而是关乎电脑底层安全的关键升级 —— 微软虽自动推送新证书，但大量老旧设备、未更新电脑可能完全错过，陷入启动安全漏洞风险。

证书过期，到底有什么影响？

安全启动是电脑开机的底层安检员，验证启动组件签名合法性，拦截 Rootkit、启动级恶意软件。证书过期后，电脑不会立刻无法开机，但会彻底失去启动层安全防护：

无法接收 Windows 启动管理器、安全启动数据库的新安全补丁；

难以抵御 BlackLotus 等新型 UEFI 启动木马，设备沦为网络攻击目标；

BitLocker 加密、第三方启动加载器等依赖安全启动的功能受影响；

非 ESU 订阅的 Windows 10 设备，完全无法获取新证书，安全风险持续放大。

3 步自查你的电脑是否已更新证书？

第一步：PowerShell 一键验证（最快捷）

开始菜单搜索 PowerShell，右键选择以管理员身份运行；

粘贴以下命令，回车执行：Confirm-SecureBootUEFI

看结果：

True：已成功更新 2023 新证书，安全无忧；

False：仍在使用 2011 旧证书，必须立即升级。

第二步：系统更新 + 厂商固件升级

打开 Windows 更新，检查并安装所有待定累积更新，多数 Windows 11 设备可自动获取新证书；

若更新无效，前往戴尔、惠普、联想、华硕等OEM 官网，搜索电脑型号，安装最新固件 / BIOS 更新（老旧设备可能无支持，但务必排查）。

第三步：无固件更新？手动注册表修复

适合仍在支持周期、无固件更新的 Windows 11 设备，无需进入 BIOS：

以管理员身份打开命令提示符，粘贴执行以下命令：

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

重启电脑 2-3 次，再用第一步命令验证，显示 True 即成功。

Windows 10 用户专属提醒

微软明确：未订阅 ESU 扩展安全更新的 Windows 10 设备，无法获取新安全启动证书。

2026 年 10 月 14 日前订阅 ESU，是唯一获取证书更新的途径；

暂不升级 Windows 11 的用户，建议尽快订阅，避免证书过期后安全裸奔。

安全启动证书是电脑的底层安全钥匙，一次简单自查与更新，就能守住电脑最核心的安全防线。现在就动手检查，别让你的设备在 6 月陷入安全危机！