华硕、联想、戴尔等官方指南，手把手教你更新 Windows 安全启动证书

根据简鹿办公了解，微软于 2011 年为 Windows 设备签发的原始安全启动（Secure Boot）证书已于上周开始陆续到期。为了持续保护 Windows 电脑免受底层启动级威胁的侵害，各大 PC 原始设备制造商（OEM）正紧锣密鼓地推送包含新证书的 BIOS 固件更新。

为了帮助用户平稳度过这一过渡期，华硕、戴尔、惠普、联想等主流厂商均已发布了官方的 BIOS 及固件更新指南。以下是各品牌的具体更新策略与操作建议：

华硕（ASUS）：华硕确认，所有消费级 PC 将通过 Windows Update 自动接收更新。此外，用户也可以通过 PowerShell 手动检查证书是否已安装；若尚未安装，可参照官方指南，运行“Secure-Boot-Update”计划任务来手动部署最新证书。

联想（Lenovo）：联想为旗下所有受支持的产品线（包括 ThinkPad、ThinkCentre、IdeaPad、Legion 拯救者、Yoga 等）提供了直接的 BIOS 下载链接。但需注意，部分老旧产品已超出支持范围，将无法获得包含新安全启动证书的 BIOS 更新。

戴尔（Dell）：戴尔明确表示，服务终止日期在 2026 年 1 月 1 日之前的设备将不会获得新证书。此次更新仅面向较新的 Alienware（外星人）、Inspiron（灵越）、XPS、Latitude、OptiPlex、Precision（Precision）以及 Vostro（成就）和 Wyse 设备。

惠普（HP）：惠普的消费级 PC 将通过 Windows Update 自动获取新证书；但企业级设备需满足特定条件——其 SMBIOS Type 1 字段中必须包含“SBKPFV3”子字符串，方可作为最低 BIOS 版本接收更新。与戴尔类似，惠普也限制了更新范围，2018 年及更早发布的 PC 将无法升级至新版 BIOS。

微星（MSI）：搭载英特尔第 7 至 11 代酷睿处理器，或 AMD 锐龙 3000H 至 5000U 处理器的设备，将通过 Windows Update 进行更新。而搭载英特尔第 12 代或 AMD 锐龙 5000H 及更新处理器的较新系统，则需要用户手动刷写 BIOS。微星已在官网为所有兼容设备提供了更新 BIOS 包的直接下载链接。

宏碁（Acer）：宏碁正通过 Windows Update，向所有兼容的 Aspire、Nitro、Predator、Swift、Extensa、TravelMate 及 Spin 系列设备推送更新后的 BIOS。大部分设备已在 6 月 12 日至 6 月 26 日期间完成更新，其余设备也将在近期陆续收到推送。

微软 Surface 设备：微软官方指南确认，所有在保的 Surface Pro、Surface Laptop、Surface Book 和 Surface Studio 型号均会通过 Windows Update 接收 2023 版证书。超出标准软件支持周期的设备将无法获得此次更新。

核心风险提示与建议

微软此前已明确证实，安全启动证书过期不会导致电脑出现任何功能故障。这意味着，即使尚未更新到最新证书，您的 PC 依然可以正常开机运行，并继续接收所有的常规安全补丁。

但是，这并不意味着可以高枕无忧。 缺乏最新证书的设备将无法享受针对早期启动过程的新型安全防护。这会使系统更容易暴露在 Bootkit（引导区病毒）、固件 Rootkit 以及启动扇区病毒等高级底层威胁之下。因此，强烈建议符合条件的用户尽快检查并更新 BIOS，以确保设备的底层安全防线万无一失。