11月20日,有技术博客发文透露,微软为应对将于2026年到期的传统UEFI安全启动证书,发布了新版本更新指南。不过这份指南中存在着严重的技术疏漏,可能导致系统更新过程出现问题。
此前,微软已向IT管理员发布通知,提示当前使用的UEFI安全启动证书将在2026年6月失效,建议相关单位尽快准备迁移工作。为此微软启动了新证书的部署流程,推出了"Microsoft UEFI CA 2024"等新证书,并向企业及IT专业人员发布了详细的技术操作指南,旨在确保设备能够平稳过渡,避免因证书过期导致系统无法启动或安全验证失败等问题。
然而,这一关键更新流程却因最新文档的失误而引发潜在风险。一位技术人员在为Windows 10 IoT企业版LTSC系统配置安全启动密钥时发现,微软提供的指南中存在关键参数设置错误。具体问题出现在用于触发计划任务以安装新证书的控制位定义上。
按照正确逻辑,控制位0x0800应负责安装"Microsoft UEFI CA 2024"证书,而0x1000则对应"Microsoft Option ROM CA 2024"证书的安装。但在原始发布的文档中,这两个控制位的功能被完全颠倒。这一错误意味着,若管理员依照最新说明执行操作,系统可能安装错误的证书类型,或因证书验证冲突导致安装流程中断,进而使设备面临无法正常启动或安全机制失效的风险。
在问题被公开后,微软已悄悄修正了支持文档中关于安全启动证书更新的相关内容,恢复了两个控制位的正确功能描述。不过,发现问题的用户进一步指出,尽管核心指令已被更正,但文档中仍残留部分与原错误相关的条件说明,表述不清且前后矛盾。此外,调整后的指令顺序缺乏逻辑连贯性,表明此次修复可能仅是临时补救,并未对整体更新机制进行系统性梳理,未来在大规模部署过程中仍可能存在操作隐患。
