随着Windows 10停止主流支持,微软近期向全球Windows用户发出新的安全更新警告:包括Windows 10、Windows 11以及多个Windows Server版本在内的系统,当前使用的三张安全凭证即将于2026年6月到期,届时相关系统的安全启动功能将受到影响。

哪些系统会受到影响
此次到期的凭证包括KEK CA 2011、UEFI CA 2011与Windows Production PCA 2011,受影响的操作系统覆盖自2012年发布以来几乎所有Windows版本,具体包括:
Windows 10 与 Windows 11 所有公开版本
Windows Server 2025/2024/2019/2016/2012/2012 R2
各系统对应的虚拟机与实体机
长期服务通道(LTSC)版本也包含在内
唯一的例外是2025年上市的Copilot+ PC,其出厂已预装更新的安全凭证。
到期后果与更新要求
若未在2026年6月前完成凭证更新,系统将无法继续使用安全启动(Secure Boot)功能,同时不能安装后续的任何安全更新,也无法运行2026年6月之后使用新凭证签名的第三方软件和驱动程序。
不同用户更新路径有别
微软已于2024年签发新凭证,并在2024年7月发布相关公告,但直到2026年1月才通过Windows 10累积更新KB5073724正式推送。由于此更新要求用户必须先注册ESU(扩展安全更新)计划,因此未加入ESU的普通Windows 10用户将无法直接安装该更新。
而Windows 11用户只需通过系统自动推送的累积更新,即可自动完成新凭证部署。
