日前,科技媒体Windows Latest披露,微软正在积极推动一项关键的系统安全更新,旨在敦促Windows 11用户将电脑中的“安全启动”证书,从2011年的旧版本升级至2023年的新版本。
为何如此紧迫?微软官方已确认,使用了十余年的2011版证书将于2026年6月到期。早在今年3月的官方问答中,微软便发出预警:证书过期后,多数电脑虽然仍能正常开机,但整个启动链条将无法获得关键的安全更新。这意味着系统抵御恶意软件和Rootkit攻击的“防线”会逐渐失效,安全风险只会与日俱增。
注:安全启动是UEFI固件中的一项核心安全机制。电脑开机时,它如同一位严格的“安检员”,逐一验证引导加载程序、驱动程序等关键组件的数字签名,只有受信任的软件才能被放行启动,从而在源头阻止恶意软件的入侵。
这套机制的运行,依赖于KEK、DB、DBX等多层密钥和签名数据库的协同配合。微软此次的更新策略是“新旧交替”:先将2023版新证书部署到系统中,再逐步将其刷入主板的UEFI固件,最终让整个系统切换到信任新的证书链上。
Windows 11 C盘中安全启动证书相关文件夹
当然,用户最关心的往往是各种边界情况。对此,微软也给出了明确的解释。
不同设备环境,更新策略各不相同
首先是古董级老机器。如果你的电脑采用纯粹的Legacy BIOS启动(根本不支持UEFI),那么系统会直接识别为“不支持安全启动”,更新程序会自动跳过,不会强制推送。
Windows 11中安全启动证书的状态
另一种情况是,设备本身支持UEFI和安全启动,但用户为了兼容旧系统,在BIOS中开启了CSM(兼容性支持模块)来模拟传统BIOS。针对这种情形,更新程序仍然可以正常执行。
最需要用户留意的,是手动关闭了安全启动功能的情况。如果你在BIOS设置里关掉了它,微软的更新程序会主动报错并停止。原因在于,不同主板厂商对于“安全启动关闭状态下写入新证书”的处理方式差异极大,强行更新极有可能破坏现有的启动链条,导致电脑无法开机。因此,遇到报错先别急着强制更新,去BIOS里重新打开安全启动才是正确的解决之道。
企业级与虚拟化环境更需谨慎对待
对于企业IT管理员和服务器环境,情况则要复杂得多。微软明确指出,面向普通Windows 11设备的自动证书更新推送,并不包含Windows Server系列。
这意味着,即便是全新安装的Windows Server 2025,或者从Server 2022升级上来的系统,都不会自动满足新证书的要求。管理员必须使用指定的PowerShell命令,手动完成证书的部署和更新,这一步绝不能省略。
虚拟化环境也有额外的“坑”。例如,在Hyper-V中长时间运行的虚拟机,历史上就曾出现过KEK密钥更新失败的Bug。要顺利完成此次证书更新,宿主机和客户机两侧都必须安装2026年3月(或之后)的系统更新补丁,否则更新流程很可能被卡住。
话说回来,如果你最近在更新Windows 11时,发现系统经历了多次重启,先别慌张。这很可能就是安全启动证书正在后台部署的正常行为,属于此次升级计划的一部分。
