让我们一起快速回顾一下这个名为BlackLotus的UEFI Bootkit威胁。该恶意软件编号CVE-2023-24932，专门针对UEFI环境，能够直接绕过Windows安全启动（Secure Boot）的保护机制，在系统启动的早期阶段便植入恶意代码。它不仅难以被检测到，清除过程也极为复杂。

为了修复这一漏洞，微软自2023年5月起分批推送补丁。由于修复措施会刷新UEFI固件并将旧版Windows启动管理器列入黑名单，导致2023年5月9日之前的ISO镜像、U盘启动器、WinPE等都可能无法正常使用，因此微软为用户提供了较长的过渡期。最初计划分为三个阶段，后来调整为五个阶段：

• ① 第一阶段（2023.5.9）：发布KB5025885更新，将病毒以及旧版启动管理器纳入DBX黑名单，但需用户手动启用。
• ② 第二阶段（2023.7.11）：新增WinRE支持，简化手动启用命令操作。
• ③ 第三阶段（2024.4.9后）：吊销旧证书“Windows Production PCA 2011”，改用新证书“Windows UEFI CA 2023”对启动管理器进行签名。
• ④ 第四阶段（2024.7.9后）：鼓励用户主动部署缓解措施，并提醒旧证书即将过期。
• ⑤ 第五阶段：强制执行！

这是本系列的第5篇文章，对应第五阶段的到来。最近，在“设置 – Windows安全中心 – 设备安全性”中，新增了一项安全启动检查功能，直接为用户提供了可视化的状态反馈。

使用三种颜色作为快速指示

• 绿色勾选：安全启动基本正常，但表象之下仍有更复杂的情况需要留意。
• 黄色感叹号（警告）：安全启动正在运行，但最新的证书（CA-2023）尚未启用或使用。
• 红色X（停止标志，错误/问题）：设备无法接收必要的更新来保障Windows启动过程的安全。

为什么Windows安全现在检查安全启动？

BlackLotus已经曝光三年，最近一个不可忽视的“硬期限”到来，促使微软加速推进——安全启动的旧证书即将过期。这个硬期限具体指什么？

证书15年大限已到：安全启动功能随Windows 8在2012年引入，其使用的证书最早于2011年颁发。按照证书15年的有效期，这批旧证书将在2026年到期。一旦过期，依赖旧证书签名的启动管理器、驱动程序等将无法通过安全启动验证，可能导致大量系统无法正常引导。

微软新增这个检查项，就是为了让用户直观地了解设备是否已经收到更新的2023证书。在此之前，除非深入UEFI设置或使用PowerShell，否则安全启动的状态完全是“盲区”。现在，状态一目了然。

不过即便是“绿色勾选”，提示信息也不完全相同。官网给出了以下几种提示：

微软表示，从2026年5月开始，还会推出更多类似的安全启动警告系统级通知，进一步提醒用户完成证书更新。届时，如果你还没有安装新证书，系统可能会通过弹窗或通知中心进行提醒。

核心提示：一旦安装了该更新，旧版本的镜像（bootmgfw.efi文件使用PCA2011签名证书）将彻底失效；新版镜像中的bootmgfw.efi文件均已使用PCA2023数字签名。

如果你是普通Windows用户，不想深究技术细节，记住一句话就行：保持系统自动更新开启，微软会帮你搞定。

官方地址：https://support.microsoft.com/en-us/topic/secure-boot-certificate-update-status-in-the-windows-security-app-5ce39986-7dd2-4852-8c21-ef30dd04f046