近期微软发布重要提示:Windows 设备内置的 2011 版安全启动原始证书,将从2025 年 6 月起陆续到期。
很多人可能不清楚这个证书的作用,也不知道过期后会有什么影响,更不知道该如何更新。今天就把这件事讲透,从风险说明到分步操作,小白也能跟着一步步完成,守护电脑的开机安全。
安全启动(Secure Boot)是电脑 UEFI BIOS 里的核心安全功能,它的作用是确保设备开机时,只加载受微软官方信任的系统和软件,从源头拦截恶意程序、Rootkit 病毒在开机前入侵系统,是 Windows 电脑的第一道安全防线。
而所有 Windows 设备通用的微软安全启动证书,就是这道防线的 “信任凭证”。本次即将到期的,是 2011 年颁发的原始证书,一旦过期,电脑的开机安全信任链就会出现缺口。
很多人会担心 “证书过期电脑就开不了机了”,这里先明确:证书过期后,电脑仍可正常启动、日常使用,常规 Windows 更新也能正常安装,不会影响基础操作。
但核心的安全防护能力会大幅下降,主要有 3 个不可逆的风险:
简单来说:日常用看似没影响,但电脑的核心安全防线会形同虚设,恶意程序更容易入侵,还可能出现软件、游戏兼容性问题。
只有开启了安全启动的设备,才需要更新本次证书。先跟着步骤,一键查看你的电脑状态:
这是最简单、最稳妥的更新方式,无需手动修改 BIOS,全程一键操作,适合绝大多数普通用户:
1.点击桌面左下角【开始菜单】,打开【设置】;
找到并点击【Windows 更新】,在页面中开启「在最新更新可用后立即获取」;
点击【检查更新】,系统会自动扫描、下载并安装新版安全启动证书、新版 Boot Manager 启动管理器;
安装完成后,根据提示重启电脑,即可完成全部更新。
温馨提示:大部分开启安全启动的 Windows 设备,都会通过自动更新收到证书推送,无需手动干预。
如果你的设备无法通过 Windows Update 收到证书更新,就可以通过更新主板 / 电脑 BIOS 的方式,完成安全启动证书更新。
更新 BIOS 前,务必备份好 BitLocker 恢复密钥,否则更新后可能会出现系统被锁定、无法进入的情况。
1.开机或重启电脑,在开机画面出现时,连续按下【F2】键,进入 BIOS 设置界面;
2.进入 BIOS 后,依次点击【进阶设置】→【安全性】→【安全启动】→【密钥管理】,选择【恢复为设置模式】,在弹出的确认框中点击【是】;
3.确认清除完成:此时安全启动参数下的【平台密钥】【密钥交换密钥】【授权签名】等各项,均显示为【0】和【无密钥】;
4.点击页面上方的【恢复出厂密钥】,在弹出的确认框中点击【是】,BIOS 会自动加载包含 2023 版新证书的默认安全启动密钥;
5.确认更新成功:此时【平台密钥】【密钥交换密钥】【授权签名】等数值不再为 0;分别点击【密钥交换密钥】和【授权签名】,选择【详细】,查看密钥信息;
6.当【密钥交换密钥】包含【Microsoft Corporation KEK 2K CA 2023】、【授权签名】同时包含【Microsoft UEFI CA 2023】和【Windows UEFI CA 2023】,即说明证书更新成功;
注:不同产品型号的 BIOS 界面显示略有差异,核心操作逻辑一致。
plaintext
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
plaintext
Start-ScheduledTask -TaskName \Microsoft\Windows\PI\Secure-Boot-Update
命令执行完成后,重启电脑,再次进入 BIOS,即可在【KEK Management】中确认包含【Microsoft Corporation KEK 2K CA 2023】,【DB Management】中同时包含【Microsoft UEFI CA 2023】和【Windows UEFI CA 2023】,即全部更新完成。
如果操作过程中遇到问题,也可以联系厂家官方售后获取技术支持,建议在 6 月证书到期前完成更新,守护电脑的开机安全。
