微软敦促升级安全启动证书

最近，微软在安全启动证书的更新上动作频频。根据科技媒体Windows Latest的报道，微软正积极敦促Windows 11用户，将系统内的安全启动证书从2011版升级到最新的2023版。

升级为何如此紧迫？

此事紧迫的原因很简单：旧版证书的“保质期”快到了。

微软官方确认，2011版证书将在2026年6月正式到期。早在今年3月，微软就曾预警：如果用户不更新，大部分电脑或许仍能开机，但整个启动链条将无法获得关键安全更新。

这意味着，系统抵御恶意软件和未授权组件的能力会逐渐减弱，安全风险将不断累积。

什么是安全启动？

简单来说，安全启动是现代电脑UEFI固件里的一道“安检门”。

每次开机，它都会严格检查引导加载程序、驱动等核心组件的数字签名。其目的是确保只有受信任的软件才能启动系统，从而将许多底层恶意代码挡在门外。

微软的升级策略

这套机制依赖于KEK、DB、DBX等多层密钥和签名数据库的协同工作。

微软的升级策略是分步进行的：

• 先将全新的2023版证书部署到操作系统中。
• 再逐步写入主板的UEFI固件。
• 最终让整个系统切换到信任新证书的链条上。

不同设备的升级情况说明

针对用户关心的各种特殊情况，微软给出了明确说明：

1. 仅支持传统BIOS的老机器

如果设备只支持传统的Legacy BIOS，系统会直接识别为“不支持安全启动”。更新程序会自动跳过，不会强行推送。

2. 开启了CSM兼容模式的设备

如果设备具备UEFI和安全启动能力，但用户为了兼容旧系统，在BIOS里开启了CSM（兼容性支持模块）来模拟传统模式。在这种情况下，证书更新依然可以正常进行。

3. 手动关闭了安全启动功能的设备

这是更常见的问题。微软对此处理非常谨慎：更新程序会主动报错并停止。

原因是，不同品牌的主板在安全启动关闭状态下，对写入证书的处理方式差异很大。强行更新可能弄巧成拙，反而破坏正常的启动流程。

企业服务器与虚拟化环境

对于企业环境，情况更为复杂：

• 自动更新不包含服务器系统：面向普通Windows 11的自动推送，并不包含Windows Server系列。
• 需手动部署：即使是全新的Windows Server 2025，或从Server 2022升级而来，也不会自动满足新证书要求。服务器管理员必须使用指定的PowerShell命令手动完成部署。

虚拟化环境也有额外限制。以Hyper-V为例，过去在长期运行的虚拟机上曾出现KEK更新故障。

要避免此问题，需要确保：

• 宿主机安装了2026年3月及之后的安全更新。
• 虚拟机也安装了同期安全更新。

否则，证书升级过程可能会卡住。

总结

这次证书升级是微软加固Windows启动安全基础的重要一步。

对于绝大多数开启了安全启动的现代Windows 11电脑，系统会引导用户平滑完成过渡。

但如果你身处以下情况，则需要多留个心眼，并做好手动处理的准备：

• 企业服务器环境。
• 使用了虚拟化环境。
• 喜欢或需要折腾BIOS设置。

《夸克》非常好用的免费AI浏览器

下载APP查看