根据BleepingComputer的一份报告,微软最近已开始为符合条件的、运行24H2和25H2版本的Windows 11系统更换即将过期的安全启动证书。
安全启动是一项重要的安全功能,可防止恶意软件在系统启动期间运行。它是Windows统一可扩展固件接口/基本输入输出系统的一部分,会将软件的数字签名与系统中存储的特定密钥进行比较。
微软早在2023年11月就曾警告,当前大多数Windows设备使用的安全启动证书将于2026年6月到期。因此,尤其是信息技术管理员应尽快采取行动,以防受影响的设备出现问题。
微软解释道:“如果不进行更新,启用了安全启动的Windows设备将面临无法接收安全更新或信任新启动加载程序的风险,这会损害系统的可维护性和安全性。”
哪些设备会受影响?据微软称,2024年之前制造的设备尤其会受到影响。较新的Windows个人电脑已经拥有最新的证书。
此外,只有那些设备也以安全启动模式启动的用户才会受影响。如果不是这种情况,则不会出现问题。您可以通过激活Win + R组合键,输入“msinfo32”,并检查“安全启动状态”的值来测试您的个人电脑是否以安全启动方式启动。如果显示为“开启”,则表示安全启动处于活动状态。
您可以采取的措施,要检查当前使用的证书状态,请按以下步骤操作:
以管理员权限打开Windows PowerShell。
输入以下命令:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes)在最佳情况下,您应该至少看到一个带有2023年时间戳的当前证书,例如MicrosoftUEFICertificateAuthority_2023.cer。
- 提示:通过添加
-match ‘Windows UEFI CA 2023’参数,您也可以直接筛选出您要找的证书,并收到True或False作为答案。
反之,如果证书更旧,则极有可能最迟在6月出现问题。因此,您应该在此之前安装新证书。
如果此方法无效,您可以打开Windows注册表编辑器,并检查HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing路径下的内容。WindowsUEFICA2023Capable的值不应为0,否则表示证书不可用。
根据微软的说法,安装一系列Windows质量更新应该就足够了。一旦发送了足够数量的“成功更新信号”,微软就能“确保安全且逐步的部署”。您还应启用个人电脑向微软发送诊断数据的功能。
或者,企业也可以使用特殊的注册表项或Windows配置系统来获取安全启动证书。更多信息,请参阅微软的官方指南。
