根据PCWorld报道,微软正在为Windows 11系统推出关键的安全启动证书更新,以替换将于2026年6月到期的证书。若不安装这些更新,较旧的Windows 11电脑可能面临安全漏洞、无法接收未来更新或无法信任新启动加载程序的风险。用户应安装Windows质量更新并检查是否具有2023年时间戳的证书,以确保系统保持安全与功能正常。
据BleepingComputer报道,微软最近已开始为符合条件的、运行24H2和25H2版本的Windows 11系统更换即将到期的安全启动证书。更新:微软已于2月10日确认,计划通过常规的Windows更新流程来更新安全启动证书。
安全启动是一项重要的安全功能,可防止恶意软件在系统启动期间运行。它是Windows统一可扩展固件接口/基本输入输出系统的一部分,通过将软件的数字签名与系统中存储的特定密钥进行比较来工作。
微软早在去年11月就警告称,当前大多数Windows设备使用的安全启动证书将于2026年6月到期。因此,特别是IT管理员应尽快采取行动,以防受影响的设备出现问题。
微软解释道:“如果不进行更新,启用了安全启动的Windows设备将面临无法接收安全更新或无法信任新启动加载程序的风险,这会损害系统的可维护性和安全性。”
哪些设备会受到影响?
根据微软的说法,2024年之前制造的设备尤其会受到影响。较新的Windows电脑已经拥有最新的证书。
此外,只有那些设备也以安全启动模式启动的用户才会受到影响。如果不是这种情况,则不会出现问题。您可以通过激活Win + R键,输入“msinfo32”,并检查“安全启动状态”的值来测试您的电脑是否以安全启动方式启动。如果显示为“开启”,则表示安全启动处于活动状态。
您可以采取的措施
要检查当前使用证书的状态,请按以下步骤操作:
以管理员权限打开Windows Powershell。
输入以下命令:[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes)
在最佳情况下,您应该至少看到一个具有2023年时间戳的当前证书,例如MicrosoftUEFICertificateAuthority_2023.cer。
提示:通过添加-match ‘Windows UEFI CA 2023’参数,您也可以直接筛选出您要找的证书,并收到“真”或“假”作为答案。
反之,如果证书更旧,则最迟在6月极有可能出现问题。因此,您应在此之前安装新证书。
如果此方法无效,您可以打开Windows注册表编辑器,并检查HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing路径下的内容。WindowsUEFICA2023Capable项的值不应为0,否则表示证书不可用。
根据微软的说法,安装一系列Windows质量更新应该就足够了。一旦发送了足够数量的“成功更新信号”,微软就能“确保安全且逐步的部署”。您还应启用电脑向微软发送诊断数据的功能。
或者,企业也可以使用特殊的注册表项或Windows配置系统来获取安全启动证书。更多信息,请参阅微软的官方指南。
