PCWorld报道称,Windows 11电脑面临一项关键的安全启动证书过期问题,该证书将于2026年6月到期,可能危及系统安全。当前自2011年起使用的证书将停止接收启动关键更新和恶意软件黑名单,可能导致启动失败或阻止未来的Windows功能更新。微软(Microsoft)正在推出新证书以预防这些问题,及时更新对于维护电脑安全性和功能至关重要。
微软已明确说明,如果安全启动证书在2026年6月到期前未更新,Windows 11电脑将面临何种情况。安全启动是由PC行业开发的安全标准。它确保设备仅能使用原始设备制造商(OEM)信任的软件进行启动。
每次电脑启动时,固件会检查每个启动组件的加密签名,包括与2011年颁发的证书相关的组件。仅当这些检查通过后,Windows启动管理器(Windows Boot Manager)才会被允许加载。
当现有的安全启动证书过期时,数百万Windows电脑可能受到影响。在某些情况下,系统安全性可能降低。在更极端的情况下,它们可能无法正常启动。为防止这种情况,微软已开始推出新证书。
新的安全启动证书
这些新2023安全启动证书的交付并非简单的更新,因为它们直接与电脑主板上的UEFI硬件交互。
Windows Latest解释道:“微软必须将新2023证书传输到固件中,用新版密钥签名的启动管理器替换原有版本,并最终撤销对旧证书的信任。”微软已为此在Windows电脑上设置了一个新的安全启动文件夹。
如果不更新会发生什么
为了解释后果,微软组织了一次问答会议,参与的有首席安全工程师阿登·怀特(Arden White)、首席软件架构师斯科特·谢尔(Scott Shell)和软件工程组经理理查德·鲍威尔(Richard Powell)。Windows Latest参与了会议并总结了发现。
根据他们的报告,对于拥有过时或过期安全启动证书的Windows电脑,后果可总结如下:
“如果您忽略2026年6月的安全启动证书截止日期,您的Windows 11电脑可能仍能正常启动和运行,但系统安全性可能永久受损,因为微软将不再提供启动关键更新和恶意软件黑名单(DBX黑名单)。您可以在Windows 安全应用中检查安全启动状态。”
如果您未安装新的安全启动证书,您的电脑将无法运行最新的Windows启动管理器。因此,微软将不再为启动关键二进制文件提供安全更新。此外,您的系统可能无法再接收新的DBX黑名单,从而使您面临未来启动套件恶意软件的风险。您也可能发现未来的Windows功能更新无法再安装。
需要注意的事项
仍然依赖BIOS而非UEFI的非常老旧的电脑通常不受此问题影响,也不会收到更新。微软还指出,在安装新的安全启动证书期间,Windows电脑多次重启是正常的。现有的BitLocker加密无需禁用。
新的2023安全启动证书有效期至2038年。
如何检查您的Windows电脑状态
在Windows 设置中,转到“隐私和安全性” > “Windows 安全” > “设备安全性”来检查您的安全启动状态。如果在“安全启动”下看到带有白色对勾的绿色圆圈,则一切正常。您的电脑已为2026年6月的截止日期做好准备。
如果您看到黄色或红色警告,则应阅读提供的进一步信息。
