总而言之,微软(Microsoft)6月24日的安全启动(Secure Boot)证书截止日期影响密钥交换密钥(Key Exchange Key),不会导致完全系统故障,但PCWorld建议及时更新以保安全。禁用安全启动的系统在启用该功能前需手动下载证书,以避免启动问题并保持安全防护。用户应使用微软的指示工具检查证书状态,因为过时的系统在截止日后将失去关键的DBX黑名单(DBX blacklist)更新。
过去几个月,我们一直在报道Windows 11使用的安全启动证书的重大变更,这些证书是系统安全启动所必需的。微软反复警告称,如果过时的证书不及时更新,从6月起Windows PC将面临严重问题。
微软已通过Windows Latest回答了关于安全启动的一些悬而未决的问题,并对多个方面给出了明确答复:6月24日不应被视为一个“硬性”截止日期,过了之后受影响系统将无法再使用安全启动。相反,这一截止日期特指密钥交换密钥的交付,该密钥作为安全启动的安全密钥。此外,还有第二个密钥(DB密钥(DB Key))要到2026年10月才到期。
因此,如果您在6月24日之前尚未收到所有新的安全启动证书,一切尚未结束。微软预计能够利用第二个密钥继续交付启动管理器,直至10月。
“没有终止日期会让注册表键值和更新停止工作,”微软首席软件设计工程师斯科特·谢尔(Scott Shell)确认道。
尽管如此,从6月起,所有未更新安全启动的系统将受到某些限制。例如,您的系统将无法再下载新的DBX黑名单更新(这些黑名单包含可能损害系统的有缺陷或危险的引导加载程序的签名,因此被Windows阻止)。
如果不用安全启动会怎样?
微软回答了另一个重要问题:对于那些当前未启用安全启动但希望将来使用的系统,会发生什么?如果安全启动被禁用,微软无法更新必要的证书。如果安全启动保持禁用状态,这不会成为问题(尽管建议启用安全启动以保护您的PC免受威胁)。
谢尔解释称,微软将把这些计算机上的启动管理器更新到签名为2023年的版本。启动管理器本身已准备好使用,但仍需要相应的证书。如果这些证书不可用,计算机可能根本无法启动。
在首次启用安全启动之前,每位用户或系统管理员必须确保首先手动下载最新的证书。微软在此支持页面上详细说明了具体步骤。
与此同时,通过Azure云托管的虚拟机,若使用“安全启动”或“受信任的启动”,将自动接收新证书。在这种情况下,您无需进行任何额外操作。
Windows 11和Windows 10有区别吗?
当被问及Windows 10和Windows 11的安全启动更新是否有差异时,微软给出了否定回答。Windows 10将继续作为扩展安全更新(Extended Security Updates)的一部分接收相关安全补丁,直至10月,安全启动证书包含在内。
唯一的区别是,某些较旧的系统在出厂时默认未启用安全启动,或者运行的配置不会向微软发送遥测数据。在这种情况下,您需要采取额外步骤来获取证书。
最好使用新的指示工具检查安全启动证书是否已更新,然后手动下载。微软强调:您的证书更新得越早越好。
