2025 年 6 月,微軟宣布將於 2026 年 6 月開始逐步淘汰 2011 年的 Windows 安全啟動證書,並由 2023 年的對應證書取代。
隨著時間的流逝,是時候進行清理工作以防止今年稍後出現潛在問題了。如果您有一個由公司或學校管理的系統,您的系統管理員將需要處理該過程,這與個人電腦不同。
證書有什麼用?
這四個憑證共同驗證系統的初始啟動過程(甚至在 Windows 啟動之前由系統直接載入的軟體)沒有受到損害。
它們由安全啟動使用,這是一個內建於所有現代 Windows 系統韌體中的標準平台,由統一可擴展韌體介面啟用或停用(預設啟用)。不匹配並不一定意味著正在加載或執行惡意程式碼——只是系統無法排除它。
什麼時候會發生這種情況?
這些證書將於 2026 年 6 月開始到期,並持續到 2026 年 10 月。
這適用於哪些版本的 Windows?
一般來說,這將適用於 Windows 10 1607 或更高版本以及 Windows 11 的所有版本。 (您可以在 Microsoft 網站上找到詳細清單。)但要接收 Windows 10 的憑證更新,您必須註冊 廣泛的安全性更新計劃。
我需要做什麼?
可能什麼也沒有。在許多情況下,它們可能已經是最新的:只要啟用安全啟動,Windows 就會自動更新它們,並且自動更新預計將持續全年。
但是,您可能需要透過檢查目前版本來進行驗證。
但是,與不間斷的病毒定義更新不同,憑證是正常更新過程的一部分,可以選擇暫停。它們是 BIOS 更新。查找當前版本的方式各不相同,因此您可能需要進行一些搜尋。
但更新從 2024 年開始推出,因此如果您有最新的 BIOS 版本(更容易測試),應該沒問題。 (例如,將 msinfo32 貼上到 Windows 開始功能表搜尋欄位中,然後會顯示 BIOS 日期。)
如果您調整設定以降低更新頻率,您需要確保您沒有以某種方式設法跳過它們。如果安全啟動已停用,則可能不會更新它們。
如果您有一個有一段時間沒有啟動的系統,那麼可能值得啟動它並使其成為最新版本以避免將來出現問題。
如果它們不是最新的怎麼辦?
確保安全啟動已啟用並且 Windows 更新正在運行後,如果它們仍然不正確,那麼您可能需要查找適用於您的特定電腦或主機板(如果您自己建置)的說明。 Microsoft 提供了一些製造商的連結。
如果我不更新會怎樣?
過期的憑證肯定會阻止 Windows 在啟動時保持其安全功能和資料庫最新,這可能會使您的系統容易受到攻擊。但證書僅驗證和識別與其期望看到的代碼不符的代碼。
它們不會阻止程式碼載入或執行。相反,其他層的軟體決定如何回應。回應可以是任何內容,從簡單地觸發事件檢視器中的通知到可能幹擾軟體的運作方式(例如 Windows 的 BitLocker 磁碟加密),這取決於系統上安裝的內容以及啟用的 Windows 功能。
例如,企業管理的筆記型電腦往往具有多層安全性,這幾乎可以阻止您執行任何操作,而個人系統可能只是聳聳肩。如果停用安全啟動,則不會受到任何影響。
