电脑内最基础的安全架构之一即将迎来更新。2026年6月,自2011年以来管控Windows硬件的原始安全启动证书将正式过期。为了避免数百万台电脑突然变得易受攻击或无法启动,微软正进行一场庞大且持续数年的新2023版安全启动证书的推广升级。
由于这一转变直接操作主板上的UEFI固件,过程异常敏感。为解答疑惑,微软于2026年3月举办了详细的“Ask Microsoft Anything”(AMA)问答活动,邀请了首席安全工程师Arden White、首席软件架构师Scott Shell和工程经理Richard Powell。
我观看了完整的AMA并进行了额外调研,以全面理解更新流程、忽略更新的后果以及企业如何应对特殊情况。我整理并分析了所有问答内容,让你全面了解安全启动。
简述:若忽略2026年6月的安全启动证书期限,Windows 11电脑仍能正常启动运行,但系统安全将永久下降,因为微软将停止推送关键启动更新和恶意软件黑名单(DBX吊销列表)。可在Windows安全应用中查看安全启动状态。
Windows安全面板显示安全启动已开启安全启动是PC产业成员制定的一项安全标准,确保设备只使用OEM(原始设备制造商)信任的软件启动。
开机时,固件会检查每段启动软件的加密签名,包括UEFI固件驱动(Option ROM)、EFI应用程序及操作系统的启动管理器。系统依赖以下密钥层级:
原2011证书将在2026年达到加密有效期,微软必须向固件推送新2023证书,替换启动管理器为新密钥签名版本,最终停止信任旧证书。
作为推广的一部分,微软已确认Windows 11中新出现的Secure Boot文件夹非错误,无需删除。该文件夹用于存放操作系统写入主板的加密文件。

AMA中首批问题之一是针对老旧硬件。坦率说,这也是我最关心的问题,因为我有一台老款ThinkCentre迷你主机:如果在仍使用传统BIOS的设备上强制设置注册表进行更新,会怎样?更新流程会自动跳过这类设备吗?
Scott Shell表示,更新流程确实足够智能。真正运行传统BIOS的机器物理上不支持安全启动,系统会显示SecureBootCapable = False和SecureBootEnabled = False,Windows会跳过更新尝试。如果设备使用兼容性支持模块(CSM)模拟传统BIOS,但仍拥有UEFI和安全启动能力,更新仍会正常执行不会失败。
安全启动部分显示“需采取措施”状态及红色停止图标另一常见情形是用户尝试在BIOS中关闭安全启动时更新证书。
微软特意在安全启动关闭情况下让更新出错,因UEFI生态极不统一。有些主板固件可在关闭状态下更新证书,有些则会损坏启动或在开启时突然更换证书。为避免系统变砖,微软要求必须激活安全启动。如果设备开启安全启动无法启动Windows,须先解决BIOS配置问题(通常涉及MBR与GPT磁盘格式),方可接收2023证书。
固件更新风险高,微软通过受控功能推送(CFR)和最新累积更新(LCU)分阶段执行。
有用户观察到更新导致异常重启,提问:我手动强制执行计划任务,服务器重启多次后才稳定。每次都会需要多次重启吗?

Richard Powell确认,Windows 11更新后可能多次重启,电脑并未损坏。这是因安全启动2023更新,推送证书到固件需一次重启阶段证书,二次重启应用证书,三次重启加载新签名启动加载程序。自动流程尽力隐藏这些过程,手动触发时多次重启非常明显。
这引发了关于加密的担忧,用户是否需暂停BitLocker以应对多次重启?
无需暂停BitLocker。Shell澄清,更新过程完全支持BitLocker,序列自动重新密封BitLocker与虚拟安全模式(VSM)密钥,确保Windows Hello等功能重启后依旧保护且不会锁机。
不过,有报告称部分驱动更新要求重启后输入BitLocker密钥,引发疑问是否正常。
普通驱动更新不影响安全启动链。但通过Windows Update发布的固件更新若改变平台密钥(PK)或密钥交换密钥(KEK),可能改变BitLocker密钥范围。虽然理论上不应要求输入恢复密钥,但复杂企业环境中偶尔可能触发。
因固件差异,管理员或关心是否应对全设备统一启用“允许安全启动证书更新”策略设置。
微软强烈不建议如此。Windows 11安全启动2023更新在部分设备失败,暴露更多固件问题。海外千万种主板型号微软无法全面测试,全面强制部署风险大,可能影响生产效率。IT管理员应先在部分硬件上测试再决定是否启用。
管理数千台设备的企业通过Microsoft Endpoint Configuration Manager(SCCM)部署时,PXE网络启动场景极为关键。
某管理员反映其PXE启动因撤销2011证书后失效,因boot.wim文件未包含2023新证书,问:boot.wim会自动获得2023证书吗?两版证书能否共存于boot.wim?
Shell解释PXE协议限制,即客户端一次只能接收一个启动管理器,导致同一boot.wim内多启动管理器不生效。微软尚未更新默认boot.wim至2023证书,防止提前影响未升级固件的大量设备的网络启动。完成针对特定设备群体的2023证书更新后,企业可用DISM工具手动挂载修改boot.wim,提前替换启动管理器。
另有技术问题涉及固件回滚。微软被问是否确认更新固件的安全版本号(SVN)仅是将SVN添加到DBX?以及用于测试时,重置DBX是否足以取消回滚防护?
答案是肯定的。SVN可阻止系统回滚至易受攻击的旧启动管理器(如BlackLotus攻击方式)。新版启动管理器用2023证书签名,会根据SVN检查自身吊销状态。要保护系统,必须通过DBX移除或吊销2011证书。测试时清空DBX能取消回滚防护,允许旧管理器再次运行。
被问及自定义安全启动修改时,Shell表示微软放宽了对微软“所有者GUID”签名的严格检查,以避免企业定制设备上的BitLocker功能被破坏。
监控设备更新状况是一项巨大工作。Windows 11 4月更新已能显示安全启动2023证书状态。
打开Windows安全 > 设备安全,稍向下滚动,可见“安全启动”部分。若显示绿色勾选,即表示状态良好。我这里显示安全启动已开启且证书完备,符合2026年6月截止要求。

若应用提示黄色或红色警告,应仔细遵照提示执行。
#tdi_5 .td-doubleSlider-2 .td-item1 { background: url(https://www.windowslatest.com/wp-content/uploads/2026/04/The-Secure-Boot-section-showing-the-fully-updated-status-with-a-green-checkmark-icon-80x60.png) 0 0 no-repeat; } #tdi_5 .td-doubleSlider-2 .td-item2 { background: url(https://www.windowslatest.com/wp-content/uploads/2026/04/The-Secure-Boot-section-showing-the-Not-yet-updated-status-with-a-yellow-warning-icon-80x60.png) 0 0 no-repeat; } #tdi_5 .td-doubleSlider-2 .td-item3 { background: url(https://www.windowslatest.com/wp-content/uploads/2026/04/The-Secure-Boot-section-showing-the-Requires-action-status-with-a-red-stop-icon-80x60.png) 0 0 no-repeat; } 安全启动状态报告 1 of 3
安全启动部分显示“已完全更新”状态及绿色勾选图标。
安全启动部分显示“尚未更新”状态及黄色警告图标。
安全启动部分显示“需采取措施”状态及红色停止图标。 但企业需要的是全员数据。对于不允许使用Intune或AutoPatch的环境,IT人员需其他工具进行设备盘点和合规报告。微软提供了专用PowerShell脚本,详见他们的aka.ms/GetSecureBoot IT Pro门户。
此外,系统在事件查看器的TPM WMI事件源下记录详尽活动,可用常规监控软件抓取日志并构建定制的PowerBI仪表盘。
一名曾使用Intune的用户反馈了令人困惑的错误:我通过Intune部署补救措施,看到事件ID 1801提示证书已下载但未应用,且BucketConfidenceLevel显示“需要更多数据”,我需要操作吗?
这意味着系统已下载证书,但该硬件型号的遥测“桶”尚未达到触发自动安装的信心阈值。若大部分设备出现此情况,应手动测试其中一台。若手动更新成功,可通过注册表覆盖信心桶强制部署。此外,事件ID 1801有时表示机器正等待重启以封装BitLocker。
用户还关心微软的推广节奏,即如果依赖LCU自动基于高信心级别升级,与开启CFR相比,证书升级大致需多久?
微软通过CFR逐步测试硬件,某款主板型号证明稳定后会被加入“高置信度”组并通过LCU广泛推送。只依赖LCU升级时间较慢,但随着遥测数据增多速度加快。
Windows更新说明里提到额外的高置信度设备定位数据,完全依赖全球Windows诊断遥测。设备并不需主动上传遥测以收到更新(会依赖其他同硬件用户遥测),但若运行高度定制或稀有设备,开启诊断数据是微软确认设备安全完成更新、标记为高置信度的唯一途径。
虽然客户端PC联网频繁、遥测丰富,服务器通常更为孤立。
虚拟化带来自身复杂性,一些管理员发现Hyper-V上应用2026年3月更新后状态不一致,有的Server 2019虚拟机capable=0,别的同版本补丁显示capable=2。
Arden White解释,这涉及一个遗留注册表键。Hyper-V存在关于KEK更新的已知漏洞,微软发布两阶段修复:需先对Hyper-V主机安装3月更新启用KEK更新,再对虚拟机安装更新使其拥有Hyper-V PK签名的KEK。只更新单边环境则更新会停滞。
对于较新服务器系统,Server 2025不自动兼容全新安装和Server 2022升级。Server 2025与2022共用合规库。更重要的是,Windows Server不参与消费版Windows 11的自动CFR计划。因服务器任务关键,微软要求管理员通过特定PowerShell命令手动应用证书。
因繁复流程,许多用户自然疑惑忽略更新是否还能正常启动?
电脑不会变废铁,但安全级别将永久下降。未安装2023 DB证书时,电脑无法运行最新Windows启动管理器,微软也会停止推送启动关键二进制文件的安全更新,且无法下载新的DBX吊销列表,始终暴露于未来引导型恶意软件风险中。
更新缺失也影响功能发布。微软确认未来系统升级将要求EFI分区使用2023证书签名,尽管即将发布的Windows 11 26H2仍可正常安装。缺证书设备,安装程序将有意中断升级,以避免系统变得无法启动。
Windows 11会提示安全启动证书状况,提前预警用户避免升级阻塞。
安全启动部分显示“尚未更新”状态及黄色警告图标系统必须在证书过期前,确保已通过2023证书启动,而非2011证书。微软表示,Windows 11更多设备获得安全启动允许的KEK更新,正是因为到期日当天微软将不再拥有使用2011 KEK签署新更新的权利。若届时系统未通过2023链启动,将永久无法接收启动级别安全补丁。
最后,展望未来,有用户问:2023证书有效期多久?这套流程是否需要重复?
颁发2023新密钥的根证书将在2038年过期,约有十多年有效期。但Scott Shell提到,业界即将迎来2030年生效的后量子加密规定。
当前获得2023证书的旧硬件将用至寿终正寝,2030年代制造的新硬件则会配置全新后量子证书。随着2026年6月临近,务必确认Windows 11是否已应用新安全启动2023证书,确保您的设备群和数据安全,应对下一代威胁。