微软公布忽视2026年6月安全启动截止时间后Windows 11电脑将发生什么

你电脑中最基本的安全架构之一正面临期限。2026年6月，自2011年起管理Windows硬件的原始安全启动证书将正式过期。为防止数百万台电脑突然变得脆弱或无法启动，微软正在进行一项史无前例、多年的2023版安全启动证书推送计划。

由于此次过渡需要直接操作主板上的UEFI固件，过程极为细致。为消除疑虑，微软于2026年3月举办了一场详细的“Ask Microsoft Anything”（AMA）问答活动，主讲嘉宾包括首席安全工程师Arden White、首席软件架构师Scott Shell和集团工程经理Richard Powell。

我观看了整个AMA并做了额外调研，深入了解更新如何执行、忽视后果及企业应对边缘问题的方法。现将问答内容整理分析，助你全面掌握安全启动。

简要总结：如忽视2026年6月安全启动证书截止，Windows 11电脑仍可正常启动运行，但系统安全会永久下降，因为微软会停止发布启动关键更新及恶意软件黑名单（DBX吊销列表）。你可在Windows安全应用查看安全启动状态。

什么是安全启动？为何突然变更？

Windows安全仪表盘显示安全启动已激活

安全启动是PC业界成员制定的一项安全标准，确保设备仅能使用原始设备制造商（OEM）信任的软件启动。

开机时，固件会校验每段启动软件的加密签名，包括UEFI固件驱动（Option ROM）、EFI应用及操作系统启动管理器。系统依赖于一套密钥层级：

• PK（平台密钥）：由OEM拥有，控制对KEK的访问。
• KEK（密钥交换密钥）：用于更新签名数据库。
• DB（签名数据库）：包含可信证书（如2011年和新版2023年微软证书），允许Windows启动管理器加载。
• DBX（吊销签名数据库）：已泄露签名的黑名单。发现如BlackLotus启动工具的恶意软件时，其签名会列入此名单。

2011年原始证书将在2026年到达加密有效期，微软必须推送新2023年证书至固件，替换为新版密钥签名的启动管理器，最终停止信任旧证书。

作为该计划的一部分，微软已确认Windows 11中新出现的安全启动文件夹不是错误，也无需删除。系统会先将加密文件放入该文件夹，随后刷写到主板固件中。

旧硬件和关闭安全启动的配置会阻止更新

AMA中首批提问关切旧硬件，坦白说，我也非常担心，因为我有台老旧ThinkCentre迷你电脑：如果我在仍使用传统BIOS的设备上强制更新注册表设置，会怎样？更新程序能智能跳过这些设备吗？

Scott Shell表示更新程序确实足够智能。若机器运行的是纯传统BIOS，硬件物理上不支持安全启动。系统会显示SecureBootCapable = False及SecureBootEnabled = False，Windows将完全跳过更新尝试。而若设备用兼容支持模块（CSM）模拟传统BIOS，但仍具备UEFI和安全启动功能，更新可正常进行且不会失败。

安全启动部分显示“需要操作”状态，红色停止图标

另一个常见场景是用户尝试在BIOS中关闭安全启动时更新证书。

微软会故意让更新过程失败，因为UEFI生态极不统一。有些主板固件即使关闭此功能也能更新证书，但有些则会损坏启动顺序，或者一旦重新开启时突然更换证书。为避免系统变砖，微软要求安全启动必须处于激活状态。如果开启安全启动时设备无法启动Windows，需先调整BIOS设置（通常牵涉MBR与GPT磁盘格式）后，才能接收2023证书。

更新过程支持BitLocker但需多次重启

固件更新风险较高，因而微软通过“受控功能推送”（CFR）和最新累积更新（LCU）分阶段发布。

用户注意到更新时出现异常重启。一位用户问道：我手动强制运行计划任务，服务器之后自动重启了几次才稳定。每次都需要多次重启吗？

Richard Powell证实Windows 11更新后可能重启多次，你的电脑没坏，这都因2023安全启动。向固件写入数据需先重启阶段证书，再重启让固件生效，随后再重启加载新签名的启动程序。自动流程尽力在启动序列初期隐藏，但手动触发时多次重启会非常明显。

这自然引发加密相关担忧，用户想知道是否需要暂停BitLocker以完成多次重启。

无需暂停BitLocker。Shell澄清，更新过程完全 aware BitLocker。该流程会自动重新封装BitLocker及虚拟安全模式（VSM）密钥，确保Windows Hello等功能在重启间受保护且不被锁死。

不过有人反映在重启后收到需要BitLocker密钥的驱动更新，想知道是否正常。

常规驱动更新不涉及安全启动链，但通过Windows Update推送并专门更改平台密钥（PK）或密钥交换密钥（KEK）的固件更新会改变BitLocker密钥的安全级别。它们一般不会要求恢复密钥，但复杂企业环境有时会触发。

鉴于固件的多样情况，管理员会担心在整个设备群统一应用“启用安全启动证书更新”策略的影响。

微软强烈反对整体强推。Windows 11的2023安全启动更新在某些电脑失败，暴露更广泛固件问题。微软无法实测全球数百万种主板变体，统一部署可能影响生产力。IT管理员应先在部分硬件模型上测试，再决定是否强制启用策略。

企业部署需谨慎规划PXE与启动管理器

对于通过Microsoft Endpoint Configuration Manager（SCCM）管理数千设备的企业，预启动执行环境（PXE）启动尤为关键。

一名系统管理员指出，撤销2011证书后其PXE启动不再工作，因其boot.wim文件无2023证书。他问：boot.wim会自然获得2023证书吗？2011与2023证书能否共存于同一个boot.wim？

Shell解释了PXE协议的基本限制：客户端只能接收一个启动管理器。因此，单个boot.wim不支持并存多启动管理器。微软尚未更新默认boot.wim到2023证书，因为太早替换会打破大量尚未更新固件电脑的网络启动。但当你的设备群完全升级2023证书后，可使用DISM工具手动挂载boot.wim并替换启动管理器，先于微软官方日程。

另一技术问题涉及固件回滚。微软被问及是否确认更新固件SVN（安全版本号）仅通过向DBX添加SVN？测试时，重置DBX是否足以取消回滚保护？

答案是肯定。SVN防止系统回滚至较旧且脆弱的启动管理器（攻击如BlackLotus即利用此漏洞）。使用2023证书签名的新启动管理器会检查自己的吊销状态和SVN。为彻底保护，需通过DBX移除或吊销2011证书。测试时，清空DBX即可取消回滚保护，允许运行旧启动管理器。

此外，谈及自定义安全启动，Shell确认微软放宽了对微软“Owner GUID”签名的严格检查，此变动避免影响大量自定义企业机器的BitLocker。

如何确认安全启动证书是否最新？企业如何监视？

监控哪些设备已更新哪些未更新是一项繁重的任务。Windows 11四月更新新增了显示是否安装安全启动2023证书的功能。

在Windows安全>设备安全，往下滚动找到“安全启动”部分。出现绿色勾选意味着一切正常。我这里显示已启用安全启动且所有证书均已应用，满足2026年6月截止要求。

若Windows安全应用显示黄色警告或红色警告，请严格按照提示操作。

#tdi_5 .td-doubleSlider-2 .td-item1 { background: url(https://www.windowslatest.com/wp-content/uploads/2026/04/The-Secure-Boot-section-showing-the-fully-updated-status-with-a-green-checkmark-icon-80x60.png) 0 0 no-repeat; } #tdi_5 .td-doubleSlider-2 .td-item2 { background: url(https://www.windowslatest.com/wp-content/uploads/2026/04/The-Secure-Boot-section-showing-the-Not-yet-updated-status-with-a-yellow-warning-icon-80x60.png) 0 0 no-repeat; } #tdi_5 .td-doubleSlider-2 .td-item3 { background: url(https://www.windowslatest.com/wp-content/uploads/2026/04/The-Secure-Boot-section-showing-the-Requires-action-status-with-a-red-stop-icon-80x60.png) 0 0 no-repeat; } 安全启动状态报告 1 of 3 安全启动部分显示“已完全更新”状态，带绿色勾选图标。 安全启动部分显示“尚未更新”状态，带黄色警告图标。 安全启动部分显示“需要操作”状态，带红色停止图标。

但企业需获取全设备群数据。对于不允许使用Intune或AutoPatch的环境，IT专业人员需替代工具进行清点和合规性报告。微软在其aka.ms/GetSecureBoot IT专业门户提供专用PowerShell脚本。

此外，系统会在事件查看器中通过TPM WMI事件源记录详细活动。可用标准监控软件抓取日志，构建自定义PowerBI仪表盘。

一位使用Intune的用户报告了困惑的错误：我通过Intune推送修复，看到事件ID 1801，提示证书已下载但未应用，且BucketConfidenceLevel显示“需要更多数据”。我需要操作吗？

这表示系统已下载证书，但该硬件型号的遥测“桶”尚未达成触发自动安装所需的信心阈值。如果在大量设备中观察到此情况，应手动测试一台设备。若手动更新成功，能通过注册表键覆盖信心桶，强制部署。事件ID 1801有时也意味着机器正等待重启以封装BitLocker密钥。

关于微软的推送策略，用户想知道若仅依赖高信心级别的最新累积更新（LCU）完成升级，与开启受控功能推送（CFR）设置相比，证书升级的时间框架如何？

微软利用CFR缓慢测试硬件。某主板型号验证安全后，会被划入“高信心”桶并通过LCU广泛推送。若仅依赖LCU，过程较慢，但随着微软收集更多遥测数据，速度正在加快。

Windows更新日志提及附加的高信心设备目标数据，完全依赖全球Windows诊断数据遥测。即便你无需主动发送遥测以完成设备更新（会利用相同硬件其他用户发送的遥测），若使用高度自定义或稀有机器，开启诊断数据是微软确认你的电脑安全通过更新、标记高信心的唯一途径。

Windows Server和Hyper-V需特定手动干预

客户端PC高度联网并产生大量遥测数据，但服务器通常较为孤立。

虚拟化带来自身问题。一些管理员注意到，应用2026年3月更新的Hyper-V设备状态不一，有些Server 2019虚拟机显示capable=0，其他相同补丁级别显示capable=2。

Arden White解释，此问题因遗留注册表键有关。Hyper-V曾有BUG影响长时间运行虚拟机更新Key Exchange Key（KEK）。微软发布两步修复，要求先在Hyper-V主机服务器应用3月更新以支持KEK更新，再更新虚拟机确保其拥有Hyper-V平台密钥(PK)签名的KEK。仅更新其中一端会导致更新停滞。

对于较新服务器操作系统，Server 2025不会自动支持全新安装和Server 2022升级，与Server 2022共享合规数据库。更重要的是，Windows Server不参与用于消费者版Windows 11的自动受控功能推送（CFR）计划。因为服务器至关重要，微软要求管理员手动使用特定PowerShell命令应用证书。

忽视更新将于2026年6月后永久降低系统安全性

鉴于这些问题，许多用户自然关心如果忽视更新，设备还能否正常启动？

电脑不会变成废铁，但会在永久降低的安全状态运行。若未安装2023 DB证书，电脑将无法运行最新Windows启动管理器。微软也会停止向你发送启动关键程序的安全更新，且系统无法下载新的DBX吊销列表，永久暴露于未来启动恶意软件威胁。

缺少更新还会影响功能发布。微软确认未来完整操作系统升级将要求EFI分区签名符合2023证书，虽即将发布的Windows 11 26H2仍可正常安装。若设备缺少证书，Windows安装程序将主动阻止升级流程，以避免使系统变得无法启动。

Windows 11现在会提示安全启动证书状况，专门警告用户避免遇到升级阻碍。

安全启动部分显示“尚未更新”状态，带黄色警告图标。

极其关键的是，在过期截止日前，系统必须已经通过2023证书而非2011证书进行启动。微软表示，Windows 11之所以能在更多设备上更新安全启动允许的密钥交换密钥（KEK），正是因为截止日后微软将无法再使用2011 KEK的密码权限签署新更新。届时若你的系统未通过2023证书链启动，将永久无法获得启动级别安全补丁。

最后，展望未来，一用户问：2023证书能用多久？此流程会重复吗？

发放2023密钥的新根证书有效至2038年，约十多年寿命。但Scott Shell提到一个行业即将转型，即2030年起将实施后量子密码学要求。

现有的收获2023证书的旧硬件将活跃至服役终结，2030年代生产的新设备则将配备全新的后量子证书。随着2026年6月临近，务必检查Windows 11是否已应用2023安全启动证书，保障你的设备群及数据安全，防范下一代威胁。