微软的 Secure Boot 2011 证书将于 6 月 24 日到期,这会对你的旧电脑产生什么影响 如果你使用的是旧硬件上的 Windows 电脑,尤其是 2018 年之前的设备,你大概一直在想,Secure Boot 证书更新对你意味着什么。大多数现代电脑会通过 Windows Update 自动获得 Secure Boot 2023 更新,普通用户无需做任何事。但 Windows 安装群体中有一部分设备所用硬件永远不会收到这项自动更新,了解这对你的电脑和安全意味着什么很有必要。
对于旧硬件家庭用户、Windows 10 用户,以及通过注册表绕过在不受支持的电脑上安装 Windows 11 的用户,本文会说明如果你没有获得 Secure Boot 2023 更新,你的电脑会发生什么。如果你用的是相对较新的电脑,而且已经在 Windows 安全中看到过绿色对勾,那可以直接看到这里。

最重要的一点是,Secure Boot 2011 证书到期不会导致电脑无法启动。微软已确认这一点。根据微软官方支持页面:“如果你的设备在没有新证书的情况下到达到期日,它仍会正常启动和运行。标准 Windows 更新会继续安装。” 证书到期不会触发关机、强制重启循环,也不会在启动时显示错误信息。
它影响的是电脑接收未来启动级安全更新的能力。具体来说,没有 2023 证书的设备将不再收到 Windows Boot Manager、Secure Boot 数据库、吊销列表的更新,也不会获得针对新发现启动级漏洞的缓解措施。我们已详细说明微软所说的忽略截止日期后会发生什么,结论就是影响是渐进的,而不是突然发生的。
Secure Boot 证书更新不是微软能通过 Windows Update 推送到所有设备的东西。它要求设备固件接受并保存新证书,而这一过程取决于电脑厂商完成的兼容性工作。以戴尔为例,根据戴尔自己的 Secure Boot 过渡 FAQ,戴尔已公开确认,不会为 2026 年 1 月 1 日之前已到达产品生命周期终点的平台提供 BIOS 更新。比如一台 2019 年的戴尔 Inspiron,可能永远看不到能让它顺利接受 2023 证书的 BIOS 更新,因为戴尔已停止对该型号的支持。
惠普、联想、华硕和其他主要厂商也有类似的截止点。我们曾记录过惠普和戴尔设备上的问题,固件故障要么阻止更新,要么在尝试更新时导致蓝屏和 BitLocker 恢复循环。对于 OEM 已停止 BIOS 支持的设备,根本没有自动接收证书更新的路径。

一些较老的电脑,尤其是早期 UEFI 时代的设备,或运行在兼容性支持模块(CSM)模式下的机器,根本不使用 UEFI Secure Boot。这些设备的启动方式与 Secure Boot 出现之前的电脑相同。对它们来说,证书更新完全无关紧要,因为根本没有 Secure Boot 证书可更新。Windows 在这些机器上可能会或可能不会在 Windows 安全中显示 Secure Boot 区域,但如果系统运行在 Legacy BIOS 模式,Secure Boot 从一开始就没有启用过。
需要特别说明的一种情况是:Windows 11 安装在官方不支持的硬件上,通常是通过注册表绕过方法,在安装过程中禁用 TPM 2.0 和 CPU 检查。如果你有一台第 6 代或第 7 代 Intel 电脑,或者早期的 Ryzen 1000 系统,并以这种方式运行 Windows 11,你可能会发现 Windows 安全应用中完全没有 Secure Boot 区域,或者在本应显示设备安全详细信息的位置看到“标准安全硬件不受支持”提示。
我父亲的电脑是一台联想 ThinkCentre 迷你主机,配备第 6 代 i3 CPU 和 8GB 内存,原本运行 Windows 10,通过绕过系统要求升级到了 Windows 11。顺便说一句,Windows 11 在这台老硬件上运行得相当好,但这台电脑在 Windows 安全中并不显示 Secure Boot。

原因是,这类电脑要么没有 TPM 2.0,要么因为绕过安装没有强制这些要求而导致 Secure Boot 被禁用或处于部分状态。Windows 安全应用检查 Secure Boot 状态时,依赖固件报告 Secure Boot 已正确启用。如果没有启用,该区域就会被隐藏或显示错误。Secure Boot 证书更新要求固件中 Secure Boot 处于启用状态;如果没有启用,更新流程就会跳过该设备。微软在 Secure Boot AMA 期间确认,更新流程足够智能,会跳过运行 Legacy BIOS 的设备和禁用 Secure Boot 的机器,而不是尝试执行会让它们出问题的更新。
需要注意的是,Secure Boot 证书运行也不要求 TPM 2.0。两者是独立系统。TPM 2.0 负责 BitLocker 密钥存储和 Windows Hello 证明等功能,而 Secure Boot 是一种基于固件的启动链验证机制。设备即使没有 TPM 2.0,也可以拥有 2023 Secure Boot 证书;TPM 1.2 设备在固件支持的情况下,从技术上也能接收 Secure Boot 证书更新。较老的、通过绕过方式安装的 Windows 11,问题通常在于 Secure Boot 被禁用或配置不正确,而不是缺少 TPM。
没有 2023 证书,你的电脑就无法接收对 Secure Boot DBX(禁止签名数据库)的未来吊销更新。DBX 是已知被攻破或存在漏洞的引导加载程序和引导管理器列表。微软一旦发现某个特定版本的引导加载程序正被利用,就会把它加入 DBX,并通过 Windows Update 分发该吊销更新。只有 2011 KEK 证书的设备,只能处理由 2011 密钥签名的 DBX 更新,而该密钥会在 2026 年 6 月 24 日到期。
最知名的现实案例是 BlackLotus,这是 2023 年发现的一个 UEFI 启动套件,它利用旧版 Windows 引导加载程序中的漏洞(CVE-2022-21894 和 CVE-2023-24932)绕过了已完全更新的 Windows 11 系统上的 Secure Boot。之所以能成功,是因为旧的受信任引导加载程序签名没有在固件级别被吊销。若无法推送新的 DBX 吊销项,错过 2023 证书过渡的设备就会永久失去在固件层面屏蔽新发现恶意引导加载程序的能力。
对大多数使用旧硬件的家庭用户来说,这只是一个理论风险,并非紧急问题。启动套件攻击复杂、具有针对性,主要面向企业、政府和高价值个人。但这个风险确实存在,而且随着更多引导加载程序漏洞被发现,以及攻击者对未修补的 2011 证书设备群体了解得越来越清楚,这种风险会逐渐增加。

你不必恐慌,但这并不意味着可以永久忽略。只是企业会面临合规要求,使这件事变得不能选择性处理。
加入扩展安全更新计划(ESU)的 Windows 10,收到的 Secure Boot 证书更新与 Windows 11 相同。微软已确认,两套操作系统使用的更新代码完全一致。如果你的 Windows 10 电脑已加入 ESU 且正在接收更新,并且你的 OEM 已发布兼容的 BIOS 更新,那么证书更新应会通过正常的 Windows Update 到来。2026 年 5 月的 Windows 10 更新 KB5087544 已加入 Secure Boot 证书状态报告,因此如果你安装了该更新或更高版本,就可以在 Windows 安全应用中查看状态。
如果你的 Windows 10 电脑没有加入 ESU,而且也不再接收任何更新,那么它同样不会通过 Windows Update 获得证书更新。此时,唯一可行的路径要么是加入 ESU,要么升级硬件,要么接受该设备将无限期停留在 2011 证书上。
如果你电脑的制造商没有为 Secure Boot 2023 过渡发布 BIOS 更新,而且该设备已处于微软信心数据库中的暂缓或无数据桶中,那么就没有可用的软件修复。固件不支持新的证书格式。你可以在 Windows 安全应用的设备安全中检查当前状态。Secure Boot 下方出现红色图标,同时制造商支持页面也没有 BIOS 更新,这通常就是该设备属于这一类别的可靠信号。

这里的实际选择很有限。你可以继续使用这台设备,但要知道它以后不会再收到启动级安全吊销更新。你也可以考虑,出于其他原因,升级到更新的电脑是否值得。如果你比较懂技术,还可以看看主板 BIOS 是否有社区支持的更新路径,不过我们不建议这么做。
如果你是通过注册表绕过在非常老的硬件上安装 Windows 11,而且 Secure Boot 不是被禁用就是配置不正确,那么 Secure Boot 2023 更新不会到达你的机器。现实的选择是继续维持当前不受支持的配置,或者在固件支持的情况下尝试在 UEFI 中正确启用 Secure Boot,或者升级到受支持的硬件(这也是我们此时推荐的做法)。
最简单的方法是在 Windows 安全应用中查看。打开它,进入 设备安全,然后查找 Secure Boot 区域。从 2026 年 4 月更新开始,Windows 11 会显示绿色、黄色或红色标记,表示你的 Secure Boot 证书状态。
绿色表示 2023 证书已应用。
Secure Boot 区域显示带绿色对勾图标的“已完全更新”状态。黄色表示更新尚在等待,或者你的设备在继续之前还需要从微软获取更多数据。
Secure Boot 区域显示带黄色警告图标的“尚未更新”状态。红色表示存在特定问题,通常是固件不兼容,正在阻止更新。
Secure Boot 区域显示带红色停止图标的“需要操作”状态。如果 Device Security 页面中完全没有 Secure Boot 区域,你的电脑要么是在固件中禁用了 Secure Boot,要么正在 Legacy BIOS 模式下运行,要么安装时所在的硬件并不要求 Secure Boot 作为必需组件。正如前面所说,在这些机器上,无论 Windows 版本如何,证书更新都不适用。
如果想做更详细的检查,也可以打开系统信息(msinfo32),查看“系统摘要”下的“Secure Boot State”一行。它会显示 On、Off 或 Unsupported。如果你想用 PowerShell 或注册表检查进一步深入,我们还发布过一份手动验证 Secure Boot 2023 证书状态的完整指南。
对大多数旧硬件用户来说,Secure Boot 2023 过渡只是一个安全缺口。你的电脑会继续运行,常规 Windows 更新也会继续到来,日常使用不会受到影响。缺口在于:2011 证书失去作用后才被发现的启动级威胁,不会在固件层面得到缓解。

不过企业必须采取行动。许多网络保险政策和监管框架要求终端设备在各个层面都接收主动安全更新,而无法接收 DBX 吊销更新是这一覆盖中的巨大缺口。微软已举行多场 AMA 会议,专门帮助 IT 管理员应对这一过渡;对于那些较老且响应迟缓的企业设备,建议将其记录为例外并配合补偿性控制措施,或者规划硬件更换。
如果你想检查自己的旧电脑是否有可用的 BIOS 更新,戴尔、惠普、联想和华硕都已发布了专门针对 Secure Boot 2023 过渡的支持页面。这些页面可从微软官方 aka.ms/GetSecureBoot 资源中找到,那里还提供了完整的脚本和诊断工具,方便你全面审计设备的 Secure Boot 状态。
Windows Latest 依赖像你这样的读者。请把我们设为你在 Google Discover 和 Google Search 上的首选来源,帮助我们的独立报道触达更多人。
关注我们在 Discover 上的内容 关注我们在 Google 上的内容 提问(论坛)