HP、Dell、ASUS 和 Lenovo 已为其设备发布专门的 Secure Boot 2023 证书更新指南。 随着微软 2011 年的 Secure Boot 证书已过期或正分阶段到期,各大 PC 厂商都已为用户发布了专门说明。HP、Dell、ASUS、Lenovo、MSI、Acer、Samsung、LG,甚至微软自己的 Surface 部门,都有支持页面解释这次证书过渡对各自设备意味着什么、哪些型号受支持,以及用户需要做什么。
Secure Boot 是一项 UEFI 固件功能,在 Windows 启动前运行,用于验证你打开电脑时只加载未被黑客或病毒篡改的可信软件。自 2011 年以来支撑这一系统的证书正分三阶段到期:

微软一直在通过 Windows Update 推送 2023 替换证书,但这一过程取决于各 OEM 为其硬件推送兼容的 BIOS 更新。请注意,大多数普通用户已经收到了更新,处于安全状态。
话虽如此,下面是各大厂商发布的内容,方便你找到自己的设备 OEM 并确认是否已更新。
ASUS 发布了本名单中最全面、也最适合普通用户的说明文档,并为消费级和商用设备分别提供了页面。ASUS 的消费级 Secure Boot 指南覆盖所有标准笔记本、台式机和游戏电脑,并确认大多数用户会通过 Windows Update 自动收到更新,无需任何操作。

对于在 Windows 安全中心看到黄色或红色标记的用户,ASUS 提供了专门的 PowerShell 命令来检查 KEK 和 DB 证书是否已存在。如果没有,指南会引导你手动更新注册表(将 AvailableUpdates 设为 0x5944),然后运行 Secure-Boot-Update 计划任务。两次运行任务之间需要重启。
ASUS 的商用电脑指南进一步列出了已预装 2023 证书的准确型号,包括大多数 2024 年或之后推出的机型。不在该列表中的型号需要走 Windows Update 路径。ASUS 还发布了完整的问答页面,解释了 8 个常见事件日志错误代码(1801 到 1808),包括各自含义,以及是否应联系 ASUS 服务中心或等待 Windows Update。
Lenovo 的 Secure Boot 证书到期指南是各 OEM 中最详细的之一,按产品线提供 BIOS 更新的直接下载链接。Lenovo 覆盖 ThinkPad、ThinkCentre、IdeaPad、Legion、Yoga 等系列,并给出包含 2023 证书支持的具体 BIOS 版本号。对于每个受支持型号,Lenovo 都直接链接到 BIOS 下载页面,而不是让用户在通用驱动页里自行查找。

Lenovo 的文档也清楚说明了哪些产品已超出支持期限。已到达停止服务生命周期的设备不会收到 Secure Boot 过渡所需的 BIOS 更新,这也是大多数 OEM 处理停产硬件的方式。对于企业客户,Lenovo 的指南还提供了 Intune 和 SCCM 部署说明,以及标准消费者 Windows Update 路径。
Dell 发布了一篇详细支持文章,按产品线整理,涵盖其全线产品的 2011 证书到期问题。页面分别介绍 Alienware、Inspiron、XPS、Latitude、OptiPlex、Precision、Vostro、Wyse 和 IoT 设备,方便查找某个具体型号的状态。

Dell 的截止政策是:在 2026 年 1 月 1 日之前已达到停止服务生命周期的平台,不会收到用于 Secure Boot 过渡的 BIOS 更新。比如 2019 年左右的 Dell Inspiron 就会落在这个范围之外。
Dell 也采取了比大多数 OEM 更宽松的做法:自 2024 年末起,所有新平台同时出厂预装 2011 和 2023 两套证书,并计划在 2025 年底前将这一双证书策略扩展到所有出厂机型。Dell 尚未公布这一做法的结束时间,这为管理混合设备群的企业客户提供了更大灵活性。
不过,Dell 的社区帖子记录了一些具体问题,包括一条关于 XPS 8910 的帖子,显示老款 Dell 台式机遇到固件分区限制的用户亲身经历,这与 Acer 用户报告的情况类似。
HP 的做法分为两条路径。消费级 HP 电脑在设备安装了所需的最低 BIOS 版本后,会通过 Windows Update 接收更新。商用 HP 电脑则有单独且更复杂的流程。
HP 的商用 Secure Boot 指南列出了所有受支持的商用平台及所需的最低 BIOS 版本字符串,具体为 SMBIOS Type 1 版本字段中的 SBKPFV3 子串,它会告知 Windows Update 该设备已准备好接收证书。

HP 的支持截止时间线与 Dell 类似。2022 至 2023 年发布的商用电脑已在 2025 年 9 月前获得所需 BIOS 更新。2019 至 2021 年的机型(以及部分 2018 年机型)已在 2025 年 12 月前完成更新。其余 2018 年及更早的 HP 商用电脑都已达到停止服务生命周期,不会再获得更新。
HP 用户需要注意一个其他 OEM 没有的特定风险。HP 自己在 2026 年初发布的 BIOS 更新导致部分高端商用设备陷入 BitLocker 恢复循环和启动失败。HP 已承认问题并发布修正后的 BIOS 版本。如果你使用的是 HP 设备,在处理 Secure Boot 更新前,请先确认你已从 HP 支持网站获得修正后的 BIOS。

微软为 Surface 设备提供了专门的 Secure Boot 证书页面。Surface 设备的固件和 Windows 更新都由微软直接提供,与第三方 OEM 相比,这简化了过渡过程。

仍在支持期内的 Surface Pro、Surface Laptop、Surface Book 和 Surface Studio 机型,将通过标准的 Windows 和 Surface 固件更新流程获得 2023 证书更新。已退出固件支持窗口的老款 Surface 设备不会收到更新,这与微软的标准固件支持政策一致。
MSI 的 Secure Boot 证书 FAQ 按处理器代际划分说明。对于搭载 Intel 第 7 至第 11 代或 AMD Ryzen 3000H-5000U 处理器的笔记本,更新会通过 Windows Update 自动到达,无需刷写 BIOS。这些较老平台在操作系统层面处理过渡,而不是依赖 MSI 提供新的固件。

对于搭载 Intel 第 12 代或 AMD Ryzen 5000H 及更新处理器的笔记本,MSI 已推送包含 2023 证书的 BIOS 更新,其支持页面直接链接到 MSI 支持下载门户。MSI 还建议在任何受影响设备刷写 BIOS 之前保存 BitLocker 恢复密钥。为确认是否成功,MSI 指向事件查看器中来源为 TPM-WMI、事件 ID 为 1808 的条目,证书完全应用后其内容会显示“此设备已更新 Secure Boot CA/密钥”。
Acer 已在其 Acer Answers 知识库中发布官方指南,覆盖笔记本和台式机的 Secure Boot 证书更新。对于受支持型号,更新会通过 Windows Update 自动到达。Acer 最先建议的是先找到并备份 BitLocker 恢复密钥,因为 BIOS 更新有时会在下一次重启时触发 BitLocker 恢复界面。

指南中包含一个型号表,涵盖 Aspire、Nitro、Predator、Swift、Extensa、TravelMate 和 Spin 设备,并列出了已确认的 BIOS 发布日期。其中一些型号已在 2026 年 6 月 12 日至 6 月 26 日之间获得 BIOS 更新,而另一些仍标注为“处理中”,表示固件仍在准备中。如果你的型号属于这组,请保持 Windows Update 运行,并留意 Acer 支持页面,等待 BIOS 发布。
值得注意的是,部分约 2020 到 2022 年的老款 Acer 机型用户,包括 Aspire TC-895 系列,正在 Acer 自家的社区论坛上反馈设备卡在黄色警告状态,且没有可用的 BIOS 更新。
Acer Aspire TC-895这些型号并未出现在官方指南的型号表中,Acer 也尚未正式回应。如果你属于这种情况,请持续关注 Acer 支持页面,因为公司可能会随着时间推移增加更多型号。
Samsung 在其 Samsung 支持新闻通知页面上发布了一则韩文支持公告,涵盖所有运行 Windows 10 或 Windows 11 的 Samsung 电脑。你可以翻译后看到,Samsung 确认这些电脑在 2011 证书到期后仍可正常运行,但启动级别的安全更新和恶意软件缓解措施将不再推送到这些设备。

Samsung 对 Galaxy Book 3 及更早机型的建议是:自动路径使用 Windows Update,或者若需要尽快处理,则按照微软的手动更新指南操作。
LG 发布了一个 Windows Secure Boot 证书更新与故障排除指南,涵盖其 gram 及其他 LG 电脑系列。LG 的指南会带你查看 Windows 安全应用中的状态指示,并建议如果 Windows Update 没有自动完成证书安装,就检查对应 LG 电脑型号是否有 BIOS 更新。

打开 Windows 安全中心,进入“设备安全性”,查看 Secure Boot 部分。绿色对勾表示 2023 证书已应用,无需任何操作。
Secure Boot 部分显示“已完全更新”状态,并带有绿色对勾图标。黄色警告表示更新仍在等待中,可能是 Windows Update 还没有推送到你的特定固件版本,或者你的 OEM 需要先发布 BIOS 更新。
Secure Boot 部分显示“尚未更新”状态,并带有黄色警告图标。红色图标表示存在特定的固件不兼容问题。
Secure Boot 部分显示“需要操作”状态,并带有红色停止图标。如果在“设备安全性”中看不到 Secure Boot 部分,说明你的电脑要么禁用了 Secure Boot,要么是在不受支持的硬件上通过绕过方法安装的。我们已详细说明这意味着什么,以及你有哪些选择。
旧硬件上无法使用 Secure Boot如果你更喜欢传统方法,我们的详细指南还提供了用于检查 Secure Boot 状态的确切 PowerShell 命令。
PowerShell 输出确认 Windows UEFI CA 2023 更新。对没有技术背景的普通用户来说,一个好消息是,即使是 Windows 11 任务栏,现在也会直接在安全应用中告诉你证书是否需要处理。
系统托盘中的 Windows 安全图标显示绿色对勾Windows 10 用户也没有被落下。Windows 10 的 2026 年 5 月更新 KB5087544 增加了 Secure Boot 证书状态报告,因此 Windows 安全应用在 Windows 10 上也会显示与 Windows 11 相同的绿色/黄色/红色状态。
还需要注意的一点是,最近更新后有些电脑会多次重启,原因是证书更新流程会在多次重启中分阶段写入固件。Windows 中出现的新 SecureBoot 文件夹也是这一过程的一部分,保持原样即可。

我们已经完整说明了为什么这个截止日期不能简单忽略,以及微软工程师所解释的、失去推送新吊销能力所带来的风险。
在最新部署进展方面,微软已在 2026 年 6 月于截止日期前将证书推送到所有符合条件的设备。如果你使用的是受支持设备,并已安装 2026 年 6 月的 Patch Tuesday 更新,你的电脑很可能已经完成更新。
Windows Latest 依靠像你这样的读者。请将我们设为你在 Google Discover 和 Google Search 上的首选来源,帮助我们的独立报道触达更多人。
在 Discover 上关注我们 在 Google 上关注我们 在论坛提问