微软已确认,由于已知问题,部分 Windows 11 电脑上的 Secure Boot 证书更新正在失败或被阻止。该公司表示正在与电脑厂商合作修复,但如果证书因其他原因被阻止,你可能仍需要自行处理。
在一份更新的支持文档中,Windows Latest 率先发现,微软表示由于潜在的已知问题,已暂停部分电脑的 Secure Boot 推送。如果你的设备受影响,现在会在 Windows 安全中心应用中看到详细错误信息:
Secure Boot 因已知问题被阻止到目前为止,如果 Secure Boot 证书已过期,Windows 安全中心应用只会提示你联系设备制造商。但现在,当微软发现新的已知问题、可能导致 Secure Boot 更新出错时,也会发出警告。
“此组中的设备受到了已知问题影响。为降低风险,在微软及合作伙伴寻求受支持的解决方案期间,Secure Boot 证书更新已暂时暂停。”微软在文档中解释道。
如你所知,2011 年或更早发行的 Secure Boot 证书现已过期,微软一直在尝试用 2023 年发行的新证书替换它们。
该公司表示,所有“符合条件”的电脑都会通过 Windows 更新自动开始使用受支持的证书,但并非所有电脑都如此,包括一些完全受支持的硬件,其他配置或兼容性设置也可能会中止推送。
这并不让我意外,因为 Windows Latest 资深记者 Ed 发现,Windows 电脑,尤其是老电脑,存在固件问题,很多设备对早已过去的关键时点还没准备好。
我一直在就 Secure Boot 证书的问题向微软提出尖锐问题,到目前为止,Windows 巨头处理这件事的方式相当令人印象深刻。所有现代硬件都已经在使用 2023 年发行的 Secure Boot 证书,而那些还没有使用的设备,要么是不知情地关闭了 Secure Boot,要么就是固件有问题。
你可以通过打开 Windows 安全中心 > 设备安全性 > Secure Boot,查看 Secure Boot 是否已启用并已更新到最新。
在 Windows 安全中心查看 Secure Boot 状态如果显示 Secure Boot 已开启且证书已应用,你就无需担心。但在某些情况下,它只会显示“Secure Boot 已开启”,却没有明确说明证书的当前状态。
HP 是最近确认其电脑上 Secure Boot 更新会被意外阻止的 OEM 之一。在一份支持文档中,HP 表示已开始为许多电脑推送更新后的 BIOS,以应对 6 月的 Secure Boot 截止日期。不幸的是,一些电脑会卡在 BitLocker 界面,导致 Secure Boot 证书无法安装。
HP 指出:“当出现此 BitLocker 问题时,微软 2023 年的证书可能无法在电脑上正确应用。”
在 HP 和其他一些厂商向消费者告知 Secure Boot 的潜在已知问题后,微软也介入并发布了更新。
微软表示,它与电脑制造商合作后,识别出一组设备或固件,这些设备上的 Secure Boot 证书更新可能会引发问题。如果受影响,这些设备需要新的固件更新,但由于该更新尚未提供,微软已阻止 Secure Boot 证书更新以降低风险。
Secure Boot 因已知问题被阻止“此组中的设备受到了已知问题影响,”微软警告说,但没有提供受影响电脑的示例。
“为降低风险,在微软及合作伙伴寻求受支持的解决方案期间,Secure Boot 证书更新已暂时暂停。请联系你的设备制造商寻求帮助。”
这项新的警告最近才开始推送,所以如果你一直看到 Secure Boot 已开启,但没有关于已安装证书的明确信息,应该再检查一次安全中心应用。
“需要固件更新,但可能尚未提供。待其可用时,固件更新将通过你的 OEM 标准更新渠道发布并安装。”微软解释道。
微软告诉 Windows Latest,大多数电脑已经收到了 Secure Boot 证书,并会通过 Windows 更新自动安装。
在某些情况下,Windows 更新检测到潜在兼容性问题,这就是它始终没有向你推送 Secure Boot 2023 更新的原因。
还有另一条警告会显示 Windows 报告 Secure Boot 状态为开启,但同时指出由于硬件或固件限制,设备不会收到 Secure Boot 证书更新。

在上述情况下,如果你的设备已经用了几年,而且不是该 OEM 的畅销机型,就不要期待更新。OEM 很少会为老电脑发布固件更新;如果 UEFI 固件不受支持,微软就不会为你的电脑发布 Secure Boot 2023 证书更新。
“许多 OEM 正在通过其标准更新渠道积极发布这些固件更新。如果需要固件更新,请查看你 OEM 的 Secure Boot 支持页面了解后续步骤。”微软指出,这也与我们此前的发现一致。
Windows Latest 此前发现,OEM 已悄悄更新了其 Secure Boot 文档,以承认 Secure Boot 问题,以及为必要安全变更所需的固件更新缺失。
“你的电脑型号可能已不再受 OEM 支持,或者 OEM 可能已无法再提供更新设备 Secure Boot 信任配置所需的固件更新。”微软在另一份文档中解释道。
如果你不了解,Secure Boot 是内置于电脑 UEFI 固件中的一项安全功能,按 Windows 11 官方要求必须启用,除非你绕过了这一要求。开启 Secure Boot 且证书保持最新时,Windows 会阻止未经授权或无效的软件,以及潜在恶意软件在启动级别运行。

Secure Boot 2011 和新的 2023 证书用于处理并验证对 Secure Boot DBX 的更新,DBX 也称为禁止签名数据库。没有更新后的证书,电脑就无法安全接收新的受影响或有漏洞的启动加载程序黑名单。
微软坚持认为,如果你没有收到更新,就绝对不要关闭 Secure Boot,因为那会让 Windows 的安全性比没有更新证书时更加糟糕。
正如我们此前报道的那样,Secure Boot 证书过期并不意味着你的电脑会停止启动或无法工作。事实上,普通用户几乎不可能察觉到任何差异,对大多数消费者来说这也不是立即性的灾难,但微软在下表中提供了更多细节:
没有 Secure Boot 2023 时仍可正常工作的内容没有 Secure Boot 2023 时不再正常工作的内容设备仍可正常启动。无法应用新的 Secure Boot 和 Boot Manager 防护。Windows 功能更新和质量更新,包括每月安全更新,仍会继续安装。需要更新证书的启动相关安全组件可能无法安装。日常任务,包括应用、网络和浏览,保持不变。新发现的恶意或有漏洞的启动加载程序可能不会被阻止。Secure Boot 仍保持启用,并继续防护已知威胁。依赖微软 Secure Boot 信任的部分非微软组件,如需更新到更高版本证书条目,可能会失败。设备不会面临立即风险或系统故障。长期安全防护可能会逐渐落后于已完全更新的设备。归根结底,Secure Boot 是一种“基于固件的启动链验证机制”,而更新后的证书是确保电脑只运行经过验证的软件所必需的。