Windows 11 将提醒您安全启动证书是否需要注意 - 连接技术与未来

2026.04.12 WindowsLatest

Windows 11 now shows Secure Boot certificate status in the Windows Security app with clear alerts

微软正在更新Windows 安全中心应用，新增有关安全启动证书更新的详细信息，让用户在2026年证书过期前更清晰地了解设备启动的安全状态。

同时，微软发布了两份独立指南，一份面向Windows 家庭版和专业版用户，另一份供管理企业设备的IT管理员参考。更新将在Windows 安全中心 > 设备安全 > 安全启动中显示安全启动状态，方便您查看电脑是否已收到新版2023证书，是否仍在使用旧证书，或因兼容性限制需要注意。

The Windows Security dashboard provides a quick and user friendly way to confirm if your hardware security features are active at the OS level.

Windows 安全中心仪表板显示安全启动已激活

这些证书最初于2011年颁发，将于2026年到期，相关更新通过Windows 更新自动推送。

状态指示器将于2026年4月开始上线，5月起将有更多通知和控制功能，帮助用户在需要干预时获得更明确的指引。

部分系统因固件限制已遇到无法应用新版安全启动证书的问题，以往需手动检查或用命令行验证。现在Windows 安全中心能直接显示相关信息。

不过体验并非所有设备完全相同，家庭版和专业版用户默认可见此信息，而企业管理的系统则由IT控制安全启动状态的显示方式。

Windows 家庭版和专业版用户在Windows 安全中心看到的内容

微软将安全启动证书状态直接添加到Windows 安全中心应用下的设备安全 > 安全启动内。该部分显示清晰的状态标识和简短的设备当前情况说明。

安全启动证书更新状态的不同指示标识：

绿色表示全部最新
黄色表示存在限制或建议
红色表示需要采取措施

系统托盘中的Windows 安全图标也会基于设备整体安全状态显示相同的状态。

受影响设备及推送时间

这些变更默认针对Windows 家庭版和专业版设备适用。更新将在2026年4月开始，用户可在应用中看到安全启动状态。

自2026年5月起，微软将在Windows 安全中心增添系统级通知和更明确的指引，特别关注需要注意或无法接收更新的设备。

各安全启动状态含义

绿色勾选图标表示设备已接收所有必要的安全启动证书更新及Boot Manager更新，无需操作。

The Secure Boot section showing the “fully updated” status with a green checkmark icon.

安全启动部分显示“已完全更新”状态及绿色勾选图标。

黄色警告图标通常意味着有某种限制。大多数情况下，设备仍运行旧证书，Windows预计会自动更新。如因固件或硬件限制导致更新受阻，警告会持续显示，直到问题解决。

The Secure Boot section showing the “Not yet updated” status with a yellow warning icon.

安全启动部分显示“尚未更新”状态及黄色警告图标。

红色停止图标表示更严重的问题。设备无法接收Windows启动过程所需的安全启动更新，这在旧证书临近到期时尤为重要，未更新的系统可能面临安全和兼容性风险。

The Secure Boot section showing the “Requires action” status with a red stop icon.

安全启动部分显示“需要采取措施”状态及红色停止图标。

根据您的情况需要采取的操作

如果应用显示安全启动使用的是旧配置，通常安装最新的Windows更新并重启设备即可解决。
如果因兼容性问题导致更新暂时中止，无需操作。微软会在问题解决后自动恢复更新。
如果提示硬件或固件限制，则无法自动应用更新，唯一选择是联系设备制造商咨询。
如果设备已进入无法接收必需更新的状态，说明设备即使过期后仍在使用旧证书，需要查看相关指导进行处理。

通知、警告及系统行为

安全启动状态现在会影响Windows整体的安全问题报告。状态变为黄色或红色时，会加重系统托盘图标的安全警告级别。

Windows Security icon on the System Tray shows Green check mark

系统托盘中的Windows 安全图标显示绿色勾选

从2026年5月开始，通知还将扩展至应用外，确保用户在需要注意时能及时知晓。

对警告的忽略（及其影响）

警告可以被忽略，但仅仅是隐藏提醒。

对于黄色状态，选择忽略会暂时移除通知，但问题依然在应用内显示。
对于红色状态，忽略需要管理员通过“接受风险”选项批准。即便如此，系统仍会在未更新状态下运行，限制依旧存在。

长期处于此状态的设备可能最终无法获取未来的启动相关安全更新。

大多数用户应有的预期

大部分设备会通过Windows 更新自动完成更新，用户无需操作。绿色状态表示一切正常。

黄色警告通常表示兼容性限制，红色警告则表明存在无法自动解决的安全隐患。

未收到更新证书的系统仍可继续使用一段时间，但未来的更新、固件或依赖安全启动的功能可能会出现问题。

企业设备则走不同路径，这些指示和通知由IT政策控制，不会直接显示给用户。

IT管理员需要了解的安全启动证书更新状态

在企业管理的Windows设备和Windows Server上，安全启动证书状态指示默认被禁用。

管理员集中管理更新，微软避免添加面向用户的警告以免引起混淆。证书发布、验证和监控预计通过IT流程进行，而非通过用户提示。

服务器和企业电脑上的不同处理

Windows Server处理方式截然不同。虽然能使用Windows 安全中心应用，但通知服务不会自动运行。这意味着不会自动检查安全启动状态，除非有人手动打开应用。

在企业管理的Windows 10和Windows 11设备上，应用和服务正常运行，状态数据依旧生成，但指示标识、徽章和通知默认隐藏，除非明确启用。

如何启用安全启动状态显示

管理员可通过注册表策略开启此功能：

路径：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Device security

键：

HideSecureBootStates

0 – 显示安全启动状态
1 – 隐藏安全启动状态

未设置 – 家庭版/专业版默认启用，企业版/服务器默认禁用

启用后，用户将看到与消费者设备类似的指示标识、消息和通知。

推送阶段及支持版本

推送采用两阶段进行，具体可用性取决于操作系统版本。

阶段一（2026年4月）：

Windows 安全中心内显示安全启动状态的绿色和黄色标识，并附加相关指引链接。

阶段二（2026年5月）：

新增通知、忽略选项和红色（关键）状态，同时加强对不支持系统的处理。

这些调整涵盖Windows 11、Windows 10及受支持的Windows Server版本，时间节点与应用更新和累积更新相关联。

微软对企业的预期

企业环境应集中跟踪安全启动证书的发布。微软建议管理员采用结构化部署和监控方法，包括用于验证和合规的安全启动操作手册。

重点是通过策略驱动的发布，而非依赖用户自觉或手动干预。

对组织的实际意义

如果缺乏适当监控，设备可能长期使用旧证书，用户却无任何可见警告，导致系统表面无异常但实际不满足未来安全要求。

管理员需验证固件兼容性，跟踪证书发布状态，并确保更新真正应用到设备。否则，问题将在系统无法接收启动相关更新或遇兼容性问题时暴露。

安全启动警告看似严重，特别是显示红色或黄色标识时，但这些警告并非无的放矢，而是微软为应对旧证书即将过期的实际截止日期做的准备。