微軟從本月開始向符合條件的 Windows 11 裝置部署新的安全啟動證書,否則在 6 月過期後將影響接收後續更新和其他安全功能。微軟表示大多數 Windows 裝置的安全啟動憑證都會在夏季開始陸續過期,因此必須及時更新憑證。
微軟從本月開始向符合條件的 Windows 11 24H2/25H2 裝置推送新的 UEFI 安全啟動證書,用於取代將在 2026 年 6 月就會過期的安全啟動證書。
安全啟動是現代電腦最重要的安全功能,可確保只有受信任的引導程式才能載入到具有 UEFI 韌體的電腦上,而惡意軟體例如頑固的 rootkit 惡意軟體將在系統啟動過程中被阻止。
能夠阻止惡意軟體的關鍵在於數位簽名,合法軟體開發人員可以透過微軟申請簽名從而獲得信任,惡意軟體沒有有效的數位簽名因此會被阻止。
微軟表示大多數 Windows 裝置使用的安全啟動憑證將在 2026 年 6 月起陸續到期,如果不更新憑證的話,將影響後續某些個人和企業裝置的安全啟動能力。
因此從本月開始 Windows 品質更新將包含一部分高置信度設備目標數據,用於識別符合條件自動接收新安全啟動憑證的設備,設備只有在發出足夠的成功更新訊號時才會收到更新,這樣可以確保安全且分階段的部署。
希望保持安全啟動功能並確保終端安全性的企業 IT 管理員應該在今年夏天舊證書到期前安裝新證書,防止到時候舊證書過期後設備出現無法啟動或其他問題。
對於不更新安全啟動證書的後果微軟也已經提前說明:
可能導致 Windows 啟動管理員和安全性啟動保護功能失效,因為啟用安全啟動的裝置將不再獲得啟動前元件的安全性更新。
所以證書過期後不是設備直接無法啟動,而是可能無法繼續接收微軟發布的新的安全更新或受信任的引導程序,這會嚴重損害設備的安全性。
另外憑證過期後也不是特別嚴重的事情,因為微軟也提供手動更新方法可以透過登錄、WinCS 設定係統和群組原則來部署安全啟動憑證。
有關安全啟動憑證更新的相關內容,有興趣的使用者可以查看微軟發布的支援文件:Microsoft Learn
