IT之家 5 月 26 日消息，科技媒體 Windows Latest 今天（5 月 26 日）發(fā)布博文，報道稱微軟正積極推動 Windows 11 用戶升級安全啟動（Secure Boot）證書，從 2011 版切換到 2023 版。

微軟官方確認舊版證書將于下月（2026 年 6 月）到期。在今年 3 月舉辦的 AMA 活動中，官方明確如果用戶一直不處理，電腦大多還能正常啟動，但系統(tǒng)會失去啟動鏈關(guān)鍵安全更新，后續(xù)風險會越來越高。

IT之家注：安全啟動是 UEFI 固件中的啟動校驗機制。電腦開機后，它會驗證引導加載程序、驅(qū)動和系統(tǒng)組件的數(shù)字簽名，只允許受信任的軟件啟動。

這套機制依賴 KEK、DB 和 DBX 幾層密鑰與簽名數(shù)據(jù)庫協(xié)同工作。微軟現(xiàn)在要把新的 2023 證書先寫入系統(tǒng)，再刷入主板 UEFI 固件，并逐步讓系統(tǒng)改為信任新證書鏈。

微軟也解釋了幾個用戶最擔心的邊界情況。首先是老機器。若設(shè)備是純 Legacy BIOS，系統(tǒng)會識別為不支持 Secure Boot，于是直接跳過更新，不會強推。

若設(shè)備借助 CSM 模擬傳統(tǒng) BIOS，但本身仍具備 UEFI 和 Secure Boot 能力，更新仍可正常執(zhí)行。

另一種常見情況是用戶在 BIOS 里關(guān)閉了 Secure Boot。微軟此時會主動讓更新報錯，指出不同主板對關(guān)閉狀態(tài)下寫入證書的處理差異很大，強行更新反而可能破壞啟動鏈。

企業(yè)和服務(wù)器環(huán)境的處理更復雜。微軟指出，Windows Server 不參加面向普通 Windows 11 設(shè)備的自動 CFR 推送。

Windows Server 2025 也不會因為全新安裝或從 Server 2022 升級，就自動滿足新證書要求，管理員仍需用指定的 PowerShell 命令手動部署。

虛擬化環(huán)境也有額外限制。例如 Hyper-V 長時間運行的虛擬機曾出現(xiàn) KEK 更新 Bug，宿主機和客戶機兩側(cè)都要安裝 2026 年 3 月更新，否則證書更新會卡住。

相關(guān)閱讀：

• 《微軟解釋 Win11 更新出現(xiàn)多次重啟原因：屬安全啟動證書部署正常行為》

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。