有关安全启动更新过程的常见问题

安全启动证书过期后，未收到较新的 2023 证书的设备将继续启动并正常运行，标准 Windows 更新将继续安装。 但是，这些设备将无法再为早期启动过程接收新的安全保护，包括更新 Windows 启动管理器、安全启动数据库、吊销列表或针对新发现的启动级别漏洞的缓解措施。 

随着时间的推移，这会限制设备对新出现威胁的保护，并可能影响依赖于安全启动信任的方案，例如 BitLocker 强化或第三方引导加载程序。 大多数 Windows 设备将自动接收更新的证书，并且许多 OEM 已在需要时提供固件更新。 使用这些更新使设备保持最新状态有助于确保它能够继续接收安全启动旨在提供的完整安全保护集。

最好在 2026 年 6 月到期日期之前更新安全启动证书。 

如果设备由Microsoft管理并与Microsoft共享诊断数据，则在大多数情况下，Microsoft将尝试自动更新安全启动证书。 虽然Microsoft将尽最大努力更新安全启动，但在某些情况下，无法保证应用更新，并且需要客户作。 客户最终负责更新安全启动证书。 

启用诊断数据的Microsoft托管设备可能无法接收更新的示例包括：

• Microsoft安全启动更新仅适用于某些受支持的 Windows 版本。

• 在设备上启用的诊断数据可能会被组织中的防火墙阻止，并且无法访问Microsoft。

• 设备上的固件可能存在问题。

注意 “由Microsoft管理”是什么意思？ 系统共享诊断数据，并由 Microsoft Cloud 或 Intune 进行管理。 

如果你的设备未与Microsoft共享诊断数据，并且由组织的 IT 部门或客户管理，则 IT 部门可以按照 Windows 安全启动证书过期和 CA 更新中的Microsoft指南更新系统。

如果计算机由 Microsoft 管理，则通过 Windows 更新 更新安全启动证书。  

如果计算机由组织或业务 IT 管理员管理，则 IT 部门可以使用 Windows 安全启动证书过期和 CA 更新中的指南更新系统的方法。 

Windows 10支持将于 2025 年 10 月 14 日结束。 有关详细信息，请参阅Windows 10支持将于 2025 年 10 月 14 日结束。 

若要在此日期之后继续接收安全汇报，留在Windows 10的客户可以注册： 

• Windows 10扩展安全性汇报 (ESU) 计划，请参阅Windows 10扩展安全性汇报 (ESU) 计划

• 或者，如果你有受支持的 LTSC 版本的 Windows 10，它将继续获取安全汇报，直到 LTSC 到期日期。 有关示例，请参阅适用于Windows 10的扩展安全性汇报 (ESU) 程序

注意

• Windows 10 企业版 LTSC 可作为独立 SKU 或 Windows 企业版 E3 订阅的一部分进行购买。

• 可以直接从 OEM 或通过供应商许可证作为独立 SKU 购买 Windows IoT 企业版 LTSC。

安全启动证书允许固件验证关键组件（如启动管理器、选项 ROM (固件驱动程序) 以及其他基于固件的软件）是否受信任且未被篡改。 Microsoft使用这些证书对启动管理器和其他应受信任的组件以及安全启动更新进行签名。 当旧证书过期时，它们不再可用于对新组件或更新进行签名。

禁用安全启动的设备将不会在固件中收到新的安全启动证书。 因此，它们仍然容易受到启动级恶意软件（例如引导工具包）的攻击，因为未强制实施安全启动保护。 

对于符合条件的设备（例如通过基于置信度的部署接收累积更新的设备），或者在启用了诊断数据的受控功能推出 (CFR) 中注册的设备，Microsoft将尝试更新所有适用的证书。 但是，这些更新是作为辅助提供的，而不是作为保证。 IT 管理员仍负责使用Microsoft的自动化 CFR 和其他记录的部署方法更新其整个队列。

证书包含在 2025 年 5 月 13 日累积更新 (LCU) 及更高版本中。 但是，它们不会自动应用，需要执行其他步骤。 有关部署指南，请参阅 https://aka.ms/getsecureboot。

它们服务于不同的目的。

固件更新可以更新固件中存储的默认安全启动变量。 如果以后将安全启动设置重置为默认值，则这主要有用，因为固件默认值决定了在这种情况下要还原的证书。

Windows 将更改应用于在正常启动期间强制实施的活动安全启动变量。 这些活动变量是固件用来验证启动组件的内容，也是 Windows 用来提供未来安全启动保护所依赖的变量。

实际上，Windows 负责使活动安全启动配置保持最新状态。 固件更新有助于确保默认值也得到更新，从而在将来重置或重新初始化安全启动时降低风险。

无论固件更新是否可用，管理员都应确保更新活动的安全启动变量并监视部署状态。

有两种可能的路径： 

• 如果计算机由共享诊断数据的Microsoft管理，并且作系统受支持，Microsoft将尝试更新。

• 如果设备由 IT 管理员客户管理或管理，则 IT 部门可以在已验证的计算机上应用更新，这些计算机可以根据 Windows 安全启动证书过期和 CA 更新中的Microsoft指南安全地获取更新。

这些步骤有望满足大多数客户的需求，而无需从 OEM 进行固件更新。 但是，在某些情况下，由于设备固件中的已知或未知问题，更新不适用。 在这种情况下，请遵循有关固件更新的 OEM 指南。 

注意 上述过程通过 OS 应用安全启动活动变量。 安全启动固件默认值保留在 OEM 发布的固件中。 本指南是不要更改或更新安全启动配置，除非 OEM 发布了更新，以更改固件默认为新证书。

 如果证书过期，安全启动保护将降级。 如果系统满足较新作系统（例如Windows 11）的要求，则可以升级到Windows 11的较新作系统版本。  

如果未在 Windows 10 LTSC 设备上启用安全启动，则新安全启动证书的当前推出中不包含这些安全启动。 开始升级到 Windows 11 LTSC 时，需要遵循当时相关的特定迁移步骤，以确保包含新的 2023 证书。

只有受支持的 Windows OS 版本才能获得证书。 

对于在虚拟环境中运行的 Windows，有两种方法可用于将新证书添加到安全启动固件变量： 

• 虚拟环境的创建者 (AWS、Azure、Hyper-V、VMware 等 ) 可以提供环境的更新，并在虚拟化固件中包含新证书。 这将适用于新的虚拟化设备。

• 对于在 VM 中长期运行的 Windows，如果虚拟化固件支持安全启动更新，则可以像任何其他设备一样通过 Windows 应用更新。

这些客户/IT 托管环境通常缺乏足够的诊断数据，无法Microsoft自信安全地推出新功能。 此外，IT 部门通常更希望保持对更新时间和内容的完全控制，以确保与内部工具和工作流的合规性、稳定性和兼容性。 许多企业设备还在敏感或受限的环境中运行，在这些环境中，CFR 暗示的外部访问或管理可能不可取或被禁止。

如果 Windows 已在使用 2023 签名的启动管理器，但固件已重置为不包括 Windows UEFI CA 2023 证书的默认值，则安全启动将阻止启动过程。 

若要解决此问题，需要使用恢复应用程序将 2023 证书重新应用到固件的 DB。 这是通过创建恢复 USB，然后从该 USB 启动受影响的设备来还原缺少的证书来完成的。 

有关分步说明，请参阅 Microsoft更新 Windows 安装媒体的官方指南。 

​​​​​​​是的。 即使现有证书已过期，仍可应用包含新安全启动证书的累积更新。 如果设备可以启动 Windows 并安装更新，则可以按照发布的部署指南将更新的证书写入固件。 大多数设备将自动接收这些更新，但某些系统可能需要其他固件更新。