应用对象
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

原始发布日期: 2026 年 6 月 29 日

KB ID:5105943

简介 

Microsoft正在向 Windows 设备推出更新的安全启动证书,以保持针对不断演变的启动级别威胁的保护。 大多数设备通过Windows 更新自动接收这些更新。 本文介绍了为何阻止某些设备更新安全启动证书、这意味着什么,以及可以考虑的操作。 

注意: 有关面向 IT 专业人员的常规安全启动故障排除指南,请参阅安全启动故障排除指南

快速安全启动摘要 

安全启动是一项 Windows 功能,每次启动时都会检查电脑。 在 Windows 加载之前,安全启动会验证即将运行的软件是否由受信任的源签名。 如果无法识别签名,电脑将不会启动该软件。 这会阻止可能会在 Windows 启动之前尝试加载的主要恶意软件。 

为了保护设备,安全启动的设计使只有原始设备制造商 (OEM) 才能在此根级别授权对电脑进行更改。  

为何可能未收到完整更新 

Windows 安全中心应用是检查设备的安全启动状态是否为最新,或者是否需要制造商提供的固件更新的最简单方法。 

在绝大多数电脑上,完整的安全启动证书集通过Windows 更新自动安装。 某些设备需要电脑制造商提供固件更新,然后才能安装必要的安全启动更新。 许多 OEM 正通过其标准更新通道主动发布这些固件更新。 如果需要固件更新,检查 OEM 的安全启动支持页,了解后续步骤。 

在某些情况下,Windows 安全中心可能会显示以下消息之一来指示安全启动证书更新暂时暂停或阻止: 

安全启动证书更新已暂停Windows 安全中心警告的屏幕截图

消息

所需操作

此组中的设备受已知问题的影响。 为了降低风险,安全启动证书更新会暂时暂停,同时Microsoft和合作伙伴努力实现受支持的解决方案。 请联系设备制造商寻求帮助。 

固件更新是必需的,但可能尚不可用。 当它可用时,固件更新将通过 OEM 的标准更新通道发布和安装。 有关后续步骤,请查看设备制造商的安全启动支持页

安全启动证书更新被阻止Windows 安全中心警告的屏幕截图

消息

所需操作

安全启动已打开,但由于硬件或固件限制,设备不支持自动安全启动证书更新。 请联系设备制造商寻求帮助。 

OEM 可能不再支持你的电脑型号,或者 OEM 可能无法再提供更新设备的安全启动信任配置所需的固件更新。 查看 OEM 的安全启动支持页面,确认设备是否不受支持或固件更新是否可用。

如果无法安装新的安全启动证书,会发生什么情况?

如果你的设备在没有新证书的情况下达到到期日期,它将继续启动并正常运行。 Standard仍将安装 Windows 更新。 但是,随着新的安全更新的发布(用于解决早期启动过程的威胁),你的设备将无法接收它们,并且不会获得最新的保护。 

随着时间的推移,随着新威胁的出现,处于此过期状态的设备将逐渐受到保护。  依赖于安全启动的功能(例如设备加密或某些启动软件)在需要更新的安全保护时也可能停止正常工作。 

哪些工作仍在继续 

  • 设备继续正常启动。

  • Windows 更新(功能和质量更新(包括每月安全更新)将继续安装,但需要更新证书的与启动相关的安全组件除外 (请参阅以下列表) 。

  • 日常任务(如使用应用、网络和浏览)保持不变。

  • 安全启动保持启用状态,并继续提供针对以前已知威胁的保护。

不再有效的内容 

  • 无法应用新的安全启动和启动管理器保护。

  • 可能不会阻止新发现的恶意或易受攻击的启动加载程序。 针对未来威胁的防护可能逐渐不同于完全更新的设备。

  • 如果某些依赖于Microsoft安全启动信任的非Microsoft组件需要较新的证书条目,则可能无法更新。

如果设备无法安装新的安全启动证书,这会导致长期安全性逐步降低,而不是直接的风险或系统故障。 继续遵循标准安全做法,包括随时了解 Windows 更新。

重要:  不建议禁用安全启动。 这样做会降低保护,并导致不如保持当前配置不变的安全状态。

资源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。