当 Windows 设备上的安全启动证书过期时

证书过期时会发生什么情况

如果你的设备在没有新证书的情况下达到到期日期，它仍将启动并正常运行。 Standard Windows 更新将继续安装。 但是，设备将无法再为早期启动过程接收新的安全保护。 这包括对 Windows 启动管理器、安全启动数据库和吊销列表的更新，以及针对启动链中新发现的漏洞的修复。

随着新威胁的出现，处于此过期状态的设备将逐渐受到保护。 依赖于安全启动信任 (的方案（例如 BitLocker 强化、启动级别代码完整性或第三方启动加载程序以及选项 ROM) ）也可能会受到影响，因为它们需要更新的安全启动信任。

哪些工作仍在继续

• 设备继续正常启动。

• Windows 更新将继续安装，但需要更新证书的与启动相关的安全组件除外。

• 日常应用使用、网络、浏览和大多数 OS 功能保持不变。

不再有效的内容

• 无法应用新的安全启动和启动管理器保护。

• 早期启动环境的漏洞修复（例如 BitLocker 绕过缓解措施或安全启动吊销）将不可用。

• 如果某些依赖于Microsoft安全启动信任的第三方组件需要较新的证书条目，则可能无法更新。

如何保持保护

大多数个人 Windows 设备将通过Microsoft托管的更新自动接收新的安全启动证书。 对于组织管理的设备，IT 管理员应遵循 Microsoft的安全启动证书更新指南。 某些设备可能需要 OEM 固件更新才能正确应用新证书。 对于任何设备、个人或组织管理的设备，请联系 OEM 以获取有关所需固件更新的信息，请记住，此类更新可能仅适用于仍在支持期内的设备。 使设备保持最新状态可确保它继续获得安全启动旨在提供的完整保护。

注意： 不应禁用安全启动来解决证书过期问题。 禁用安全启动会显著减少设备保护，消除针对启动级恶意软件的防护措施，并可能带来新的安全和合规性风险。 建议的路径是确保设备接收更新的 2023 安全启动证书和任何所需的 OEM 固件更新。