应用对象
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

原始发布日期: 2025 年 9 月 15 日

KB ID:5068008

常规安全启动常见问题解答

最好在 2026 年 6 月到期日期之前更新安全启动证书。 

如果设备由Microsoft管理并与Microsoft共享诊断数据,则在大多数情况下,Microsoft将尝试自动更新安全启动证书。 虽然Microsoft会尽力更新安全启动,但在某些情况下,无法保证应用更新,并且需要客户作。 客户最终负责更新安全启动证书。 

Microsoft共享诊断数据的托管设备未更新的一些示例情况如下: 

  • Microsoft安全启动更新仅适用于某些受支持的 Windows 版本。

  • 在设备上启用的诊断数据可能会被组织中的防火墙阻止,并且无法访问Microsoft。

  • 设备上的固件可能存在问题。

注意 “由Microsoft管理”是什么意思? 系统共享诊断数据,并由 Microsoft Cloud 或 Intune 管理。 

如果你的设备未与Microsoft共享诊断数据,并且由组织的 IT 部门或客户管理,则 IT 部门可以按照 Windows 安全启动证书过期和 CA 更新中的Microsoft指南更新系统。

如果计算机由 Microsoft 管理,则通过 Windows 更新 更新安全启动证书。  

如果计算机由组织或业务 IT 管理员管理,则 IT 部门可以使用 Windows 安全启动证书过期和 CA 更新中的指南更新系统的方法。 

即使未更新安全启动证书,计算机仍会正常启动 Windows。  计算机最终将停止从Microsoft接收某些 Windows 安全更新,包括启动管理器和安全启动组件安全更新。 这将使设备面临 BootKit 的风险,BootKits 可能会完全控制计算机。

Windows 10支持将于 2025 年 10 月 14 日结束。 有关详细信息,请参阅Windows 10支持将于 2025 年 10 月 14 日结束。 

若要在此日期之后继续接收安全汇报,留在Windows 10的客户可以注册: 

注意

  • Windows 10 企业版 LTSC 可作为独立 SKU 或 Windows 企业版 E3 订阅的一部分进行购买。

  • 可以直接从 OEM 或通过供应商许可证作为独立 SKU 购买 Windows IoT 企业版 LTSC。

客户/IT 托管系统安全启动常见问题解答

有两种可能的路径: 

  • 如果计算机由共享诊断数据的Microsoft管理,并且作系统受支持,Microsoft将尝试更新。

  • 如果设备由 IT 管理员客户管理或管理,则 IT 部门可以在已验证的计算机上应用更新,这些计算机可以根据 Windows 安全启动证书过期和 CA 更新中的Microsoft指南安全地获取更新。

这些步骤有望满足大多数客户的需求,而无需从 OEM 进行固件更新。 但是,在某些情况下,由于设备固件中的已知或未知问题,更新不适用。 在这种情况下,请遵循有关固件更新的 OEM 指南。 

注意 上述过程通过 OS 应用安全启动活动变量。 安全启动固件默认值保留在 OEM 发布的固件中。 本指南是不要更改或更新安全启动配置,除非 OEM 发布了更新,以更改固件默认为新证书。

 如果证书过期,安全启动保护将降级。 如果系统满足较新作系统(例如Windows 11)的要求,则可以升级到Windows 11的较新作系统版本。  

如果未在 Windows 10 LTSC 设备上启用安全启动,则新安全启动证书的当前推出中不包含这些安全启动。 开始升级到 Windows 11 LTSC 时,需要遵循当时相关的特定迁移步骤,以确保包含新的 2023 证书。

只有受支持的 Windows OS 版本才能获得证书。 

证书过期后,设备将继续启动而不进行任何更改,但设备将停止获取启动管理器和安全启动组件的安全更新。 这将使整个设备面临“bootkit”恶意软件的风险,这些恶意软件可能会影响设备安全性的各个方面。

对于在虚拟环境中运行的 Windows,有两种方法可用于将新证书添加到安全启动固件变量: 

  • 虚拟环境的创建者 (AWS、Azure、Hyper-V、VMware 等 ) 可以提供环境的更新,并在虚拟化固件中包含新证书。 这将适用于新的虚拟化设备。

  • 对于在 VM 中长期运行的 Windows,如果虚拟化固件支持安全启动更新,则可以像任何其他设备一样通过 Windows 应用更新。

这些客户/IT 托管环境通常缺乏足够的诊断数据,无法Microsoft自信安全地推出新功能。 此外,IT 部门通常更希望保持对更新时间和内容的完全控制,以确保与内部工具和工作流的合规性、稳定性和兼容性。 许多企业设备还在敏感或受限的环境中运行,在这些环境中,CFR 暗示的外部访问或管理可能不可取或被禁止。

如果 Windows 已在使用 2023 签名的启动管理器,但固件已重置为不包括 Windows UEFI CA 2023 证书的默认值,则安全启动将阻止启动过程。 

若要解决此问题,需要使用恢复应用程序将 2023 证书重新应用到固件的 DB。 这是通过创建恢复 USB,然后从该 USB 启动受影响的设备来还原缺少的证书来完成的。 

有关分步说明,请参阅 Microsoft更新 Windows 安装媒体的官方指南。 

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心