如果你無法更新安全開機憑證
Applies To
原始發佈日期: 2026年6月29日
KB ID:5105943
簡介
Microsoft 正在向 Windows 裝置推出更新的安全啟動憑證,以維持對不斷演變的開機層級威脅的防護。 大多數裝置會透過 Windows Update 自動接收這些更新。 本文說明為何部分裝置被阻擋更新安全開機憑證、這代表什麼,以及你可以考慮的行動。
附註: 關於 IT 專業人員的一般安全開機故障排除指引,請參閱安全開機故障排除指南。
快速安全啟動摘要
安全開機是 Windows 的一項功能,每次電腦啟動時都會檢查電腦。 在 Windows 載入前,Secure Boot 會驗證即將執行的軟體是否由可信來源簽署。 如果簽章無法被識別,電腦就無法啟動該軟體。 這能阻擋一類可能在 Windows 啟動前嘗試載入的主要惡意軟體。
為了保護你的裝置,Secure Boot 的設計是只有原始設備製造商 (OEM) 才能在這個根層級授權你的電腦變更。
為什麼你可能沒有收到完整的更新
Windows 安全性 App 是檢查裝置安全開機狀態是否最新,或是否需要製造商提供韌體更新的最簡單方法。
在絕大多數電腦上,完整的安全開機憑證會透過 Windows Update 自動安裝。 有些裝置需要從電腦製造商取得韌體更新,才能安裝必要的安全開機更新。 許多原廠(OEM)正透過標準更新管道積極釋出這些韌體更新。 如果需要韌體更新,請查看原廠廠的 Secure Boot 支援頁面,了解下一步。
在某些情況下,Windows 安全性可能會透過顯示以下訊息之一,暫時暫停或阻擋安全開機憑證更新:
|
訊息 |
需要採取行動 |
|---|---|
|
這組裝置會受到已知問題的影響。 為降低風險,安全啟動憑證更新會暫時暫停,等待 Microsoft 與合作夥伴共同尋求支援的解決方案。 請聯絡你的裝置製造商尋求協助。 |
韌體更新是必要的,但可能還沒到。 當韌體更新開放時,會透過你 OEM 的標準更新管道釋出並安裝。 請查看你裝置製造商的安全開機支援頁面,了解下一步。 |
|
訊息 |
需要採取行動 |
|---|---|
|
安全開機已開啟,但你的裝置因硬體或韌體限制,不支援自動更新安全開機憑證。 請聯絡你的裝置製造商尋求協助。 |
你的電腦型號可能不再被原廠支援,或是原廠無法提供更新裝置安全開機信任設定所需的韌體更新。 請查看原廠廠的 Secure Boot 支援頁面,確認你的裝置是否已停止支援,或是否有韌體更新。 |
如果你無法安裝新的安全開機憑證,會發生什麼事?
如果您的裝置在未取得新憑證的情況下到期,仍能正常啟動並運作。 Standard Windows 更新仍會被安裝。 然而,隨著新安全更新釋出,針對早期開機流程的威脅,你的裝置將無法接收這些更新,也無法獲得最新的防護措施。
隨著新威脅出現,處於過期狀態的裝置會逐漸降低防護。 依賴安全開機的功能——例如裝置加密或某些啟動軟體——若需要更新安全保護,也可能無法正常運作。
持續有效的方法
-
裝置繼續正常啟動。
-
Windows 更新——包括功能與品質更新,包括每月的安全更新——仍會持續安裝,唯獨開機相關的安全元件需要更新憑證 (請見下方清單) 。
-
日常任務如使用應用程式、建立人脈和瀏覽網站,基本保持不變。
-
Secure Boot 持續啟用,並持續提供對先前已知威脅的保護。
什麼已經不再奏效
-
新的安全開機和開機管理員保護無法套用。
-
新發現的惡意或易受攻擊的開機載入程式可能無法被封鎖。 未來威脅的防護措施可能會逐漸與全新更新的裝置有所不同。
-
部分依賴 Microsoft 安全啟動信任的非 Microsoft 元件,若需要更新的憑證條目,可能會無法更新。
如果你的裝置無法安裝新的安全啟動憑證,這將導致長期安全性逐漸下降——而非立即的風險或系統故障。 請持續遵守標準安全措施,包括持續更新 Windows 更新。
重要: 不建議關閉安全開機。 這樣做會降低保護效果,並導致狀態比保持現有設定不動更不安全。