Applies To
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

原始發佈日期: 2026年6月29日

KB ID:5105943

簡介 

Microsoft 正在向 Windows 裝置推出更新的安全啟動憑證,以維持對不斷演變的開機層級威脅的防護。 大多數裝置會透過 Windows Update 自動接收這些更新。 本文說明為何部分裝置被阻擋更新安全開機憑證、這代表什麼,以及你可以考慮的行動。 

附註: 關於 IT 專業人員的一般安全開機故障排除指引,請參閱安全開機故障排除指南

快速安全啟動摘要 

安全開機是 Windows 的一項功能,每次電腦啟動時都會檢查電腦。 在 Windows 載入前,Secure Boot 會驗證即將執行的軟體是否由可信來源簽署。 如果簽章無法被識別,電腦就無法啟動該軟體。 這能阻擋一類可能在 Windows 啟動前嘗試載入的主要惡意軟體。 

為了保護你的裝置,Secure Boot 的設計是只有原始設備製造商 (OEM) 才能在這個根層級授權你的電腦變更。  

為什麼你可能沒有收到完整的更新 

Windows 安全性 App 是檢查裝置安全開機狀態是否最新,或是否需要製造商提供韌體更新的最簡單方法。 

在絕大多數電腦上,完整的安全開機憑證會透過 Windows Update 自動安裝。 有些裝置需要從電腦製造商取得韌體更新,才能安裝必要的安全開機更新。 許多原廠(OEM)正透過標準更新管道積極釋出這些韌體更新。 如果需要韌體更新,請查看原廠廠的 Secure Boot 支援頁面,了解下一步。 

在某些情況下,Windows 安全性可能會透過顯示以下訊息之一,暫時暫停或阻擋安全開機憑證更新: 

Windows 安全性警告顯示安全開機憑證更新暫停的截圖

訊息

需要採取行動

這組裝置會受到已知問題的影響。 為降低風險,安全啟動憑證更新會暫時暫停,等待 Microsoft 與合作夥伴共同尋求支援的解決方案。 請聯絡你的裝置製造商尋求協助。 

韌體更新是必要的,但可能還沒到。 當韌體更新開放時,會透過你 OEM 的標準更新管道釋出並安裝。 請查看你裝置製造商的安全開機支援頁面,了解下一步。

Windows 安全性警告顯示安全開機憑證更新被封鎖的截圖

訊息

需要採取行動

安全開機已開啟,但你的裝置因硬體或韌體限制,不支援自動更新安全開機憑證。 請聯絡你的裝置製造商尋求協助。 

你的電腦型號可能不再被原廠支援,或是原廠無法提供更新裝置安全開機信任設定所需的韌體更新。 請查看原廠廠的 Secure Boot 支援頁面,確認你的裝置是否已停止支援,或是否有韌體更新。

如果你無法安裝新的安全開機憑證,會發生什麼事?

如果您的裝置在未取得新憑證的情況下到期,仍能正常啟動並運作。 Standard Windows 更新仍會被安裝。 然而,隨著新安全更新釋出,針對早期開機流程的威脅,你的裝置將無法接收這些更新,也無法獲得最新的防護措施。 

隨著新威脅出現,處於過期狀態的裝置會逐漸降低防護。  依賴安全開機的功能——例如裝置加密或某些啟動軟體——若需要更新安全保護,也可能無法正常運作。 

持續有效的方法 

  • 裝置繼續正常啟動。

  • Windows 更新——包括功能與品質更新,包括每月的安全更新——仍會持續安裝,唯獨開機相關的安全元件需要更新憑證 (請見下方清單) 。

  • 日常任務如使用應用程式、建立人脈和瀏覽網站,基本保持不變。

  • Secure Boot 持續啟用,並持續提供對先前已知威脅的保護。

什麼已經不再奏效 

  • 新的安全開機和開機管理員保護無法套用。

  • 新發現的惡意或易受攻擊的開機載入程式可能無法被封鎖。 未來威脅的防護措施可能會逐漸與全新更新的裝置有所不同。

  • 部分依賴 Microsoft 安全啟動信任的非 Microsoft 元件,若需要更新的憑證條目,可能會無法更新。

如果你的裝置無法安裝新的安全啟動憑證,這將導致長期安全性逐漸下降——而非立即的風險或系統故障。 請持續遵守標準安全措施,包括持續更新 Windows 更新。

重要: 建議關閉安全開機。 這樣做會降低保護效果,並導致狀態比保持現有設定不動更不安全。

資源

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。