Applies To
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

原始發布日期: 2025 年 9 月 15 日

KB 編號:5068008

一般安全開機常見問題集

最好在 2026 年 6 月到期日之前更新安全開機憑證。 

如果您的裝置是由 Microsoft 管理,並與 Microsoft 共用診斷資料,則 Microsoft 會在大部分情況下嘗試自動更新安全開機憑證。 雖然 Microsoft 會盡力更新安全開機,但在某些情況下,更新不保證會套用,而且需要客戶採取行動。 客戶最終負責更新安全開機憑證。 

共用診斷數據的 Microsoft 受控裝置未更新的一些範例情況如下: 

  • Microsoft 安全開機更新僅適用於某些支援的 Windows 版本。

  • 裝置上啟用的診斷資料可能會遭到組織中的防火牆封鎖,而且無法連線到 Microsoft。

  • 設備上的固件可能有問題。

附註: 「由 Microsoft 管理」是什麼意思? 系統會共用診斷數據,並由 Microsoft Cloud 或 Intune 管理。 

如果您的裝置未與 Microsoft 共用診斷數據,而且是由貴組織的 IT 部門或客戶管理,則 IT 部門可以遵循 Microsoft 在 Windows 安全開機憑證到期和 CA 更新中的指引來更新系統。

如果電腦是由 Microsoft 管理,則安全開機憑證會透過 Windows Update 更新。  

如果電腦是由您的組織或商務 IT 系統管理員管理,則 IT 部門可以使用 Windows 安全開機憑證到期和 CA 更新中的指引來更新系統。 

即使安全開機憑證未更新,電腦仍會正常啟動 Windows。  電腦最終將停止接收來自 Microsoft 的某些 Windows 安全性更新,包括啟動管理員和安全啟動元件安全性更新。 這將使設備面臨可能完全控制計算機的 BootKit 的風險。

Windows 10 支援將於 2025 年 10 月 14 日結束。 如需詳細資訊,請參閱 Windows 10 支援將於 2025 年 10 月 14 日結束。 

若要在此日期之後繼續接收安全性匯報,仍使用 Windows 10 的客戶可以註冊: 

注意

  • Windows 10 企業版 LTSC 可作為獨立 SKU 或作為 Windows 企業版 E3 訂閱的一部分購買。

  • Windows IoT 企業版 LTSC 可以直接從 OEM 購買,或透過廠商授權作為獨立 SKU 購買。

客戶/IT 受管理系統安全開機常見問題集

有兩種可能的路徑: 

  • 如果電腦由 Microsoft 管理,並共用診斷資料,且支援作業系統,Microsoft 會嘗試更新。

  • 如果裝置是由客戶管理或由 IT 系統管理員管理,則 IT 部門可以在經過驗證的電腦集上套用更新,這些電腦可以根據 Windows 安全開機憑證到期和 CA 更新中的 Microsoft 指引安全地進行更新。

這些步驟預計將滿足大多數客戶的需求,而無需 OEM 的韌體更新。 但是,在某些情況下,由於設備韌體中的已知或未知問題,更新不適用。 在這種情況下,請遵循韌體更新的 OEM 指引。 

附註: 上述過程通過操作系統應用安全啟動活動變量。 安全開機韌體預設值會保留在 OEM 發行的韌體中。 指引是除非 OEM 已發行更新,將韌體預設值變更為新憑證,否則不要變更或更新安全開機設定。

 如果憑證過期,安全開機保護會降級。 如果系統符合 Windows 11 等較新作業系統的要求,則可以升級到較新的作業系統版本的 Windows 11。  

如果您的 Windows 10 LTSC 裝置上未啟用安全開機,則它們不會包含在新安全開機憑證的目前推出中。 當您開始升級至 Windows 11 LTSC 時,您必須遵循當時相關的特定移轉步驟,以確保包含新的 2023 憑證。

只有支援的 Windows 作業系統版本才會取得憑證。 

憑證到期之後,裝置會繼續開機而不變更,不過裝置會停止取得開機管理員和安全開機元件的安全性更新。 這將使整個設備面臨“bootkit”惡意軟件的風險,這些惡意軟件可能會影響設備上安全的各個方面。

對於在虛擬環境中執行的 Windows,有兩種方法可將新憑證新增至安全開機韌體變數: 

  • 虛擬環境 (AWS、Azure、Hyper-V、VMware 等的創建者 ) 可以為環境提供更新,並將新證書包含在虛擬化固件中。 這適用於新的虛擬化設備。

  • 對於在 VM 中長期執行的 Windows,如果虛擬化韌體支援安全開機更新,則可以透過 Windows 像任何其他裝置一樣套用更新。

這些客戶/IT 管理的環境通常缺乏足夠的診斷數據,讓 Microsoft 能夠自信且安全地推出新功能。 此外,IT 部門通常更願意保持對更新時間和內容的完全控制,以確保合規性、穩定性以及與內部工具和工作流程的兼容性。 許多企業設備還在敏感或受限的環境中運行,在這些環境中,外部訪問或管理(CFR 暗示)可能是不受歡迎或禁止的。

如果 Windows 已使用 2023 簽署的開機管理員,但韌體已重設為不包含 Windows UEFI CA 2023 憑證的預設值,則安全開機會封鎖開機程式。 

若要修正此問題,您需要使用復原應用程式將 2023 憑證重新套用至韌體資料庫。 這是透過建立恢復 USB,然後從該 USB 啟動受影響的裝置以恢復遺失的憑證來完成的。 

如需逐步指示,請參閱 Microsoft 更新 Windows 安裝媒體的官方指引。 

Facebook LinkedIn Email
SUBSCRIBE RSS FEEDS

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心