有關安全開機更新程式的常見問題集

最好在 2026 年 6 月到期日之前更新安全開機憑證。 

如果您的裝置是由 Microsoft 管理，並與 Microsoft 共用診斷資料，則 Microsoft 會在大部分情況下嘗試自動更新安全開機憑證。 雖然 Microsoft 會盡力更新安全開機，但在某些情況下，更新不保證會套用，而且需要客戶採取行動。 客戶最終負責更新安全開機憑證。 

共用診斷數據的 Microsoft 受控裝置未更新的一些範例情況如下： 

• Microsoft 安全開機更新僅適用於某些支援的 Windows 版本。

• 裝置上啟用的診斷資料可能會遭到組織中的防火牆封鎖，而且無法連線到 Microsoft。

• 設備上的固件可能有問題。

附註： 「由 Microsoft 管理」是什麼意思？ 系統會共用診斷數據，並由 Microsoft Cloud 或 Intune 管理。 

如果您的裝置未與 Microsoft 共用診斷數據，而且是由貴組織的 IT 部門或客戶管理，則 IT 部門可以遵循 Microsoft 在 Windows 安全開機憑證到期和 CA 更新中的指引來更新系統。

如果電腦是由 Microsoft 管理，則安全開機憑證會透過 Windows Update 更新。  

如果電腦是由您的組織或商務 IT 系統管理員管理，則 IT 部門可以使用 Windows 安全開機憑證到期和 CA 更新中的指引來更新系統。 

Windows 10 支援將於 2025 年 10 月 14 日結束。 如需詳細資訊，請參閱 Windows 10 支援將於 2025 年 10 月 14 日結束。 

若要在此日期之後繼續接收安全性匯報，仍使用 Windows 10 的客戶可以註冊： 

• Windows 10 擴充安全性匯報 (ESU) 計劃，請參閱 Windows 10 擴充安全性匯報 (ESU) 計劃

• 或者，如果您有受支援的 Windows 10 LTSC 版本，它將繼續取得安全性匯報，直到 LTSC 到期日為止。 例如，請參閱 ESU) 程式擴充安全性 匯報 (Windows 10

注意

• Windows 10 企業版 LTSC 可作為獨立 SKU 或作為 Windows 企業版 E3 訂閱的一部分購買。

• Windows IoT 企業版 LTSC 可以直接從 OEM 購買，或透過廠商授權作為獨立 SKU 購買。

設備將繼續啟動並正常運作。 但是，它將不再有資格接收與 Windows 啟動管理器更新或安全啟動相關的安全修復。

安全開機憑證可讓韌體驗證關鍵元件 （例如開機管理員、選項 ROM (韌體驅動程式) ，以及其他韌體型軟體） 是否受信任且未遭到竄改。 Microsoft 會使用這些憑證來簽署應該信任的開機管理員和其他元件，以及安全開機更新。 當較舊的憑證到期時，它們無法再用於簽署新的元件或更新。

停用安全開機的裝置將不會在韌體中收到新的安全開機憑證。 因此，它們仍然容易受到啟動層級惡意軟體 （例如啟動套件） 的攻擊，因為未強制執行安全開機保護。 

對於符合資格的裝置，例如透過信賴度型部署接收累積更新的裝置，或已註冊已啟用診斷資料 (Controlled Feature Rollout) 的裝置，Microsoft會嘗試更新所有適用的憑證。 但是，這些更新僅供參考，而不是保證。 IT 系統管理員仍負責使用 Microsoft 的自動化 CFR 和其他記錄的部署方法，確保其整個機群得到更新。

這些證書包含在 2025 年 5 月 13 日的 LCU) 及以後 (累積更新中。 但是，它們不會自動套用，需要額外的步驟。 如需部署指引，請參閱 https://aka.ms/getsecureboot。

有兩種可能的路徑： 

• 如果電腦由 Microsoft 管理，並共用診斷資料，且支援作業系統，Microsoft 會嘗試更新。

• 如果裝置是由客戶管理或由 IT 系統管理員管理，則 IT 部門可以在經過驗證的電腦集上套用更新，這些電腦可以根據 Windows 安全開機憑證到期和 CA 更新中的 Microsoft 指引安全地進行更新。

這些步驟預計將滿足大多數客戶的需求，而無需 OEM 的韌體更新。 但是，在某些情況下，由於設備韌體中的已知或未知問題，更新不適用。 在這種情況下，請遵循韌體更新的 OEM 指引。 

附註： 上述過程通過操作系統應用安全啟動活動變量。 安全開機韌體預設值會保留在 OEM 發行的韌體中。 指引是除非 OEM 已發行更新，將韌體預設值變更為新憑證，否則不要變更或更新安全開機設定。

 如果憑證過期，安全開機保護會降級。 如果系統符合 Windows 11 等較新作業系統的要求，則可以升級到較新的作業系統版本的 Windows 11。  

如果您的 Windows 10 LTSC 裝置上未啟用安全開機，則它們不會包含在新安全開機憑證的目前推出中。 當您開始升級至 Windows 11 LTSC 時，您必須遵循當時相關的特定移轉步驟，以確保包含新的 2023 憑證。

只有支援的 Windows 作業系統版本才會取得憑證。 

對於在虛擬環境中執行的 Windows，有兩種方法可將新憑證新增至安全開機韌體變數： 

• 虛擬環境的建立者 (AWS、Azure、Hyper-V、VMware 等 ) 可以為環境提供更新，並將新憑證包含在虛擬化韌體中。 這適用於新的虛擬化設備。

• 對於在 VM 中長期執行的 Windows，如果虛擬化韌體支援安全開機更新，則可以透過 Windows 像任何其他裝置一樣套用更新。

這些客戶/IT 管理的環境通常缺乏足夠的診斷數據，讓 Microsoft 能夠自信且安全地推出新功能。 此外，IT 部門通常更願意保持對更新時間和內容的完全控制，以確保合規性、穩定性以及與內部工具和工作流程的兼容性。 許多企業設備還在敏感或受限的環境中運行，在這些環境中，外部訪問或管理（CFR 暗示）可能是不受歡迎或禁止的。

如果 Windows 已使用 2023 簽署的開機管理員，但韌體已重設為不包含 Windows UEFI CA 2023 憑證的預設值，則安全開機會封鎖開機程式。 

若要修正此問題，您需要使用復原應用程式將 2023 憑證重新套用至韌體資料庫。 這是透過建立恢復 USB，然後從該 USB 啟動受影響的裝置以恢復遺失的憑證來完成的。 

如需逐步指示，請參閱 Microsoft 更新 Windows 安裝媒體的官方指引。