關於安全啟動更新流程的常見問題

最好在 2026 年 6 月到期前就更新 Secure Boot 憑證。 

如果你的裝置是由 Microsoft 管理，並且與 Microsoft 共享診斷資料，那麼 Microsoft 在大多數情況下會嘗試自動更新安全開機憑證。 雖然 Microsoft 會盡力更新安全開機，但有些情況下更新不保證會生效，需要客戶自行處理。 最終由客戶負責更新安全開機憑證。 

以下是一些 Microsoft 管理裝置與診斷資料共享後未被更新的情況： 

• Microsoft 安全開機更新僅適用於部分仍在支援的 Windows 版本。

• 你裝置上啟用的診斷資料可能被組織內的防火牆阻擋，無法傳達 Microsoft。

• 裝置的韌體可能有問題。

附註： 被「由 Microsoft 管理」是什麼意思？ 系統會共享診斷資料，並由 Microsoft Cloud 或 Intune 管理。 

如果您的裝置沒有與 Microsoft 共享診斷資料，且由貴組織的 IT 部門或客戶管理，IT 部門可依照 Microsoft 在 Windows 安全開機憑證到期及 CA 更新的指引來更新系統。

若電腦由 Microsoft 管理，安全開機憑證會透過 Windows Update 更新。  

如果電腦是由你的組織或商業 IT 管理員管理，IT 部門會根據 Windows 安全開機憑證到期及 CA 更新的指引來更新系統。 

Windows 10 支援將於 2025 年 10 月 14 日結束。 更多資訊請參閱 Windows 10 支援將於 2025 年 10 月 14 日結束。 

若要在此日期後繼續接收安全匯報，仍使用 Windows 10 的客戶可註冊： 

• Windows 10 ESU) 計畫匯報 (擴展安全，請參見 Windows 10 ESU) 計畫匯報 (延伸安全

• 或者如果你有支援的 Windows 10 LTSC 版本，它會持續獲得安全匯報，直到 LTSC 到期日。 例如，請參閱 ESU) 計畫匯報 (擴展安全性Windows 10

注意

• Windows 10 企業版 LTSC 可作為獨立 SKU 或 Windows Enterprise E3 訂閱的一部分購買。

• Windows IoT Enterprise LTSC 可直接向 OEM 購買，或透過供應商授權購買作為獨立 SKU。

裝置會繼續正常開機和運作。 然而，未來將不再接受 Windows 開機管理員更新或安全開機的安全修補，導致裝置安全性受到威脅。

安全開機憑證允許韌體驗證關鍵元件——如開機管理器、選項 ROM (韌體驅動程式) ，以及其他基於韌體的軟體——是否被信任且未被竄改。 Microsoft 使用這些憑證來簽署開機管理器及其他應被信任的元件，以及安全開機更新。 當舊憑證過期時，無法再用來簽署新的元件或更新。

關閉安全開機的裝置將不會在韌體中收到新的安全開機憑證。 因此，他們仍會受到開機層惡意軟體（如 bootkit）的侵害，因為安全啟動保護未被強制執行。 

對於符合資格的裝置——例如透過信心部署累積更新，或已註冊於 CFR) (受控功能推出並啟用診斷資料的裝置——Microsoft 將嘗試更新所有適用的憑證。 不過，這些更新只是輔助，並非保證。 IT 管理員仍需確保整個車隊持續更新，使用 Microsoft 的自動化 CFR 及其他文件化部署方法。

這些證書已納入2025年5月13日 (LCU) 及之後的累積更新中。 然而，這些措施並非自動適用，還需要額外步驟。 部署指引請參見 https://aka.ms/getsecureboot。

有兩種可能的路徑： 

• 如果電腦由 Microsoft 管理，且診斷資料共享且作業系統被支援，Microsoft 會嘗試更新。

• 若裝置由客戶管理或由 IT 管理員管理，IT 部門可在經驗證的電腦組上套用更新，這些電腦依據 Microsoft 指引，如 Windows 安全開機憑證到期及 CA 更新。

這些步驟預期能滿足大多數客戶的需求，無需原廠（OEM）進行韌體更新。 不過，有些情況下，因為裝置韌體已知或未知的問題，更新不會生效。 這種情況下，請遵循原廠（OEM）關於韌體更新的指引。 

附註： 上述流程透過作業系統套用安全開機的主動變數。 安全開機韌體的預設值會保留在由 OEM 發行的韌體中。 指引是除非 OEM 發布更新，將韌體預設改為新憑證，否則不要更改或更新安全開機設定。

 若憑證過期，安全啟動保護將被削弱。 若系統符合新作業系統（如 Windows 11）的需求，則可升級至較新的 Windows 11 作業系統版本。  

如果您的 Windows 10 LTSC 裝置未啟用安全開機，則這些裝置不會包含在新安全開機憑證的當前部署中。 當您開始升級到 Windows 11 LTSC 時，您需要遵循當時相關的特定遷移步驟，以確保新的 2023 憑證被納入其中。

只有支援的 Windows 作業系統版本才會獲得憑證。 

對於在虛擬環境中運行的 Windows，有兩種方法可以將新憑證加入安全開機韌體變數： 

• 虛擬環境的創建者 (AWS、Azure、Hyper-V、VMware 等 ) 可以提供環境更新，並將新憑證納入虛擬化韌體中。 這適用於新的虛擬化裝置。

• 對於長期在虛擬機中運行的 Windows，更新可以透過 Windows 套用，就像其他裝置一樣，前提是虛擬化韌體支援安全開機更新。

這些客戶/IT 管理環境通常缺乏足夠的診斷資料，讓 Microsoft 能夠自信且安全地推出新功能。 此外，IT 部門通常偏好完全掌控更新時程與內容，以確保合規性、穩定性及與內部工具與工作流程的相容性。 許多企業裝置也在敏感或受限環境中運作，這些環境下，外部存取或管理——根據《外交法規》暗示的——可能是不受歡迎或被禁止的。

如果 Windows 已經使用 2023 簽署的開機管理器，但韌體被重置為不包含 Windows UEFI CA 2023 憑證的預設值，安全開機會阻擋開機程序。 

要解決這個問題，你需要用復原應用程式重新套用 2023 年的憑證到韌體的資料庫。 這是透過建立一個復原 USB 來完成的，然後從該 USB 開機受影響的裝置來還原遺失的憑證。 

有關逐步說明，請參閱 Microsoft 官方的 Windows 安裝媒體更新指南。