當 Windows 裝置的安全開機憑證過期時
套用到
原始發佈日期: 2026年2月10日
KB ID: 5079373
安全開機有助於確保您的裝置開始使用可信賴的軟體。 Microsoft 於 2011 年核發的 Secure Boot 憑證將於 2026 年 6 月開始到期。 為了維持對新開機層威脅的防護,Microsoft 正在更新裝置,更新一套新的 2023 年憑證。 大多數裝置會自動收到這些更新,但有些系統可能需要額外的韌體更新。
如果證書過期會怎樣
如果你的裝置在沒有新憑證的情況下到期,仍然會正常啟動並運作。 Standard Windows 更新仍會繼續安裝。 然而,該裝置將無法再獲得新的安全保護以支援早期開機流程。 這包括更新 Windows 開機管理員、安全開機資料庫與撤銷清單,以及對開機鏈中新發現漏洞的修正。
隨著新威脅出現,處於過期狀態的裝置會逐漸降低防護。 依賴安全啟動信任 (的情境,如 BitLocker 強化、開機層程式碼完整性,或第三方開機載入程式與選項 ROM) ,若需要更新的安全啟動信任,也可能受到影響。
持續有效的方法
-
裝置繼續正常啟動。
-
Windows 更新會持續安裝,唯獨開機相關的安全元件需要更新憑證。
-
日常應用程式使用、網路、瀏覽以及大多數作業系統功能都保持不變。
什麼已經不再奏效
-
新的安全開機與開機管理員保護無法套用。
-
早期開機環境的漏洞修復,如 BitLocker 繞過緩解或安全開機撤銷,將不會提供。
-
部分依賴 Microsoft 安全開機信任的第三方元件,若需要更新憑證條目,可能會無法更新。
如何保持安全
大多數個人 Windows 裝置會透過 Microsoft 管理的更新自動接收新的安全開機憑證。 對於由組織管理的裝置,IT 管理員應遵循 Microsoft 的安全啟動憑證更新指引。 有些裝置可能需要 OEM 韌體更新才能正確套用新憑證。 對於任何裝置,不論是個人或組織管理,請聯絡你的原廠廠以了解所需的韌體更新,但請記住這些更新可能僅適用於仍在支援期內的裝置。 保持裝置更新,能確保它持續獲得安全開機設計中所設計的完整保護。
注意: 安全開機不應該被停用來繞過憑證過期。 停用安全開機大幅降低裝置防護,移除對開機層惡意軟體的防護措施,並可能帶來新的安全與合規風險。 建議的做法是確保你的裝置收到更新的 2023 年安全開機憑證以及任何必要的 OEM 韌體更新。