當 Windows 裝置的安全開機憑證過期時

如果證書過期會怎樣

如果你的裝置在沒有新憑證的情況下到期，仍然會正常啟動並運作。 Standard Windows 更新仍會繼續安裝。 然而，該裝置將無法再獲得新的安全保護以支援早期開機流程。 這包括更新 Windows 開機管理員、安全開機資料庫與撤銷清單，以及對開機鏈中新發現漏洞的修正。

隨著新威脅出現，處於過期狀態的裝置會逐漸降低防護。 依賴安全啟動信任 (的情境，如 BitLocker 強化、開機層程式碼完整性，或第三方開機載入程式與選項 ROM) ，若需要更新的安全啟動信任，也可能受到影響。

持續有效的方法

• 裝置繼續正常啟動。

• Windows 更新會持續安裝，唯獨開機相關的安全元件需要更新憑證。

• 日常應用程式使用、網路、瀏覽以及大多數作業系統功能都保持不變。

什麼已經不再奏效

• 新的安全開機與開機管理員保護無法套用。

• 早期開機環境的漏洞修復，如 BitLocker 繞過緩解或安全開機撤銷，將不會提供。

• 部分依賴 Microsoft 安全開機信任的第三方元件，若需要更新憑證條目，可能會無法更新。

如何保持安全

大多數個人 Windows 裝置會透過 Microsoft 管理的更新自動接收新的安全開機憑證。 對於由組織管理的裝置，IT 管理員應遵循 Microsoft 的安全啟動憑證更新指引。 有些裝置可能需要 OEM 韌體更新才能正確套用新憑證。 對於任何裝置，不論是個人或組織管理，請聯絡你的原廠廠以了解所需的韌體更新，但請記住這些更新可能僅適用於仍在支援期內的裝置。 保持裝置更新，能確保它持續獲得安全開機設計中所設計的完整保護。

注意： 安全開機不應該被停用來繞過憑證過期。 停用安全開機大幅降低裝置防護，移除對開機層惡意軟體的防護措施，並可能帶來新的安全與合規風險。 建議的做法是確保你的裝置收到更新的 2023 年安全開機憑證以及任何必要的 OEM 韌體更新。