注意
- 原始出版日期: 2025年9月15日
- KB ID: 5068008
變更日誌
| 變更日期 | 變更說明 |
|---|---|
| 2026年2月23日 |
|
| 2026年2月9日 |
|
| 2026年2月3日 |
|
| 2026年1月12日 |
|
一般安全開機常見問題
問題一:如果我的裝置在舊憑證到期前沒有取得新的安全開機憑證,會發生什麼事?
安全開機憑證過期後,尚未收到新 2023 年憑證的裝置仍能正常啟動並運作,標準 Windows 更新也會繼續安裝。 然而,這些裝置將無法在早期開機過程中獲得新的安全防護,包括更新 Windows 開機管理員、安全開機資料庫、撤銷清單,或針對新發現的開機層級漏洞的緩解措施。
隨著時間推移,這限制了裝置對新興威脅的防護,並可能影響依賴安全啟動信任的情境,如 BitLocker 強化或第三方開機載入程式。 大多數 Windows 裝置會自動收到更新的憑證,許多 OEM 廠商也會在需要時提供韌體更新。 保持裝置隨時更新,有助於確保它能持續獲得安全開機設計中所設計的完整安全防護。
Q2:Secure Boot 憑證應該何時更新?
最好在 2026 年 6 月到期前就更新 Secure Boot 憑證。
如果你的裝置是由 Microsoft 管理,並且與 Microsoft 共享診斷資料,那麼 Microsoft 在大多數情況下會嘗試自動更新安全開機憑證。 雖然 Microsoft 會盡力更新安全啟動,但有些情況下更新不保證會生效,需要客戶自行處理。 最終由客戶負責更新安全啟動憑證。
Microsoft 管理裝置啟用診斷資料後可能無法收到更新的例子包括:
- Microsoft 安全開機更新僅適用於部分支援中的 Windows 版本。
- 你裝置上啟用的診斷資料可能被組織內的防火牆阻擋,無法傳達 Microsoft。
- 裝置韌體可能有問題。
註 被「由 Microsoft 管理」是什麼意思? 系統會共享診斷資料,並由 Microsoft Cloud 或 Intune 管理。
如果您的裝置沒有與 Microsoft 共享診斷資料,且由貴組織的 IT 部門或客戶管理,IT 部門可依照 Microsoft 在 Windows 安全開機憑證到期及 CA 更新的指引來更新系統。
Q3:Secure Boot 憑證是如何更新的?
若電腦由 Microsoft 管理,安全開機憑證會透過 Windows Update 更新。
如果電腦是由你的組織或商業 IT 管理員管理,IT 部門會根據 Windows 安全開機憑證到期及 CA 更新的指引來更新系統。
問4:2025年10月14日ESU) 延長安全更新後,Windows 10系統 (會發生什麼事?
Windows 10 支援將於 2025 年 10 月 14 日結束。 更多資訊請參閱 Windows 10 支援將於 2025 年 10 月 14 日結束。
若要在此日期後繼續接收安全匯報,仍使用 Windows 10 的客戶可註冊:
- Windows 10 ESU) 計畫匯報 (擴展安全,請參見 Windows 10 ESU) 計畫匯報 (延伸安全
- 或者如果你有支援的 Windows 10 LTSC 版本,它會持續獲得安全匯報,直到 LTSC 到期日。 例如,請參閱 ESU) 計畫匯報 (擴展安全性Windows 10
附註
- Windows 10 企業版 LTSC 可作為獨立 SKU 或 Windows Enterprise E3 訂閱的一部分購買。
- Windows IoT Enterprise LTSC 可直接向 OEM 購買,或透過供應商授權購買作為獨立 SKU。
Q5: 安全啟動憑證如何被使用?
安全開機憑證允許韌體驗證關鍵元件——如開機管理器、選項 ROM (韌體驅動程式) ,以及其他基於韌體的軟體——是否被信任且未被竄改。 Microsoft 使用這些憑證來簽署開機管理器及其他應被信任的元件,以及安全開機更新。 當舊憑證過期時,無法再用來簽署新的元件或更新。
Q6: 關閉安全開機的裝置會有什麼影響?
關閉安全開機的裝置將不會在韌體中收到新的安全開機憑證。 因此,他們仍會受到開機層惡意軟體(如 bootkit)的侵害,因為安全啟動保護未被強制執行。
Q7: Microsoft 會更新所有安全開機憑證,包括 KEK 和資料庫中的憑證嗎?
對於符合資格的裝置——例如透過信心部署累積更新,或已註冊於 CFR) (受控功能推出並啟用診斷資料的裝置——Microsoft 將嘗試更新所有適用的憑證。 不過,這些更新只是輔助,並非保證。 IT 管理員仍需確保整個車隊持續更新,使用 Microsoft 的自動化 CFR 及其他文件化部署方法。
Q8: 更新版的 2023 年安全啟動憑證何時出貨?
這些證書已納入2025年5月13日 (LCU) 及之後的累積更新中。 然而,這些措施並非自動適用,還需要額外步驟。 部署指引請參見 https://aka.ms/getsecureboot。
Q9:在套用安全開機憑證時,韌體更新和 Windows 更新有什麼不同?
它們有不同的用途。
韌體更新可以更新韌體中預設的安全開機變數。 這主要適用於後來將安全開機設定重設為預設值時,因為韌體預設決定了該情境下哪些憑證被還原。
Windows 會對正常開機時強制執行的有效安全開機變數進行變更。 這些主動變數是韌體用來驗證開機元件的,也是 Windows 未來提供安全開機保護所依賴的變數。
實務上,Windows 負責保持有效的安全開機設定為最新狀態。 韌體更新有助於確保預設值也會同步更新,降低未來安全開機被重置或重新初始化的風險。
管理員應確保有效的安全開機變數已更新,並監控部署狀態,無論是否有韌體更新。
客戶/IT 管理系統安全開機常見問題集
Q1:如何保留舊有客戶/IT 管理電腦在可能未收到 OEM 韌體更新的舊電腦上的安全開機功能?
有兩種可能的路徑:
- 如果電腦由 Microsoft 管理,且診斷資料共享且作業系統被支援,Microsoft 會嘗試更新。
- 若裝置由客戶管理或由 IT 管理員管理,IT 部門可在經驗證的電腦組上套用更新,這些電腦依據 Microsoft 指引,如 Windows 安全開機憑證到期及 CA 更新。
這些步驟預期能滿足大多數客戶的需求,無需原廠(OEM)進行韌體更新。 不過,有些情況下,因為裝置韌體已知或未知的問題,更新不會生效。 這種情況下,請遵循原廠(OEM)關於韌體更新的指引。
註 上述流程透過作業系統套用安全開機的主動變數。 安全開機韌體的預設值會保留在由 OEM 發行的韌體中。 指引是除非 OEM 發布更新,將韌體預設改為新憑證,否則不要更改或更新安全開機設定。
Q2:如果電腦的安全開機憑證過期,是否可能安裝新版本的 Windows?
若憑證過期,安全啟動保護將被削弱。 若系統符合新作業系統(如 Windows 11)的需求,則可升級至較新的 Windows 11 作業系統版本。
問三:在憑證到期日後,將未啟用安全開機的 Windows 10 LTSC 電腦升級為 Windows 11 LTSC 會發生什麼事?
如果您的 Windows 10 LTSC 裝置未啟用安全開機,則這些裝置不會包含在新安全開機憑證的當前部署中。 當您開始升級到 Windows 11 LTSC 時,必須遵循當時相關的特定遷移步驟,以確保新的 2023 憑證被納入其中。
Q4:不再支援的 Windows 版本會獲得更新的憑證嗎?
只有支援的 Windows 作業系統版本才會獲得憑證。
Q5:虛擬化環境如何與安全開機憑證更新相配合?
對於在虛擬環境中運行的 Windows,有兩種方法可以將新憑證加入安全開機韌體變數:
- 虛擬環境的創建者 (AWS、Azure、Hyper-V、VMware 等 ) 可以提供環境更新,並將新憑證納入虛擬化韌體中。 這適用於新的虛擬化裝置。
- 對於長期在虛擬機中運行的 Windows,更新可以透過 Windows 套用,就像其他裝置一樣,前提是虛擬化韌體支援安全開機更新。
Q6:為什麼Microsoft不能使用受控功能推出 (CFR) 部署到我的企業/IT 管理車隊,而這Microsoft管理系統中常見?
這些客戶/IT 管理環境通常缺乏足夠的診斷資料,讓 Microsoft 能夠自信且安全地推出新功能。 此外,IT 部門通常偏好完全掌控更新時程與內容,以確保合規性、穩定性及與內部工具與工作流程的相容性。 許多企業裝置也在敏感或受限環境中運作,這些環境下,外部存取或管理——根據《外交法規》暗示的——可能是不受歡迎或被禁止的。
Q7:在我把韌體重置到預設設定後,裝置停止開機——發生了什麼事?我該怎麼修復?
如果 Windows 已經使用 2023 簽署的開機管理器,但韌體被重置為不包含 Windows UEFI CA 2023 憑證的預設值,安全開機會阻擋開機程序。
要解決這個問題,你需要用復原應用程式重新套用 2023 年的憑證到韌體的資料庫。 這是透過建立一個復原 USB 來完成的,然後從該 USB 開機受影響的裝置來還原遺失的憑證。
有關逐步說明,請參閱 Microsoft 官方的 Windows 安裝媒體更新指南。
Q8:如果我裝置的安全開機憑證已經過期,我還能收到更新的憑證嗎?
是。 即使現有憑證已過期,包含新安全開機憑證的累積更新仍可套用。 若裝置能啟動 Windows 並安裝更新,則可依照已發布的部署指引將更新的憑證寫入韌體。 大多數裝置會自動收到這些更新,但有些系統可能需要額外的韌體更新。