Windows 安全開機憑證到期和 CA 更新

什麼是安全開機？

安全開機是整合可擴展固件介面 (UEFI) 型韌體中的安全性功能，可協助確保只有受信任的軟體會在裝置開機期間執行， (啟動) 順序。 它的運作方式是針對儲存在裝置韌體中的一組受信任數位證書 (也稱為證書頒發機構單位或 CA) ，驗證預啟動軟體的數位簽名。 UEFI 安全開機是業界標準，可定義平臺韌體如何管理憑證、驗證韌體，以及作系統如何 (作系统) 介面。 如需 UEFI 和安全開機的詳細資訊，請參閱 安全開機。

Windows 8 中首次推出安全開機，以防止出現的開機前惡意代碼 (也稱為開機) 威脅。 在平臺初始化中，安全開機會在執行前驗證韌體模組。 這些模組包含 UEFI 韌體驅動程式 (，例如 Option ROM) 、開機載入器和應用程式。 做為安全開機程式的最後一個步驟，韌體會驗證安全開機是否信任開機載入器。 然後，韌體會將控件傳遞至開機載入器，進而驗證、載入至記憶體，並啟動 Windows OS。

安全開機會透過製造期間設定的韌體原則定義信任的程序代碼。 此原則的變更，例如新增或撤銷憑證，是由按鍵階層控制。 此階層的開頭是平臺密鑰 (PK) ，通常由硬體製造商所擁有，後面接著 KEY 註冊密鑰 (KEK) (也稱為 Key Exchange Key) ，其中可能包含 Microsoft KEK 和其他 OEM KEK。 允許的簽章資料庫 (DB) 和不允許的簽章資料庫 (DBX) 決定在作系統啟動之前可以在 UEFI 環境中執行哪些程式代碼。 DB 包含由 Microsoft 和 OEM 管理的憑證，而 DBX 則由Microsoft最新撤銷更新。 任何具有 KEK 的實體都可以更新 DB 和 DBX。

Windows 安全開機憑證即將於 2026 年到期

由於 Windows 推出安全開機支援，所有 Windows 型裝置在 KEK 和 DB 中都套用了同一組Microsoft憑證。 這些原始憑證即將接近到期日，而您的裝置若有任何列出的憑證版本，則會受到影響。 若要繼續執行 Windows 並接收安全開機設定的定期更新，您必須更新這些憑證。

術語

• KEK： 金鑰註冊金鑰

• CA： 證書頒發機構單位

• 分貝： 安全開機簽章資料庫

• DBX： 安全開機已撤銷簽章資料庫

Microsoft已發行更新的憑證，以確保 Windows 裝置上安全開機保護的持續性。 Microsoft將在 Windows 裝置的很大一部分上管理這些新憑證的更新程式。 此外，我們會為管理自己裝置更新的組織提供詳細指導方針。

重要： 2011年 CAs 到期時，沒有新 2023 憑證的 Windows 裝置就無法再收到開機前元件的安全性修正，這會影響 Windows 開機安全性。

喚起行動

您可能需要採取動作，以確保您的 Windows 裝置在 2026 年憑證到期時保持安全。 UEFI 安全開機 DB 和 KEK 都需要以對應的新 2023 憑證版本更新。 如需新憑證的詳細資訊，請參閱 Windows 安全開機密鑰建立與管理指導方針。 

重要： 如果沒有更新，啟用安全開機的 Windows 裝置就有可能無法接收安全性更新或信任新的開機載入器，這會影響服務性和安全性。

您的動作會根據您擁有的 Windows 裝置類型而有所不同。 從左側功能表中選取您需要採取的裝置類型和特定動作。