套用到
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

原始發佈日期:2025年6月26日

KB ID:5062713

本文提供以下指引:

企業、小型企業及教育 (IT 管理的 Windows 裝置與更新) 。

注意:如果您是擁有個人 Windows 裝置的個人,請參考「Windows 裝置適合家庭使用者、企業及學校,並搭配 Microsoft 管理的更新」。

變更日期

變更說明

2026年5月5日

2026年3月30日

  • 已解決已知問題:「在 Hyper-V 虛擬機上,安全開機憑證更新可能因事件 ID 1795 而失敗

2026年3月24日

  • 更新了已知問題,「在 Hyper-V 虛擬機上,安全開機憑證更新可能因事件 ID 1795 而失敗

2026年3月16日

  • 已移除「Sample Confidence data」部分,因為「Sample Secure Boot Inventory Data Collection script」已過時。

2026年3月3日

  • 在「準備」區塊重新格式化樣本輸出,讓它保持在盒子裡。

2026年2月24日

  • 更新了「Sample Secure Booty Data Collection script」的內容,位於「準備」區塊。 

  • 在「準備」區塊新增了一個「樣本輸出」區塊。

2026年2月23日

  • 更新了「Sample Secure Booty Data Collection script」的內容,位於「準備」區塊。

2026年2月13日

  • 已將「樣本信心數據」項目加入「準備」部分。 

  • 已移除「1801年及1808年待定事件的募款腳本」,因為已不再需要。 

2026年2月3日

  • 已移動並重新格式化故障排除區塊中的常見問題。

  • 新增了一個常見問題:「在 Hyper-V 虛擬機上,安全開機憑證更新可能因事件 ID 1795 而失敗」。

2026年1月26日

  • 已將「自動部署協助」下的文字從「兩個輔助都需要診斷資料」更新為「只有受控功能推出協助需要診斷資料

2025年11月11日

已修正「安全開機憑證部署支援」下的兩個打字錯誤。

  • 0x0800 - 憑證名稱由「Microsoft UEFI CA 2023」改為「Microsoft Option ROM UEFI CA 2023」。​​​​​​​

  • 0x1000 - 將「Microsoft選項ROM CA 2023」改為「Microsoft UEFI CA 2023」。

2025年11月10日

  • 修正了「New Certificate」下的兩個打字錯誤:「Microsoft Corporation KEK CA 2023」改為「Microsoft Corporation KEK 2K CA 2023」,以及從「Microsoft Option ROM CA 2023」改為「Microsoft Option ROM UEFI CA 2023」。

  • 新增了 PowerShell 腳本,標示為「驗證您的車隊安全開機狀態:安全啟動是否啟用?」和「準備中」。

本文內容:

概觀

本文針對擁有專責 IT 專業人員、積極管理整個裝置群更新的組織。 本文大部分內容將聚焦於組織 IT 部門成功部署新安全啟動憑證所需的活動。 這些活動包括韌體測試、監控裝置更新、啟動部署,以及在問題出現時診斷。 介紹多種部署與監控方法。 除了這些核心活動外,我們還提供多項部署輔助服務,包括讓用戶端裝置選擇參與 CFR) 受控功能推廣,專為憑證部署 (選項。

IT 專業人士的部署手本 

透過準備、監控、部署及修復,規劃並執行整個裝置群的安全開機憑證更新。

驗證您的車隊安全開機狀態:安全開機是否啟用? 

自 2012 年起製造的大多數裝置都支援安全開機,且出廠時已啟用安全開機。 要確認裝置是否啟用安全開機,請執行以下其中一項: 

  • 圖形介面方法: 前往開始 > 設定 > 隱私 & 安全 > Windows 安全性> 裝置安全。 在裝置安全中,安全開機區塊應該會顯示安全開機已開啟。

  • 命令列方法: 在 PowerShell 的升降命令提示字元,輸入 Confirm-SecureBootUEFI,然後按下 Enter。 指令應該會回傳 True,表示安全開機已開啟。

在大規模部署一組設備時,IT 專業人員使用的管理軟體需要檢查安全啟動啟用。 

例如,檢查 Microsoft Intune 管理裝置安全開機狀態的方法是建立並部署 Intune 自訂合規腳本。 Intune 合規設定詳見「使用 Linux 與 Windows 裝置搭配 Microsoft Intune 的自訂合規設定」。  

檢查安全啟動是否啟用的 Powershell 腳本範例:  

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

如果沒有啟用安全開機,你可以跳過以下更新步驟,因為它們不適用。

更新的部署方式

有多種方式可以針對裝置進行安全開機憑證更新。 部署細節,包括設定與事件,將於本文後面討論。 當你鎖定裝置進行更新時,會設定該裝置開始套用新憑證的流程。 裝置每 12 小時會執行一個排程任務,並偵測該裝置已被鎖定為更新目標。 任務的概要如下:

  1. Windows UEFI CA 2023 被套用到資料庫。

  2. 若裝置資料庫中有 Microsoft Corporation UEFI CA 2011,則任務會套用 Microsoft Option ROM UEFI CA 2023Microsoft UEFI CA 2023 於資料庫。

  3. 接著,這項任務還會加入 Microsoft Corporation KEK 2K CA 2023

  4. 最後,排程任務會將 Windows 開機管理員更新為由 Windows UEFI CA 2023 簽署的版本。 Windows 會偵測到需要重新啟動,才能套用開機管理器。 開機管理器的更新會被延遲,直到重新啟動自然發生,例如) 月度更新 (,然後 Windows 才會再次嘗試套用開機管理器更新。

上述每一個步驟都必須成功完成,排程任務才會進入下一步驟。 在此過程中,將提供事件日誌及其他狀態,以協助監控部署。 以下提供更多關於監測與事件記錄的細節。  

更新安全開機憑證可讓未來更新 2023 開機管理器更安全。 Boot Manager 的具體更新將在未來版本中推出。

部署步驟 

  • 準備:盤點與測試裝置。

  • 韌體考量

  • 監控:確認監控功能並為您的車隊建立基準。

  • 部署:針對裝置進行更新,從小部分子集開始,並根據成功測試逐步擴展。

  • 修復:利用日誌和廠商支援調查並解決任何問題。

準備 

庫存硬體和韌體。 根據系統製造商、系統型號、BIOS 版本/日期、基板產品版本等,建立具代表性的裝置範例,並在廣泛部署前測試這些裝置的更新。  這些參數常見於系統資訊 (MSINFO32) 中。 使用附帶的範例 PowerShell 指令來檢查安全開機更新狀態,並盤點組織內的裝置。

附註: 

  • 這些指令會在啟用安全開機狀態時生效。

  • 許多指令需要管理員權限才能運作。

安全啟動庫存資料收集腳本範例

複製貼上此範例腳本,並依照您的環境進行修改:Sample Secure Boot Inventory Data Collection 腳本

範例輸出:

{“UEFICA2023Status”:“已更新”,“UEFICA2023Error”:null,“UEFICA2023ErrorEvent”:null, “AvailableUpdates”:“0x0”,“AvailableUpdatesPolicy”:null,“Hostname”:“LAPTOP-FEDU3LOS”, “CollectionTime”:“2026-02-23T08:40:36.5498322-08:00”,“SecureBootEnabled”:true, “HighConfidenceOptOut”:null,“MicrosoftUpdateManagedOptIn”:null,“OEMManufacturerName”: “Microsoft Corporation”,“OEMModelSystemFamily”:“Surface”,“OEMModelNumber”: 「Surface Laptop 4」,「韌體版本:32.101.143」,「韌體發行日期」:2025/11/03, “OSArchitecture”:“AMD64”,“CanAttemptUpdateAfter”:2026-02-20T16:11:15.58900000Z“,”LatestEventId“: 1808,「BucketId」:「04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f」, 「信心」:更新類型:Windows UEFI CA 2023 (DB) ,選項 ROM CA 2023 (DB) , 3P UEFI CA 2023 (DB) 、KEK 2023、啟動管理器 (2023) “,”SkipReasonKnownIssue“:null, “Event1801Count”:0,“Event1808Count”:5,“Event1795Count”:0,“Event1795ErrorCode”:null, “Event1796Count”:0,“Event1796ErrorCode”:null,“Event1800Count”:0,“RebootPending”:false, “Event1802Count”:0,“KnownIssueId”:null,“Event1803Count”:0,“MissingKEK”:false,“OSVersion”: “10.0.26200”,“LastBootTime”:“2026-02-19T04:28:00.500000-08:00”,“BaseBoard Manufacturer”: “Microsoft Corporation”,“BaseBoardProduct”:Surface Laptop 4“,”SecureBootTaskEnabled“:true, “SecureBootTaskStatus”:“Ready”,“WinCSKeyApplied”:true,“WinCSKeyStatus”:“Applied”}

安全靴信心等級

信心水準

意義

需要採取行動

高自信

Microsoft 已驗證此裝置類別是安全的更新

安全部署憑證更新

觀察中-需要更多資料

Microsoft 仍在蒐集這些裝置的安全啟動部署診斷資料

等待 Microsoft 分類

未觀察到資料 - 需要採取行動

裝置類別 Microsoft 並不知情

企業必須測試並規劃部署

暫時中止

已知的相容性問題

檢查原廠 BIOS 更新;等 Microsoft 解決

不支援 - 已知限制

平台或硬體限制

文件作為例外

啟用安全啟動後,第一步是檢查是否有近期已更新或正在更新安全啟動憑證的待處理事件。 特別值得關注的是1801年和1808年發生的最近事件。 這些事件在安全開機資料庫與 DBX 變數更新事件中有詳細描述。 請也查看監控與部署區塊,了解事件如何顯示待更新狀態。  

下一步是盤點整個組織的裝置。 請用 PowerShell 指令收集以下細節,建立具代表性的範例: 

基本識別碼 (兩個值)

      1. 主機名稱 - $env:COMPUTERNAME 

      2. 收集時間 - Get-Date 

登錄檔:安全開機主金鑰 (3 個值)  

     3. SecureBootEnabled - Confirm-SecureBootUEFI 指令碼或 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     4. HighConfidenceOptOut - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. 可用更新 - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

登錄:服務金鑰 (3 個值)  

     6. UEFICA2023 狀態 -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023Capable - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Error - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

登錄檔:裝置屬性 (7個值)  

      9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. 韌體版本 - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. 韌體發行日期 - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14. OSArcitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

事件日誌:系統日誌 (5 個值)  

     16. LatestEventId - 最近的安全啟動事件 

     17. BucketID - 摘自事件1801/1808 

     18. 信心 - 摘自1801/1808年事件 

     19. 事件1801伯爵 - 事件統計 

     20. Event1808Count - 事件計數 

WMI/CIM 查詢 (4 個值)  

     21. OSVersion - Get-CimInstance Win32_OperatingSystem 

     22. 最後開機時間 - Get-CimInstance Win32_OperatingSystem 

     23. 踢腳板製造商 - Get-CimInstance Win32_BaseBoard 

     24. BaseBoardProduct - Get-CimInstance Win32_BaseBoard 

     25. (獲得CIMInstance Win32_ComputerSystem) 。製造商  

     26. (獲得CIMInstance Win32_ComputerSystem) 。模型  

    27. (獲得CIM Win32_BIOS) 。描述 + “, ” + (Get-CIMInstance Win32_BIOS) .ReleaseDate.ToString (「MM/dd/yyyy」)   

    28. (獲得CIMInstance Win32_BaseBoard) 。產品  

韌體考量

部署新的安全開機憑證到您的裝置群時,必須讓裝置韌體在完成更新時扮演角色。 雖然 Microsoft 預期大多數裝置韌體都能正常運作,但在部署新憑證前仍需謹慎測試。

檢視你的硬體庫存,並根據以下獨特標準建立一個小型且具代表性的裝置樣本,例如: 

  • 製造商

  • 型號

  • 韌體版本

  • 原廠底板版本等等。

在廣泛部署至車隊中的裝置前,我們建議您先測試代表性範例裝置的憑證更新, (依製造商、型號、韌體版本) 等因素定義,以確保更新能順利處理。 建議針對每個獨特類別測試的樣本裝置數量為4個或以上。

這將有助於建立部署過程的信心,並避免對整體機隊造成意外影響。 

在某些情況下,可能需要韌體更新才能成功更新安全開機憑證。 在這種情況下,我們建議你向你的裝置原廠確認是否有更新的韌體可用。

虛擬化環境中的視窗

對於在虛擬環境中運行的 Windows,有兩種方法可以將新憑證加入安全開機韌體變數:  

  • 虛擬環境的創建者 (AWS、Azure、Hyper-V、VMware 等 ) 可以提供環境更新,並將新憑證納入虛擬化韌體中。 這適用於新的虛擬化裝置。

  • 對於長期在虛擬機中運行的 Windows,更新可以透過 Windows 套用,就像其他裝置一樣,前提是虛擬化韌體支援安全開機更新。

監控與部署 

我們建議您在部署前就開始設備監控,以確保監控運作正常,並事先掌握車隊狀況。 以下將討論監測選項。 

Microsoft 提供多種部署與監控安全開機憑證更新的方法。

自動部署輔助 

Microsoft 提供兩項部署協助。 這些協助有助於將新證書部署到您的車隊。 只有受控功能推出輔助需要診斷資料。

  • 可選擇累積更新,並設定信心桶: Microsoft 可能會自動在每月更新中包含高信心裝置群組,基於迄今分享的診斷資料,以惠及無法共享診斷資料的系統與組織。 此步驟不需要啟用診斷資料。

    • 對於能共享診斷資料的組織與系統而言,這讓 Microsoft 能有可視性與信心,確保裝置能成功部署憑證。 關於啟用診斷資料的更多資訊,請參閱: 在您的組織中配置 Windows 診斷資料。 我們為每個獨特裝置建立「桶」, (依據屬性定義,包括製造商、主機板版本、韌體製造商、韌體版本及額外資料點) 。 針對每個桶,我們會監控多個裝置的成功證據。 一旦我們看到足夠多的成功更新且無失敗,我們會將該分類視為「高信心」,並將該數據納入每月累積更新中。 當高信心分類的裝置被套用每月更新時,Windows 會自動將憑證套用到韌體中的 UEFI 安全開機變數。

    • 高信心桶包含正在正確處理更新的裝置。 當然,並非所有裝置都能提供診斷資料,這可能會限制 Microsoft 對裝置正確處理更新能力的信心。

    • 此輔助預設為高信心裝置啟用,並可依裝置設定關閉。 更多資訊將於未來的 Windows 版本中分享。

  • 受控功能推出 (CFR) :  若啟用診斷資料,請選擇裝置加入 Microsoft 管理部署。

    • 受控功能推出 (CFR) 可用於組織車隊中的用戶端裝置。 這需要裝置將所需的診斷資料傳送給 Microsoft,並已表示該裝置選擇允許裝置使用 CFR。 關於如何選擇加入的詳細資訊如下。

    • Microsoft 將管理這些新憑證在 Windows 裝置上的更新流程,這些憑證在有診斷資料且設備參與 CFR) 受控功能推廣 (的裝置上。 雖然 CFR 可能協助部署新憑證,但組織無法依賴 CFR 來修復其車隊問題——這需要依照本文件中「部署方法」部分所列步驟,這些方法 未被自動化協助涵蓋

    • 限制: CFR 可能在你的環境中無法運作,有幾個原因。 例如:

      • 目前沒有診斷資料可用,或該診斷資料無法作為 CFR 部署的一部分使用。

      • 裝置未使用支援的客戶端版本Windows 11,且Windows 10 ESU) (擴充安全更新。

自動協助未涵蓋的部署方法

選擇適合你環境的方法。 避免在同一裝置上混合方法: 

  • 登錄檔金鑰:控制部署並監控結果。有多個登錄鍵可用來控制憑證部署的行為並監控結果。 此外,選擇加入或退出上述部署輔助工具有兩個關鍵。 欲了解更多登錄檔金鑰的資訊,請參閱《安全開機登錄金鑰匯報——帶有 IT 管理更新的 Windows 裝置

  • 群組原則 (GPO) 物件:管理設定;透過登錄檔與事件日誌監控。Microsoft 將在未來更新中提供支援,協助管理安全開機更新,使用群組原則。 請注意,由於群組原則是用於設定,監控裝置狀態需要使用其他方法,包括監控登錄檔金鑰和事件日誌條目。

  • WinCS (Windows 組態系統) CLI:使用命令列工具處理已加入網域的用戶端。網域管理員也可以利用 Windows 作業系統更新中包含的 Windows 組態系統 (WinCS) ,在已加入網域的 Windows 用戶端與伺服器間部署安全開機更新。 它由一系列命令列工具組成, (傳統執行檔與 PowerShell 模組,) 用來查詢並套用安全開機設定到機器本地。 欲了解更多資訊,請參閱以下文章:

  • Microsoft Intune/Configuration Manager: 部署 PowerShell 腳本。 未來更新中將提供組態服務提供者 (CSP) ,以允許使用 Intune 部署。

監控事件日誌

目前提供兩個新事件以協助部署安全啟動憑證更新。 這些事件在安全啟動資料庫(Secure Boot DB)與 DBX 變數更新事件中有詳細描述: 

  • 事件編號:1801 此事件為錯誤事件,表示更新後的憑證尚未套用於裝置。 此事件提供裝置特定細節,包括裝置屬性,有助於判斷哪些裝置仍需更新。

  • 事件編號:1808 此事件為資訊事件,表示裝置韌體已套用所需的新安全開機憑證。

部署策略 

為了降低風險,建議分階段部署安全啟動更新,而非一次全部部署。 從一小部分裝置開始,驗證結果,然後擴展到更多群組。 我們建議你先從裝置子集開始,隨著對這些部署有信心,再增加更多裝置子集。 可考慮多種因素來決定子集包含哪些內容,包括樣本裝置的測試結果及組織結構等。 

選擇部署哪些裝置由你決定。 以下列出一些可能的策略。 

  • 大型設備群: 首先依靠上述輔助工具,針對你管理的常用設備。 同時,專注於貴組織管理的較少見裝置。 測試小型樣本裝置,若測試成功,則部署至同類型其他裝置。 若測試產生問題,請調查問題原因並決定補救步驟。 你也可以考慮在車隊中價值較高的裝置類別,並開始測試與部署,確保這些裝置及早具備更新的防護措施。

  • 小型車隊,種類繁多: 如果你管理的車隊中有大量機器,單機測試會變得困難,建議大量依賴上述兩種輔助工具,尤其是對於市場上可能很常見的設備。 一開始專注於對日常運作至關重要的裝置,測試並部署。 繼續往高優先度裝置清單向下推進,測試與部署,同時監控車隊,確認輔助是否能協助其他設備。

注意事項 

  • 注意舊款裝置,尤其是製造商已不再支援的裝置。 雖然韌體應該能正確執行更新操作,但有些韌體可能不會。 若韌體無法正常運作,且裝置不再支援,請考慮更換裝置以確保整個車隊的安全開機保護。

  • 過去 1-2 年內製造的新裝置可能已經有更新的憑證,但系統可能沒有套用 Windows UEFI CA 2023 簽署的開機管理器。 套用此開機管理器是每個裝置部署中關鍵的最後一步。

  • 一旦裝置被選定進行更新,更新完成可能需要一段時間。 估計需要48小時,並需重新開始一次或多次,證書才會生效。

常見問題集 (FAQ)

常見問題請參見 安全開機常見問題 文章。

疑難排解

更多細節請參閱故障排除文件。

其他資源

提示: 請將這些額外資源加入書籤。

Facebook LinkedIn 電子郵件
訂閱 RSS 摘要

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心