6 月 9 日 "星期二补丁 "来袭，安全启动最后期限迫近

还有几天就是微软 6 月 9 日的 "星期二补丁 "了，它比任何例行的月度更新都更重要。这是 2011 年安全启动证书于 6 月 24 日到期前的最后一个结构化部署窗口，任何未打补丁的设备将从该日起处于降级的启动安全状态。

证书过期窗口为 6 月 24 日至 27 日。Microsoft Corporation KEK CA 2011 将于 6 月 24 日到期，Microsoft UEFI CA 2011 将于 6 月 27 日到期，Microsoft Windows Production PCA 2011 将于 10 月到期。在 6 月 24 日之前未收到 2023 年替换证书的设备不会停止工作，但它们将失去接收未来启动级安全保护的能力，包括 Windows 启动管理器更新、安全启动撤销列表和新的启动级安全保护修复。列表的更新，以及对新发现的引导链漏洞的修复。

为什么 6 月 9 日不是例行更新

自 2026 年 2 月以来，微软一直在通过累积更新推出 2023 年替代证书，其中包括 5 月 12 日补丁星期二进一步推进了这一部署。推迟 5 月份部署的组织现在面临着一个压缩的窗口。6 月 9 日与 6 月 24 日到期日之间的间隔为 15 天。对于管理大型设备群的企业团队来说，这并不是一个舒适的跑道。

安全分析师已经明确指出了这一压力。将 5 月份的部署推迟到 6 月份的决定使可用窗口减少了 60% 以上。任何认为 6 月 9 日能恢复正常部署时间表的组织都是错误的。6 月 9 日是错过 5 月份的团队的紧急分流。

6 月 9 日之前和之后应立即采取的措施

在 6 月 9 日之前，IT 管理员应运行以下PowerShell 命令以检查任何相关设备的证书状态：Get-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetControlSecureBootServicing" -Name UEFICA2023Status

操作系统驱动迁移的预期结果是 "已完成"。重要的是，"NotStarted "状态并不是自动失败；它通常表明设备已经安全，因为 OEM 通过最近的 BIOS 更新注入了 2023 证书。真正的红旗是 "Failed（失败）"状态或相邻 UEFICA2023Error 密钥中的十六进制代码。任何在 6 月 9 日部署后出现这些失败状态的情况都需要立即手动修复。

运行 Windows Server 2025 并带有特定 BitLocker 组策略配置的设备需要格外小心。启动到 BitLocker 恢复错误源于 2026 年 4 月的更新周期。5 月份的更新解决了 Windows 11 的问题，但 Windows Server 2025 的修复仍未完成，而且在某些配置中该行为不稳定。服务器 2025 环境应在 6 月 9 日更新在整个机群中推出之前完成测试部署。

预计 6 月 9 日的更新还将解决自 5 月 12 日发布以来发现的漏洞，包括在两个周期之间的几周内进入利用活跃期的漏洞。这些漏洞包括 Netlogon 漏洞 CVE-2026-41089已通过 5 月份的更新修补。任何尚未应用该修复程序的设备都应将 6 月 9 日视为双重优先部署日。

接下来是 10 月份的最后期限

完成 安全启动证书过渡在 6 月 24 日之前完成安全引导证书的过渡将关闭最紧急的窗口，但这并不是整个过程的终点。Microsoft Windows Production PCA 2011 证书用于签署 Windows 引导加载程序本身，将于 2026 年 10 月到期。这是三个过期证书中结构最重要的一个，也是对错过过期的设备具有最大长期启动完整性风险的一个。

6 月 9 日 "星期二补丁 "计划于太平洋标准时间上午 10:00 发布。