微软安全启动 AMA 2026 年 6 月凸显车队风险

最近，微软工程师在一次紧急问答会议上阐述了企业 IT 部门面临的严峻运营现实。自 Windows 8 推出以来，支撑 Windows 硬件信任链的核心加密密钥即将到期。消费类 PC 将自动过渡，而企业网络则面临严重的遥测盲点和主板软件状态碎片化问题。

硬件升级将用更新的证书取代老化的根密钥，从而在未来十年内保护系统固件。受影响的计算机将在年中到期后继续正常启动，而不会立即出错。错过这些截止日期仅仅意味着端点未来将无法访问关键的引导加载程序更新和阻止固件级威胁所需的安全撤销列表。

旧加密密钥触发严格的固件截止日期

即将到来的过渡在接下来的几个月中，将有三个明确的到期阶段。原始密钥交换证书将于 6 月 24 日首先退役，将数据库签名职责直接移交给现代基础设施。主要的第三方签名锚点将于 6 月 27 日到期，而本地 Windows 操作系统密钥将于 10 月中旬正式到期。

如果系统管理员要管理混合环境，就不能忽视这一时间表。如果不打补丁，企业端点仍然容易受到利用旧固件信任变量的复杂引导工具包的攻击。

Intune 遥测阻止自动端点暂存

目前，数百万台企业台式电脑在集中管理控制台中处于未验证状态。微软设计的部署策略是，在向物理主板写入新变量之前提取实时系统指标。如果旧主板标记出不一致的行为或运行传统的设置，自动安装就会暂停，以防止计算机完全瘫痪。

这种自动安全开关为 2019 年至 2023 年期间部署的硬件创建了大量备份。绕过基本硬件检查安装较新操作系统的系统会完全卡死。这些配置无法摄取自动密钥，迫使管理员逐行评估每台机器。

强制手动更新有可能造成广泛的加密循环

面临压力的机队管理人员可以使用自定义配置文件或本地注册表调整手动强制下发新密钥。五月份的累积更新提供了一个专用管理目录，其中包含用于检查机器就绪情况的验证脚本。在未更新核心系统 BIOS 的情况下尝试进行这些手动更改，会立即导致硬件不匹配错误。

绕过自动安全检查会给使用硬盘加密的网络带来更头疼的问题。重写活动信任密钥会改变与磁盘安全锁绑定的基准平台测量值。在未验证平台对齐的情况下强制重启，会让机器直接进入无休止的恢复屏幕。

系统管理员在向整个网络推送自动补丁脚本之前，必须验证本地固件基线。采取有条不紊的方法，才能防止安全更新演变成企业服务台的灾难。