Windows 安全启动 2026：微软就过期证书发出最后警告

微软已经开始推出替代安全启动证书链，一旦 2011 年的原始证书于 2026 年 6 月到期，Windows 将需要这些证书链。Notebookcheck 最近报道了微软的警告以及在最近的累积更新中出现的早期推出信号，但下一阶段与 Windows 的关系不大，更多的是固件的准备情况。

如果你的 PC 的 UEFI 固件没有准备好接受和保留新的 2023 证书，Windows Update 可以尝试移交，但仍会让设备陷入微软所描述的降级安全状态，在这种状态下，未来与启动相关的安全更新可能无法顺利应用。

什么证书会过期？

微软长期使用的安全启动信任锚点从 2011 年开始于 2026 年 6 月底到期，2026 年晚些时候还会有更多的信任锚点到期。戴尔的明细表是最清晰的公开时间表之一，列出了 2011 年第一个证书到期日为 2026 年 6 月 24 日（微软公司 KEK CA 2011），随后是 2026 年 6 月 27 日（微软公司 UEFI CA 2011)，以及另一个将于 2026 年 10 月 19 日到期的密钥证书（Microsoft Windows Production PCA 2011）。

实际上，多家供应商的底线是一致的：系统有望继续启动，但不过渡到 2023 年证书链的设备可能会失去接收未来引导加载器和安全启动更新的能力，这就是 "安全性下降 "措辞的由来。

微软方面Windows 可以提供新的信任链，但前提是固件必须配合

受支持的 Windows 版本中已经包含了关键的技术手段。微软的 KB5036210 指出在 2024 年 2 月 13 日及之后发布的 Windows 更新包括将 Windows UEFI CA 2023 证书应用到 UEFI 安全引导允许签名数据库 (db) 的功能，更新 db 是通过月度更新接收未来引导加载器更新的必要条件。

微软还表示，"大多数个人 Windows 设备 "应通过微软管理的更新自动接收新证书，但明确警告说，某些设备可能需要 OEM 固件更新才能正确应用新证书。

OEM 的作用：活动密钥与默认密钥，以及为什么重置会影响你的使用

这就是厂商固件政策比大多数家庭用户意识到的更重要的地方。戴尔的安全启动过渡常见问题区分了主动安全启动数据库（系统在启动时实际执行的，Windows Update 通常会修改）和默认安全启动数据库（出厂重置设置，通常通过 BIOS 闪存更新）。戴尔还警告说，如果没有适当更新默认数据库，某些固件操作（如切换 "专家密钥模式"）可能会删除来自 Windows Update 的活动变量。

戴尔的同一份文件还描述了 "双证书策略"，称戴尔从 2024 年底开始在新推出的平台上同时提供 2011 年和 2023 年证书，并在 2025 年底之前将这种方法推广到从工厂出货的持续平台上。

联想自己的商用 PC 指南同样将修复方法定义为 BIOS 更新，将 2023 证书添加到默认的安全启动变量中，有时还需要额外的步骤来激活尚未预先配置的系统上的 2023 变量。它还指出，BitLocker 恢复可能会产生副作用，因此在固件更改之前备份恢复密钥仍是一种良好的做法。

惠普的咨询同样表示，它一直在与微软合作，为支持安全引导的惠普产品准备新的证书。并警告说，证书过期会导致系统无法接收安全启动和 Windows 启动管理器相关的安全更新，从而增加受 Bootkit 式威胁的风险。

DIY 和游戏主板问题：有时必须自己 "安装默认密钥

华硕是为数不多的面向消费者的厂商之一，它发布了高度程序化、分步骤的过渡指南，包括如何确认固件中是否存在新的 2023 条目，以及如果不存在该怎么办。

在其支持常见问题中中，华硕介绍了如何通过 UEFI 安全启动密钥管理进行导航，并验证 KEK 是否包含 "Microsoft Corporation KEK 2K CA 2023"，以及 db 是否包含 "Windows UEFI CA 2023"（以及其他 2023 时代的 Microsoft 条目）。它还记录了更新 BIOS 后的补救步骤，如 "安装默认安全启动密钥 "或 "恢复出厂密钥"，这将有效地从固件的默认存储中重新填充密钥数据库。

这往往是对 DIY 系统打击最大的漏洞：Windows 可以提供更新，但在新密钥完全存在和激活之前，主板固件仍然需要手动干预。

如何使用微软官方信号检查准备就绪情况

对于 IT 管理机群，微软的安全启动手册概述了可以监控的具体指标。

微软表示，可以通过审核 Windows 系统事件日志中的事件 ID 1808 条目来确认部署是否成功，而应用更新证书失败则与事件 ID 1801 有关。同一游戏手册还引用了UEFICA2023Status注册表键值，该键值最终应为 "已更新"，并指出 UEFICA2023Error 键值不应存在，除非有错误待处理。

该手册还明确建议，如果您的组织已经发现问题，或者您的 OEM 建议进行 BIOS 更新，则在进行与安全引导相关的 Windows 更新之前应用 OEM 固件更新。

Windows 10 "僵尸 "边缘情况依然存在

最后，证书刷新是 Windows 10 坚守者的另一个压力点。微软自己的支持文档指出，Windows 10 支持于 2025 年 10 月 14 日结束，微软将 Windows 10 扩展安全更新（ESU）定位为在该日期之后继续接收安全更新的付费途径。

微软的安全引导指南还重申，使用不支持的 Windows 版本的设备不会收到 Windows 更新，这就是为什么安全引导切换实际上与保持在受支持的服务路径（或适用于 Windows 10 的 ESU）上相关联。