安全启动(Secure Boot)是统一可扩展固件接口(UEFI)固件中的一项安全功能,有助于确保在设备启动序列期间仅运行受信任的软件,其工作原理是根据存储在设备固件中的一组受信任数字证书来验证预启动软件的数字签名。它的核心任务就是守门:确保设备在启动时,只加载经过硬件厂商数字签名、完全受信任的软件,在操作系统加载之前,就把试图篡改底层引导组件的恶意代码拒之门外。
为了实现这个目标,安全启动会依赖一系列加密密钥(也就是证书颁发机构 CA),来验证固件模块和引导加载程序(Bootloader)的合法性。这些证书共同构建起了一条严密的信任链,全方位保障着系统早期的启动安全。
自 Windows 引入安全启动支持以来,所有基于 Windows 的设备都在 KEK 和 DB 中携带同一组 Microsoft 安全启动证书。
安全启动证书与其他证书一样,都是有有效期的。2024 年之前生产的大多数电脑使用的是 Microsoft Corporation UEFI CA 2011 证书,该证书将于 2026 年 6 月过期。一旦过期,您的电脑将无法接收 Windows 启动管理器(Windows Boot Manager)的更新,使您的电脑容易受到新威胁的攻击。此外,您在使用带有新证书签名的最新硬件时也会遇到困难。
![图片[1]-Windows 安全启动(Secure Boot)证书即将过期及更新方式-十一张](https://www.11zhang.com/wp-content/uploads/2026/06/191d5cb26b20260613004532.webp)
因此,您需要更新至最新的 Windows UEFI CA 2023 证书。事实上,微软正在与 OEM 厂商合作,通过 Windows 更新激活这些证书。然而,您可能希望立即手动激活这些证书,原因如下:
●无法保证自动推送:微软不能保证在过期前会在您的特定电脑上激活证书。自动部署基于设备的重要性排序,您可能需要等待数月(甚至可能永远不会自动激活)。
●防范 BlackLotus 攻击:旧的 2011 证书易受 BlackLotus bootkit 攻击,该恶意软件可绕过安全启动。立即更新可即刻获得安全防护。
●更新策略控制:如果您的电脑禁用了 Windows 更新,或者您更喜欢自行管理更新,则需要手动更新证书。
●恢复驱动器兼容性:如果在证书更新后创建恢复驱动器,它可能无法工作。最好在您可控的时间安装证书,以便及时创建新的恢复驱动器。
虽然不安装最新证书不会导致您无法进入电脑,但这会削弱电脑的安全性,并使未来的硬件升级变得困难。
查看安全启动证书状态
如果你的 Windows 11 电脑是 2024 年之后购买的新机,通常出厂就已经预装了新版证书。但对于老旧硬件,微软正通过「Windows 更新」在后台静默推送证书迭代。如果你想做到心中有数,可以在「开始」菜单中找到 Windows PowerShell,然后“以管理员身份运行”运行以下命令查询证书状态:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'![图片[2]-Windows 安全启动(Secure Boot)证书即将过期及更新方式-十一张](https://www.11zhang.com/wp-content/uploads/2023/12/5b479ca65e20231216114459.webp)
![图片[3]-Windows 安全启动(Secure Boot)证书即将过期及更新方式-十一张](https://www.11zhang.com/wp-content/uploads/2026/06/723e42b98620260613004838.webp)
执行命令后,如果输出显示 True,说明你的设备已经成功安装了新版证书,无需进行任何操作。如果输出显示 False,则代表系统还在使用 2011 版旧证书,需要等待后续替换。
安装 2023 安全启动证书
Windows UEFI CA 2023 证书很可能已经存在于您的电脑中。微软实际上已通过 Windows 11 2024 年 2 月累积更新 将这些证书添加到所有电脑中,但并未激活它们。如果您的电脑在该更新之后至少更新过一次,请按照以下步骤部署并激活证书:
1.部署证书
再次以管理员身份运行 PowerShell 并执行以下命令:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /fPS:该命令将编辑注册表以部署 2023 证书,命令中的位掩码(Bitmask)0x5944 实际上运行了六条不同的指令,使您的电脑准备好安装 Windows UEFI CA 2023。
2.激活任务
为了执行上述命令生成的指令,您需要在 PowerShell 中运行以下命令:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"此命令将运行必要的任务,以便 Windows 在下次启动时安装证书(例如检查兼容性或将新证书从 WinSxS 文件夹移动到暂存区)。运行该命令时,您可能会注意到电脑稍有卡顿。
3.重启电脑
最重要的步骤是重启 Windows 两次。注意!您必须选择“重启”,而不是“关机”再开机。
![图片[4]-Windows 安全启动(Secure Boot)证书即将过期及更新方式-十一张](https://www.11zhang.com/wp-content/uploads/2026/06/8a5f006ffd20260613010837.webp)
如果您启用了“快速启动”,简单的关机不会清除内存,而这些更改需要清除内存才能生效。
完成以上步骤后,您的电脑现在将拥有最新的安全启动证书,其有效期将持续到 2038 年。
暂无评论内容