当前,微软正在更新安全启动证书,作为一次重大基础设施更新的一部分,新的 Windows UEFI CA 2023 和 Microsoft UEFI CA 2023 证书取代了旧证书,以维护安全启动信任链的完整性。证书更新支持要求最低版本必须在 2025 年 10 月 14 日或之后发布(Windows 11 24H2/23H2 KB5066835)。
今天十一张(www.11zhang.com)站长分享一个用于检测 Windows 系统 UEFI 安全启动(Secure Boot)CA 2023 证书更新状态的批处理脚本工具,该脚本主要用于排查微软为应对“黑莲花(BlackLotus)”恶意程序而推行的 Secure Boot 信任链更新情况,它会自动检查:
1、系统基础环境:确认 Windows 版本(如 Win11 24H2)和 UEFI Secure Boot 是否已开启
2、更新调度状态:查看注册表中 AvailableUpdates和 UEFICA2023Status的进度标识
3、启动文件签名:读取 bootmgfw.efi(Windows 引导文件)等核心文件是由旧的 PCA 2011还是新的 CA 2023签名
4、UEFI 证书库(db/dbx):扫描主板固件中是否已写入新的 Windows UEFI CA 2023证书
下载地址
https://pan.quark.cn/s/40a25a56ac5a
https://pan.baidu.com/s/1FS_apIN9n2YDWufxQ_43oA?pwd=1140
https://url57.ctfile.com/d/16898257-165222576-4136a2?p=1140
https://pan.xunlei.com/s/VOuzcFvkCs_LEsJGpnNCUzgZA1?pwd=wpmg
https://1811664795.share.123865.com/123pan/q7CRVv-vpa9d
检测结果分析
下图是一台已开启安全启动,但尚未完成新版证书更新,可以看到 UEFI CA 还是旧版的 2011 版。
![图片[1]-Windows 系统 UEFI 安全启动(Secure Boot)CA 2023 证书更新状态检测工具-十一张](https://www.11zhang.com/wp-content/uploads/2026/06/3b10e49dcf20260613133526.webp)
这里站长简要说明一下,这个终端输出界面中各个数据是什么意思:
①检查状态 ●AvailableUpdates:表示系统已调度的更新阶段
●UEFICA2023Status:表示更新流程的整体进度(未开始/进行中/已完成)
●WindowsUEFICA2023Capable:表示CA 2023证书是否已写入 UEFI 数据库,以及系统是否已使用新证书签名的启动管理器启动
②检查文件签名 检查bootmgfw.efi、bootmgr.efi、memtest.efi这三个文件是由哪个CA签名
③检查UEFI数据库 这里面有3个新版的2023的证书,和2个旧版的2011证书。其中revoked表示是否被吊销,False表示否,True表示是
绿色对钩 (✓):表示该证书已存在于"db白名单"中,即你的系统已经完全信任它;红色叉号 (x):则表示该证书缺失
我通过 Windows 系统的在线更新,将最新的补丁打上之后,可以看到 UEFI 数据都是最新的了,如下图。
![图片[2]-Windows 系统 UEFI 安全启动(Secure Boot)CA 2023 证书更新状态检测工具-十一张](https://www.11zhang.com/wp-content/uploads/2026/06/321532365620260613133929.webp)
![图片[3]-Windows 系统 UEFI 安全启动(Secure Boot)CA 2023 证书更新状态检测工具-十一张](https://www.11zhang.com/wp-content/uploads/2026/06/52a76f822520260613133930.webp)
我们可以注意到,现在还是有两个 2011 年的旧版证书,也是绿色对钩,括号内注释(是否吊销:否)。有小伙伴可能会有疑问,不是说微软将旧证书拉黑了吗?这并非异常,而是为了兼容旧硬件和软件,微软采取的新旧共存过渡策略。这些旧证书还没有被加入dbx黑名单。只有当某个证书开始在dbx中出现时,才意味着它正式被系统“拉黑”了。
暂无评论内容