您最近可能看到过这样的新闻:“微软警告 Windows 用户有关紧急安全启动证书更新”。但这到底是怎么回事?事实证明,如果您有一台相对较旧的电脑并且尚未更新其固件,那么现在可能是开始的时候了。 Microsoft 最初的 2011 年 Windows 安全启动证书正在慢慢过时,第一个证书将于 2026 年 6 月下旬到期。以下是如何检查您的电脑的状态以及在需要更新时该怎么做。
什么是安全启动证书,为什么它很重要?
安全启动是 UEFI 中内置的固件级安全功能,是传统 BIOS 的现代替代品。它的工作是确保在启动期间(甚至在 Windows 加载之前)只允许运行受信任的数字签名软件。当传统防病毒工具未运行时,这可以尽早阻止试图劫持 PC 的恶意软件。
为了确定恶意软件,安全启动依赖于一组证书颁发机构 (CA)。与任何数字证书一样,它们也有有效期。 Microsoft 于 2011 年发布了最初的套件,经过 15 年多的使用,它们已经达到了计划生命周期的终点。 Microsoft Corporation KEK CA 2011 和 Microsoft Corporation UEFI CA 2011 均将于 2026 年 6 月 24 日至 27 日到期,Windows Production PCA 2011 将于 2026 年 10 月到期。
值得注意的是,替换的 2023 证书已安装在较新的设备上,并已自动推出,有效期至 2053 年,因此您不必担心 Windows 安全启动证书长时间过期。
大多数电脑实际上可以使用旧证书。如果未安装新的证书链,它们可能不会收到更新,这可能会导致缺乏最新的固件。这可能会导致一些安全问题,或者导致您的 BitLocker 反复询问您是否已设置密码。
选项 1 – 检查 Windows 安全应用程序
这是最简单的方法,也是大多数人应该开始的方法。
步骤1。打开“开始”并搜索“Windows 安全”,然后将其打开。
步骤2。从左侧菜单转到“设备安全”。
步骤 3.查找“安全启动”条目并检查徽章颜色和随附消息。
如果您有更新的软件,您应该会在此处看到一些徽章。每个的含义如下:
- 绿色:安全启动已开启,并且已应用所有必需的证书更新。无需采取任何行动。
- 黄色:您的设备仍在运行旧证书,更新预计将通过 Windows 更新到达。这也可能意味着更新被硬件或固件限制阻止。
- 红色:无法将安全更新传送到您设备的当前配置,需要立即引起注意。
选项 2 – 使用 PowerShell 检查
如果 Windows 安全应用程序在您的设备上没有证书状态,PowerShell 会直接给您答案。
步骤1。打开“开始”,搜索 PowerShell,然后选择“以管理员身份运行”。也可以通过右键单击“开始”按钮并选择“终端(管理员)”来实现此操作。
步骤2。粘贴以下命令并按“Enter”。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’
步骤 3.查看结果:“True”表示已安装2023年证书(有效期至2053年)。 “False”表示您仍在使用将于 2026 年 6 月开始到期的原始证书运行。

选项 3 – 检查事件查看器
如果前两个选项没有产生结果,事件查看器可以向您显示设备在部署过程中所处的位置。
步骤1。打开“开始”,然后转到“EventViewer”。
步骤2。转到“Windows 日志”,然后转到“系统”。
步骤 3.在右侧窗格中,单击“过滤当前日志”。

步骤 4。单击“事件源”下拉列表,输入字母“T”,然后向下滚动到“TPM-WMI”并选择它。然后,在对话框中单击“确定”。

步骤 5。查找事件 ID 1801,其中包含类似“BucketConfidenceLevel:正在观察 - 需要更多数据”之类的消息。

此条目看起来令人震惊,但这只是意味着 Windows 已在操作系统中下载并暂存新证书,但尚未将其写入固件 - 部署分两个阶段进行,设备可以在此阶段停留一段时间,因为 Microsoft 在激活之前会验证兼容性。
如何更新您的启动证书
对于绝大多数家庭用户来说,更新会自动发生。如果上面的检查显示较旧的证书,请运行 Windows Update 并下载最新更新,然后再次运行。或者,某些设备需要制造商提供固件更新才能完全应用证书更新。
为此,您需要访问制造商的支持页面并搜索适合您的确切型号的最新 BIOS/UEFI 固件更新,然后安装它。
如果Windows安全应用程序告诉您更新“暂时暂停”,则微软可能会推迟发布,直到修复准备就绪。这只是意味着您可能需要等待更长的时间。
如果您的安全启动徽章保持红色,或者 Windows 安全应用程序明确表示您的设备由于硬件或固件限制而无法接收自动更新,则修复必须来自 OEM。请联系制造商的支持团队,参考安全启动证书更新,并询问是否有适用于您的型号的兼容固件更新。






