微软(Microsoft)已在本月启动针对Windows11设备的新一轮底层安全更新,向符合条件的系统推送新的UEFI安全启动证书。这项更新看似隐蔽,却与电脑能否在未来继续安全启动直接相关。
安全启动机制依赖UEFI固件中的数字证书来验证引导加载程序。只有通过签名验证的软件才能在系统启动前运行,恶意软件如rootkit会在这一阶段被阻断。这套机制的可信度建立在证书有效期之上,而大多数Windows设备当前使用的证书将在2026年6月起陆续到期。
如果证书过期,设备不会立刻无法开机,但安全启动将无法继续接收新的受信任引导加载程序与启动前安全更新。这意味着系统在最关键的启动阶段将失去防护能力,长期来看会削弱整体安全性。
为了避免在证书到期前出现大规模风险,微软选择提前两年开始部署新证书。更新被纳入每月的Windows质量更新中,并通过高置信度设备识别机制分阶段推送。只有在设备持续反馈成功更新信号后,系统才会接收到新的证书,以确保替换过程稳定可靠。
对于企业而言,这项更新关系到终端设备能否维持安全启动链。微软建议IT管理员在旧证书到期前完成部署,以避免未来出现无法启动或无法接收关键安全更新的情况。企业还可通过注册表、WinCS配置系统或组策略手动导入证书,以确保在自动推送之外仍能保持可控性。
普通用户无需立即采取行动,但应保持系统更新开启,以确保设备在证书到期前自动完成过渡。若设备未能自动收到更新,仍可通过微软提供的手动方法完成证书替换。
这次证书更新并非功能性升级,而是一次面向未来的基础安全维护。随着2026年证书到期时间临近,微软提前启动的部署将帮助Windows生态在未来保持可信的启动链条,避免因底层证书失效带来的系统性风险。