关于Windows安全启动证书 - 妖火采集系统

安全启动中使用的 Microsoft 证书是操作系统安全信任的基础，所有证书将于 2026 年 6 月起到期。要自动及时更新受支持的 Windows 系统的新证书，您可以让 Microsoft 管理您的 Windows 更新，其中包括安全启动。与提供安全启动固件更新的原始设备制造商 (OEM) 密切合作也至关重要。如果您还没有开始评估各种方案，并开始为未来几个月在整个组织内推出更新的证书做准备。了解这项工作及其影响，以及作为 IT 管理员您应该采取哪些措施，以确保您的 Windows 设备在 2026 年 6 月之后能够接收更新，而不会损害系统安全。重要提示：虽然 Windows 以外的平台也会受到影响，但本文重点介绍适用于 Windows 系统的解决方案。请务必关注安全启动证书推出登录页面，以获取状态和指南更新。回顾：为什么安全启动需要更新安全启动有助于防止恶意软件在 Windows 设备启动初期运行。安全启动与统一可扩展固件接口 (UEFI) 固件签名流程相结合，使用加密密钥（称为证书颁发机构 (CA)）来验证固件模块是否来自可信来源。 15 年后，Windows 系统的安全启动证书将于 2026 年 6 月开始到期。Windows 设备将需要新的证书来保持连续性和保护。受影响的版本： Windows 10、Windows 11、Windows Server 2025、Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012、Windows Server 2012 R2 的受支持版本上的物理机和虚拟机（VM） - 自 2012 年以来发布的系统，包括长期服务渠道 (LTSC) 不受影响： 2025 年发布的 Copilot+ 电脑注意：受影响的第三方操作系统包括 MacOS。然而，这不在 Microsoft 的支持范围内。对于与 Windows 双启动的 Linux 系统，Windows 将更新 Linux 所依赖的证书。安全启动使用基于证书的信任层级结构，以确保在系统启动期间只有授权软件运行。此层级结构的顶层是平台密钥 (PK)，通常由 OEM 或委托方管理，充当信任根。PK 授权对密钥注册密钥 (KEK) 数据库的更新，而密钥注册密钥 (KEK) 数据库又授权对两个关键签名数据库的更新：允许签名数据库 (DB) 和禁止签名数据库 (DBX)。此分层结构确保只有经过验证的更新才能修改系统的启动策略，从而维护安全的启动环境。请参阅“ 更新安全启动密钥 ”了解其工作原理。变化：证书过期自 2012 年起发布的 Windows 系统可能包含以下列出的证书的过期版本。UEFI 安全启动数据库和 KEK 需要使用相应的新证书版本进行更新。查看未来几个月将有哪些新证书可用来维持 UEFI 安全启动的连续性。影响和含义 CA 确保设备启动序列的完整性。这些 CA 过期后，系统将停止接收 Windows 启动管理器和安全启动组件的安全修复。启动时的安全漏洞会威胁受影响 Windows 设备的整体安全，尤其是在 Bootkit 恶意软件的影响下。Bootkit 恶意软件很难甚至无法用标准杀毒软件检测到。例如，即使在今天，不安全的启动路径也可能被 BlackLotus UEFI Bootkit (CVE-2023-24932) 用作网络攻击媒介。每个启用了安全启动的 Windows 系统都包含相同的三个证书，以支持第三方硬件和 Windows 生态系统。除非做好准备，否则物理设备和虚拟机将： 2026 年 6 月后将无法安装安全启动安全更新。不信任 2026 年 6 月之后使用新证书签名的第三方软件。到 2026 年 10 月仍未收到 Windows 启动管理器的安全修复程序。为防止这种情况发生，您需要使用 2023 年或更新版本的证书更新您组织的整个 Windows 生态系统。这还能帮助您应用必要的缓解措施，保护您的系统免受 BlackLotus 及类似的启动级网络攻击。立即采取行动首先，请收藏安全启动证书推出登陆页面并参加我们的准备情况调查！重要提示：请咨询您的 OEM 厂商，了解最新的可用 OEM 固件。在应用新证书之前，请先将所有可用的固件更新应用到您的 Windows 系统。在安全启动流程中，来自 OEM 的固件更新是正确应用 Windows 安全启动更新的基础。 Microsoft 支持仅适用于 Windows 11 和 Windows 10 的受支持客户端版本。一旦 Windows 10 在 2025 年 10 月达到支持终止状态，如果您尚未准备好升级，请考虑获取 Windows 10 版本 22H2 的扩展安全更新 (ESU) 。在接下来的几个月里，我们预计将更新安全启动证书，作为我们最新累积更新周期的一部分。最省力的解决方案是让 Microsoft 管理你的 Windows 设备更新，包括安全启动更新。但是，你可能需要采用多种解决方案。你的下一步具体操作取决于 Windows 系统及其管理方式。发送诊断数据的企业 IT 管理系统如果贵组织的 Windows 系统从 Microsoft 接收 Windows 更新并将诊断数据发送回 Microsoft，则无需采取任何措施。这包括通过 Windows Autopatch、Microsoft 配置管理器或第三方解决方案接收更新的设备。注意：请检查您的防火墙是否阻止了诊断数据。如果阻止，请采取措施帮助诊断数据到达 Microsoft。不发送诊断数据的企业 IT 管理系统通过以下步骤启用 Windows 诊断数据并让 Microsoft 管理您的更新：配置你的组织策略，使其至少允许“必需”级别的诊断数据。你可以使用组策略或移动设备管理 (MDM) 来执行此操作。请参阅Windows 11 和 Windows 10 的组策略管理编辑器中的操作方法。通过设置以下注册表项，允许 Microsoft 管理设备的安全启动相关更新： o 注册表路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot o 键名称：MicrosoftUpdateManagedOptIn o 类型：DWORD o DWORD 值：0x5944（选择加入 Windows 安全启动更新）我们建议将此键设置为 0x5944。这表示所有证书都应以保留现有设备安全配置文件的方式进行更新。它还会将启动管理器更新为由 Windows UEFI CA 2023 证书签名的启动管理器。注意：如果 DWORD 值为 0 或该键不存在，则 Windows 诊断数据将被禁用。如果您不想启用诊断数据，请参与此匿名准备情况调查。请帮助我们评估类似环境的需求，以便将来创建关于独立管理更新流程的指南。您将完全掌控并负责执行和监控这些更新。隔离设备（例如政府场景或制造业）属于特殊情况。由于 Microsoft 无法管理这些更新，我们只能提供以下有限支持：推荐部署这些更新的已知步骤或方法分享从我们的推广流中收集的数据如果可用，请在安全启动证书推出登录页面上查找这些资源。已禁用安全启动的系统如果安全启动被禁用，Windows 将无法更新安全启动证书的活动变量。重要提示：打开或关闭安全启动可能会清除已更新的证书。如果安全启动已开启，请保持启用状态。关闭安全启动可能会导致设置重置为默认设置，这是不可取的。与个人用户分享这些建议：按Windows 键+ R，键入 msinfo32，然后按Enter 。在系统信息窗口中，查找安全启动状态。如果显示 “开启”，那么您就可以开始了！如果安全启动处于关闭状态或不受支持，设备可能无法接收新的 CA。对于这些设备，你可以选择按照以下指南启用安全启动： Windows 11 和安全启动。变更管理注意事项不要等到 2026 年 6 月！立即使用新的 2023 证书更新 DB 和 KEK，有助于防止您的系统出现启动级安全漏洞。获取最新的 OEM 固件更新，并让 Microsoft 管理您的 Windows 更新，以自动接收安全启动更新。否则，请完成此匿名准备情况调查，以帮助我们了解您的特殊情况。信息来源于Windows IT Pro Blog 原文：https://techcommunity.microsoft.com/blog/windows-itpro-blog/act-now-secure-boot-certificates-expire-in-june-2026/4426856