省流:即使你不更新 Secure Boot 证书,Windows 11 仍然可以正常启动和运行。@Appinn
Secure Boot(安全启动)是 Windows 11 启动过程中的一个重要安全功能,它能防止电脑在开机时被病毒入侵。因为这个时间段 Windows 本身和杀毒软件都还没有启动,全靠 Secure Boot 通过数字证书验证文件的是否完整。
目录
电脑启动的过程
电脑启动的过程,大概是这样的:
按下电源键
→ 1. 主板 UEFI 开始运行
→ 2. Secure Boot 开始检查
→ 3. 验证启动文件签名
→ 4. 签名正确才继续启动 Windows
Secure Boot 会使用主板 UEFI 固件中保存的微软根证书检查 Windows 启动文件的数字签名,如果匹配,就放行,不匹配就阻止。
而这张证书,是2011年签发的,马上就要过期。
举个例子
Secure Boot 就相当于公司大楼门口的保安,而 Windows 启动文件(有很多),则像员工的工牌。这张将要过期的微软根证书,相当于公司总部发给保安的员工名单。
每次员工刷卡进入大楼,保安都会根据这份名单核对身份,决定是否放行。
而现在的问题是:这份“员工名单”是 2011 年发的,有效期写着 2026。过期后,就不能验证新的工牌,导致新入职的员工无法进入大楼。
所以,需要更新这张证书。
不更新证书会怎么办?
微软明确表示,即使不更新 Secure Boot 证书,Windows 仍然可以正常启动和运行。
但是,「新的员工」将无法进入你的电脑,包括:
- 新的 Secure Boot 更新
- 新的 Boot Manager 保护
- 新的恶意启动程序黑名单(DBX)
- 启动阶段漏洞修复
以及,无法更新未来的 Windows 大版本升级。
😂
如何更新?
如果你是正常的 Windows 11 用哈,只需要打开系统自带的 Windows 更新即可。它会自动更新,并且会多次重启。
注意,这次更新只是往主板 UEFI 里的 Secure Boot 数据库中,加入新的微软根证书,并不是刷 BIOS。
但是,并不是所有“支持 Windows 11”的机器都能无痛迁移到 2023 Secure Boot 体系,微软说部分设备可能需要 OEM BIOS 更新,即让你的主板厂商升级 BIOS。 是的,这里需要刷 BIOS 😂
验证是否更新成功
只需要打开你的 CMD、PowerShell,执行:
reg query HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
在返回的结果中,看到这两行就行了:
WindowsUEFICA2023Capable 0x2
UEFICA2023Status Updated
就不会被保安拒之门外了 😭
原文:https://www.appinn.com/windows-11-secure-boot-certificate-expiration-update/
