Windows Secure Boot 证书 2026 到期：IT 刷新指南

引言：为什么这很重要

Secure Boot 是 Windows 最重要的启动阶段防护之一，可确保在 OS 加载前仅运行受信任且经过数字签名的组件。这一信任锚定在存储于 UEFI 固件中的证书上——而 Microsoft 已确认，2011 年引入的原始 Secure Boot 证书正走到生命周期终点，并将从 2026 年 6 月下旬开始到期。对 IT 团队而言，这是一个有明确时间窗口、影响整个生态的安全维护事件：如果设备错过证书刷新，它们可能仍能启动，但将失去获得未来启动层防护的能力。

有哪些新变化

Secure Boot “root of trust” 正在刷新

• 长期使用的 Secure Boot 证书将从 2026 年 6 月下旬开始到期。
• 新证书将通过正常的每月 Windows 更新节奏部署到仍在支持周期内的 Windows 设备。
• 这是一项由 Windows 服务、OEM 固件以及 UEFI 提供方协同推进的工作，旨在将风险与中断降到最低。

OEM 整体就绪度较高（尤其是较新的设备）

• 自 2024 年以来生产的许多 PC——以及几乎所有 2025 年出货的设备——已内置更新后的证书。
• 对于市场上较小一部分存量设备，应用新证书可能需要先进行 OEM 固件更新。

可见性增强与分阶段推送

• Microsoft 正以谨慎、分阶段的方式推出该变更，并结合测试与基于遥测的就绪度信号来推进。
• 未来几个月内，Windows Security 应用预计会提供有关证书更新的状态消息，帮助用户跟踪进度。

对 IT 管理员与终端用户的影响

如果设备未能及时获得新证书

• 设备大概率仍可继续使用，现有软件也仍能运行。
• 但它们会进入 安全性降级状态，并可能无法接收未来启动层缓解措施（例如发现新的启动漏洞时）。
• 随着时间推移，兼容性风险会上升：较新的 OS/固件/硬件或依赖 Secure Boot 的软件可能无法加载。

不受支持的 Windows 版本是关键风险点

• 运行不受支持版本的设备（尤其是 Windows 10 在 2025 年 10 月 14 日结束支持之后，除非加入 ESU）将无法通过 Windows Update 接收这些更新。
• 这些终端应被视为优先修复对象（升级/更换，或确保 ESU 资格与更新策略）。

建议措施 / 后续步骤

1. 清点与范围界定
   • 识别范围内所有 Windows 与 Windows Server 终端，包括自助终端（kiosk）、专用服务器，以及可能采用非典型维护方式的 IoT/边缘设备。
2. 验证更新/维护路径
   • 确认设备正在接收最新的每月累计更新（适用时由 Microsoft 托管）。
   • 确保用于就绪度验证的诊断/遥测要求与组织政策一致。
3. 固件就绪度检查
   • 主动查看 OEM 公告与支持页面（Dell/HP/Lenovo 等），并安排所需的 UEFI/固件更新。
   • 在大范围部署前，先在具有代表性的硬件型号上试点固件更新。
4. 规划例外情况
   • 对于无法通过 Microsoft 分阶段方法充分验证的设备，使用 Microsoft IT administrator playbook 指南以及现有工具（Intune、Configuration Manager 或第三方工具）进行部署与监控。
5. 准备支持运行手册（runbook）
   • 一线处置步骤：安装最新 Windows 更新、确认最新 OEM 固件；若问题仍然存在，则通过 Microsoft/OEM 支持渠道升级处理。