省流:即使你不更新 Secure Boot 证书,Windows 11 仍然可以正常启动和运行。@AppinnSecure Boot(安全启动)是 Windows 11 启动过程中的一个重要安全功能,它能防止电脑在开机时被病毒入侵。因为这个时间段 Windows 本身和杀毒软件都还没有启动,全靠 Secure Boot 通过数字证书验证文件的是否完整。目录电脑启动的过程举个例子不更新证书会怎么办?如何更新?验证是否更新成功电脑启动的过程电脑启动的过程,大概是这样的:按下电源键→ 1. 主板 UEFI 开始运行→ 2. Secure Boot 开始检查→ 3. 验证启动文件签名→ 4. 签名正确才继续启动 WindowsSecure Boot 会使用主板 UEFI 固件中保存的微软根证书检查 Windows 启动文件的数字签名,如果匹配,就放行,不匹配就阻止。而这张证书,是2011年签发的,马上就要过期。举个例子Secure Boot 就相当于公司大楼门口的保安,而 Windows 启动文件(有很多),则像员工的工牌。这张将要过期的微软根证书,相当于公司总部发给保安的员工名单。每次员工刷卡进入大楼,保安都会根据这份名单核对身份,决定是否放行。而现在的问题是:这份“员工名单”是 2011 年发的,有效期写着 2026。过期后,就不能验证新的工牌,导致新入职的员工无法进入大楼。所以,需要更新这张证书。不更新证书会怎么办?微软明确表示,即使不更新 Secure Boot 证书,Windows 仍然可以正常启动和运行。但是,「新的员工」将无法进入你的电脑,包括:新的 Secure Boot 更新新的 Boot Manager 保护新的恶意启动程序黑名单(DBX) 启动阶段漏洞修复以及,无法更新未来的 Windows 大版本升级。如何更新?如果你是正常的 Windows 11 用哈,只需要打开系统自带的 Windows 更新即可。它会自动更新,并且会多次重启。注意,这次更新只是往主板 UEFI 里的 Secure Boot 数据库中,加入新的微软根证书,并不是刷 BIOS。但是,并不是所有“支持 Windows 11”的机器都能无痛迁移到 2023 Secure Boot 体系,微软说部分设备可能需要 OEM BIOS 更新,即让你的主板厂商升级 BIOS。 是的,这里需要刷 BIOS 验证是否更新成功只需要打开你的 CMD、PowerShell,执行:reg query HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing在返回的结果中,看到这两行就行了:WindowsUEFICA2023Capable 0x2UEFICA2023Status Updated就不会被保安拒之门外了 原文:https://www.appinn.com/windows-11-secure-boot-certificate-expiration-update/相关阅读微软为 Windows 10 发布最后一个更新 KB5066791,修复了中文输入法的问题如何将 Windows 11 从传统的 BIOS 转换 UEFI 安全启动 [VMware Fusion 虚拟机环境]域名证书监测,帮你定期检查将要过期的 SSL/TLS 域名证书如何在 Parallels Desktop 17 中安装 Windows 11? 添加 TPM 2.0 模块和安全启动Dariks Boot and Nuke – 硬盘私密资料清除器©2021 青小蛙 for 小众软件 | 加入我们 | 投稿 | 订阅指南 3659b075e72a5b7b1b87ea74aa7932ff 点击这里留言、和原作者一起评论[ 点击前往获取链接 ]