Windows 11 自動推送 Secure Boot 2023 證書更新，隨 2026 年 6 月 Patch Tuesday 更新發布

伴隨 2026 年 6 月的 Patch Tuesday 更新（KB5094126），微軟已將 Secure Boot 2023 證書更新的推送範圍擴展至更多的 Windows 11 和 Windows 10 設備。近兩年來，由於固件相容性檢查，這一推送採用了謹慎且分階段的方式。然而，隨著這次最新的更新，對於大多數獲得微軟診斷數據支援的消費者電腦，現在已被歸類為高信任度。這意味著這些證書已被應用或正在自動應用，無需用戶干預。

對於許多 Windows 用戶而言，Secure Boot 是一個容易被誤解的主題。雖然IT專業人士可能熟悉它，但普通家庭用戶經常會想知道是否需要採取任何行動。對於大多數用戶來說，簡單的答案是不需要。然而，某些特定情況可能需要額外注意，以下我們將進一步介紹。

什麼是 Secure Boot？為什麼它對您的電腦很重要？

Secure Boot 是嵌入在您電腦固件中的一項安全功能，具體來說是在取代舊 BIOS 系統的 UEFI（統一可擴展韌體介面）內部。當您啟動電腦時，Secure Boot 會驗證在 Windows 啟動前嘗試載入的軟體的加密簽名。如果有未經授權的軟體，例如 rootkits 或 bootkits，嘗試在此過程中運行，Secure Boot 將予以阻止。自 Windows 11 推出以來，這一功能已成為強制要求，並且在大多數現代電腦上默認啟用。

支援 Secure Boot 的原始證書於 2011 年發佈，現正逐步淘汰，其有效期將於 2026 年 6 月 24 日起開始到期，一直到 2026 年 10 月結束。為了確保電腦在舊證書到期後仍然安全且能接收啟動級別的更新，微軟已經交付了替代證書，稱為Secure Boot 2023。

如果您是普通的 Windows 11 或 Windows 10 用戶，該怎麼做？

對於大多數家庭用戶，無需手動操作。Secure Boot 2023 證書正通過 Windows Update 提供。如果您的設備符合資格且未暫停 Windows Update，更新將在後台自動進行。然而，建議驗證更新狀態：

1. 打開Windows 安全性應用程式。
2. 導航至設備安全性 > Secure Boot。
3. 檢查狀態指示器：
   • 綠色核對標記：您的電腦已完全更新，無需進一步操作。
   • 黃色警告：證書更新正在等待中。確保 Windows Update 正在運行並耐心等待。
   • 紅色警報：這表示固件相容性問題。請訪問設備製造商的支援頁面下載並安裝最新的 BIOS/UEFI 更新。

部分用戶注意到其電腦在最近的更新過程中重啟多次。微軟已確認，這是由於 Secure Boot 證書更新過程所需的多個階段操作所導致，包括證書準備、應用以及更新 bootloader 的重啟。

如果您發現C:\Windows 資料夾中出現一個新的 SecureBoot 資料夾，請勿刪除。這個資料夾用於 Windows 在將加密文件閃存到固件之前進行準備。刪除它是不必要的，並可能干擾更新過程。

舊款電腦與相容性

舊電腦可分為以下幾類：

• 近期電腦（2020 年或之後）：6 月的更新很可能已自動涵蓋這些設備。
• 中期電腦（2015–2019 年）：這些設備可能需要更多時間讓微軟收集相容性數據。
• 非常舊的電腦：由於未解決的固件問題，部分設備可能無法接收更新。在這種情況下，可能需要手動排查或尋求製造商支援。

對於家庭用戶，無需手動修改 BIOS 設定或登錄檔鍵值。微軟表示，對於通過 Windows Update 接收更新的設備，此過程是自動完成的。

HP 設備 – 特定問題

HP 用戶需注意，某些 2026 年 4 月的 BIOS 更新導致某些高階筆電和工作站出現BitLocker 恢復迴圈和啟動失敗的問題。HP 已解決此問題並發布了更新的固件。如果您遇到此類問題，請檢查 HP 的支援頁面以獲取最新的 BIOS 更新，並在繼續操作之前安裝。

IT 管理員需要知道的事項

2026 年 6 月的更新大幅擴展了微軟的高信任度資料庫中的設備列表，允許大多數受管理系統自動更新證書。通過 Intune 管理設備的管理員可以通過Intune Secure Boot 監控報告來監控更新進度，該報告顯示所有受管理設備的狀態。

對於不在高信任度類別的設備，可能需要手動干預。這包括通過 Intune 策略設置或登錄檔鍵值觸發更新。建議管理員執行以下操作：

1. 提取 Secure Boot 監控報告。
2. 識別尚未更新的設備。
3. 在小型設備子集上測試更新。
4. 僅在測試成功後擴大部署範圍。

由於固件相容性問題而暫停的設備需要 OEM 固件更新後才能繼續操作。微軟提供了處理此類情況的詳細指南，強調實時數據監控的重要性，以避免依賴過時報告採取行動。

故障排除的關鍵事件日誌

IT 管理員可使用 Windows 事件檢視器診斷 Secure Boot 更新問題：

• 事件 ID 1801：表示設備處於觀察中，正在等待更多數據。
• 事件 ID 1802：顯示固件級別的相容性問題。
• 事件 ID 1808：確認 Secure Boot 證書更新成功。

結論

Secure Boot 證書更新是維護 Windows 設備啟動級別安全性的關鍵步驟。對於大多數用戶，這一過程是無縫且自動的。管理大型設備群組的 IT 管理員應確保相容性並仔細監控更新。欲了解更多資訊，請訪問微軟的中央資源網站 aka.ms/GetSecureBoot。