安全開機憑證到期：您需要知道的事項

微軟在2026年6月24日初始到期期限的幾個小時前，向所有符合條件的 Windows 11 和 Windows 10 電腦推出了「安全開機 2023 憑證更新」。根據微軟的聲明：「透過此更新，Windows 品質更新包含了額外的高可靠性設備目標數據，增加了自動接收新安全開機憑證之設備的覆蓋範圍。僅在設備顯示出足夠的成功更新信號後，才會接收新憑證，保持一種可控且分階段的部署。」

如果您的電腦已收到 2026 年 6 月的「週二補丁日」更新，那麼安全開機 2023 憑證很可能已經安裝到您的設備上。以下是關於如何檢查您的憑證狀態以及排除潛在問題的所有資訊。

什麼是安全開機憑證更新？

安全開機是一項韌體層級的安全功能，用於驗證每個啟動組件的數位簽章，阻止 rootkit 和 bootkit 侵入啟動鏈。支援此系統的憑證於 2011 年發行，其到期日如下：

• Microsoft Corporation KEK CA 2011：2026 年 6 月 24 日
• Microsoft UEFI CA 2011：2026 年 6 月 27 日
• Microsoft Windows Production PCA 2011：2026 年 10 月 19 日

為確保安全開機在這些日期之後繼續運作，微軟自 2024 年起通過 Windows 更新部署了替代的 2023 憑證。2026 年 6 月的更新大幅擴大了符合條件的設備範圍，將大多數受支援的電腦移至「高可靠性」類別，這些設備的更新得以自動且安全地應用。

如何檢查您的電腦是否擁有安全開機 2023 憑證

檢查安全開機憑證狀態的最快方法是通過 Windows 安全性應用程式，此功能在 2026 年 4 月的 Windows 11 更新中新增。請按照以下步驟操作：

1. 打開 Windows 安全性應用程式。
2. 從左側選單點擊設備安全性。
3. 向下滾動至安全開機部分以查看您的狀態。

您將看到以下其中一個狀態指示：

• 綠色勾選：表示所有必要的憑證更新已經應用，無需採取任何行動。
• 黃色警告：表示更新待處理。可能需要相容性數據或來自您電腦製造商的 BIOS 更新，才能安裝憑證。
• 紅色警報：表示有特定問題阻礙更新，通常是由於韌體相容性問題。請檢查您電腦製造商的支援頁面以尋找 BIOS 更新。

如果缺少安全開機部分，這可能表示安全開機已被禁用，或者您的電腦是在不受支援的硬體上使用登錄繞過進行安裝的。關於舊硬體和不受支援電腦的詳細步驟，請參閱我們的安全開機驗證指南。

如果您的電腦未收到安全開機更新怎麼辦？

未收到安全開機 2023 憑證更新並不意味著您的電腦將停止運作。微軟已確認未更新憑證的設備仍可正常啟動並接收常規 Windows 更新。然而，這些設備將不再接收未來的啟動層級安全更新，隨著時間推移，可能會暴露於如 BlackLotus bootkit 等漏洞。

對於現代硬體，更新會自動應用。如果您的電腦顯示黃色警告，請等待下一個 Windows 更新週期。微軟每月更新時會繼續擴展設備覆蓋範圍。對於製造商已停止支援的舊硬體，可能無法獲取 2023 憑證。在此情況下，檢查是否有 BIOS 更新是第一步，然後再考慮手動干預。

您的電腦可能在更新後重啟兩次

在安全開機憑證更新過程中，電腦重啟兩到三次是正常現象。微軟已確認這種行為是由以下多步驟過程導致的：

1. 將新憑證寫入韌體。
2. 應用更新的啟動管理員。
3. 使用更新後的安全開機鏈啟動 Windows。

此外，可能會出現一個位於C:\Windows\SecureBoot的新資料夾。這並非惡意軟體；Windows 用於在將加密憑證檔案寫入韌體之前進行暫存。請勿刪除此資料夾。

Windows 10 使用者也可接收安全開機更新

儘管 Windows 10 已達到生命週期終止狀態，但安全開機更新仍提供給已註冊延伸安全更新（ESU）計畫的使用者。自 2026 年 5 月更新 (KB5087544) 起，Windows 10 使用者開始接收安全開機狀態報告。然而，未註冊 ESU 計畫的使用者將無法通過 Windows 更新接收這些更新。

切換至 ESU 需要將本機帳戶轉換為 Microsoft 帳戶。對於 Windows 11 使用者，2026 年 6 月的更新包含了迄今為止最大規模的安全開機憑證部署。

對 IT 管理員的提示：關於 6 月 24 日截止日期的關鍵細節

截至 2026 年 6 月 24 日，Microsoft Corporation KEK CA 2011 將無法再使用舊密鑰簽署新的安全開機撤銷負載（DBX 更新）。然而，現有的已簽署負載和手動部署方法將繼續運作。DB 密鑰將持續有效至 2026 年 10 月 19 日，允許微軟在此之前簽署新的啟動管理員。

微軟已與工程師進行 AMA 會議，解答 IT 管理員的疑問，包括設備可靠性分類、Intune 監控、PXE 啟動場景以及虛擬機限制。對於企業車隊管理，aka.ms/GetSecureBoot 仍是主要資源。

處於暫停分類的設備需要 OEM 的 BIOS 更新才能應用安全開機更新。在未進行韌體更新的情況下強制更新可能導致啟動故障或觸發 BitLocker 恢復。

Windows Latest 仰賴像您這樣的讀者支持。請考慮在 Google Discover 和 Google 搜尋中將我們設為您的首選來源，以支持我們的獨立報導。