Windows安全启动迎来15年来首次重大证书更新,企业需尽快行动

微软即将对其安全启动(Secure Boot)系统进行重大升级。该系统自2011年引入至今从未更新证书,从今年6月27日起,这些沿用15年的证书将陆续过期。证书过期后,设备虽可正常运行,但将无法接收启动安全更新。桌面端可通过Windows Update自动完成升级,而服务器端则需IT管理员手动执行复杂操作,涉及PowerShell命令、固件验证等多个步骤。微软已联合HPE、戴尔、联想等主流OEM厂商协同推进此次升级。

微软即将对其安全启动系统进行重大升级,对于尚未启动升级准备的企业客户而言,已然落后于进度。

安全启动是Windows的一个子系统,负责在系统启动时验证每个驱动程序是否由受信任的证书签名。若验证不通过,相关驱动将被拦截。对于企业网络用户而言,微软安全启动的增强功能尤为重要,因为该系统能够抵御固件级攻击、引导工具包和勒索软件,并保护设备完整性。

安全启动是UEFI固件标准的组成部分。UEFI取代了现代PC中的旧式BIOS架构,并于2011年将安全启动纳入其中,以确保启动过程中只有经过受信任签名的代码才能运行。

然而,微软自安全启动引入至今15年来,从未更新过其所用证书。自2012年以来生产的所有运行Windows 10、Windows 11或最近四个版本Windows服务器(2016/2019/2022/2025)的PC,始终依赖着2011年颁发的证书。

从今年6月27日起至10月,这些证书将陆续到期。证书过期后,桌面设备和服务器仍可正常运行,但系统将失去接收启动过程安全更新的能力,具体影响包括:

Windows启动管理器的新防护功能将无法安装。

安全启动数据库的更新将无法应用。

用于拦截已知恶意软件的吊销列表将停止更新。

系统的自我防护能力将随之逐步减弱。

对于桌面设备而言,解决方案相对简单,通过Windows Update和一次新的UEFI固件升级,两步操作即可完成。但Windows服务器端的处理流程则复杂得多。

Windows服务器采用完全不同的更新机制。桌面PC的升级几乎全程自动化,而服务器则需要人工干预。IT管理员必须对证书更新进行验证,并在整个服务器基础设施中手动部署。

微软面向Windows服务器管理员发布的相关文档多达数十页,涉及PowerShell命令执行、注册表项检查、固件验证、试点部署,以及针对拥有数千台服务器的企业的全面监控流程。

部分设备由于硬件或固件存在根本性限制,无法接收自动证书更新。这并非假设情形,微软官方文档已明确指出这一点。

管理员需要对哪些Windows服务器系统启用了安全启动进行清点,并确认相关证书是否已就位。部分最新型号的服务器已内置更新后的证书,但这类设备上市时间较短。微软建议先确保服务器完全打好补丁,再对仍依赖旧版2011证书链的适用设备执行证书更新。

对于托管环境,最稳妥的方式是分别对物理服务器、集群节点和服务器虚拟机进行验证,因为不同平台上的镜像行为和固件更新方式可能存在差异。

对于已停止维护更新、或制造商已倒闭的设备,问题则更为棘手,唯一可行的解决方案是硬件更换。技术的淘汰与迭代,始终是行业常态。

此次升级并非微软单独推进,而是获得了惠普企业(HPE)、戴尔、联想等主要硬件OEM厂商的全面配合与协作。各OEM厂商已主动发布新的固件更新,专门确保其系统能够顺利接受新证书。

以下是微软提供的证书升级相关资源:

aka.ms/getsecureboot:微软持续维护的官方页面,汇聚了所有指导文档和知识库文章。

客户端安全启动操作手册与Windows服务器安全启动操作手册。

Windows Autopatch中的安全启动状态报告,支持Autopatch客户以零附加成本实现全面的设备监控。

Q&A

Q1:Windows安全启动证书过期会有什么影响?

A:证书过期后,系统仍可正常运行,但会失去接收启动相关安全更新的能力。具体包括:Windows启动管理器的新防护功能无法安装、安全启动数据库无法更新、用于拦截恶意软件的吊销列表停止更新。系统的整体安全防护能力会随时间推移逐渐下降,面临固件攻击、勒索软件等风险的可能性也会增加。

Q2:Windows服务器和桌面PC更新安全启动证书的方式有什么不同?

A:桌面PC的更新过程相对简单,只需通过Windows Update加上一次UEFI固件升级,基本上可以自动完成。而Windows服务器则需要管理员手动操作,包括执行PowerShell命令、检查注册表项、验证固件、进行试点部署等,整个流程复杂,微软相关文档多达数十页,企业需提前规划并分步推进。

Q3:哪些设备无法通过自动更新完成安全启动证书升级?

A:部分设备由于硬件或固件存在根本性限制,无法接收自动证书更新。对于已停止维护、或制造商已停业的老旧设备,问题更加严重,目前唯一可行的解决方案是进行硬件更换。微软官方文档已明确指出上述情况,建议管理员提前对设备进行清点评估,确认哪些系统仍依赖旧版证书链。

来源:Networkworld

0赞

好文章,需要你的鼓励

2026

05/25

12:56

分享

点赞

邮件订阅