微软紧急提示：Win11安全启动旧证书6月失效 用户需尽快更新

微软近期正加速推进Windows 11安全启动证书升级计划，要求用户将2011版证书更换为2023版。这项更新事关系统启动安全，值得每位用户重点关注。 根据Windows Latest最新报道，微软已确认旧版安全启动证书将于2026年6月到期。在今年3月的AMA活动中，官方技术人员强调，若不及时更新，虽然系统仍能启动，但会缺失关键安全保护，潜在风险将逐步累积。 安全启动是UEFI固件中的核心安全机制，通过验证引导加载程序、驱动和系统组件的数字签名，确保只有受信任的软件能够启动系统。 整个安全启动机制依赖KEK、DB和DBX等多层密钥与签名数据库协同工作。微软的更新策略是先将2023版证书写入系统，再刷入主板UEFI固件，最终完成证书链的信任转移。 Windows 11 C盘中的Secure Boot文件夹 针对不同设备情况，微软给出了详细说明： 纯Legacy BIOS设备会被识别为不支持Secure Boot，系统将自动跳过更新； 通过CSM模拟传统BIOS但具备UEFI能力的设备，更新可以正常执行； 在BIOS中关闭Secure Boot的设备，更新会主动报错以避免潜在风险。 Windows 11中的Secure Boot证书状态 企业级环境处理更为复杂。Windows Server设备不会接收面向普通用户的自动推送，即便是从Server 2022升级到Server 2025，管理员仍需通过PowerShell命令手动部署新证书。 虚拟化环境也有特殊要求。Hyper-V虚拟机曾出现KEK更新问题，需要宿主机和客户机同时安装2026年3月更新，否则证书更新可能会被中断。 安全启动证书更新是保障Windows 11系统安全的重要环节，建议用户及时完成升级以避免潜在安全风险。微软将持续优化更新流程，确保各类设备都能顺利完成过渡。