
仍依赖2011年颁发的Secure Boot证书的Windows PC正面临风险,这些证书将在2026年内陆续到期,最后一批将于10月到期。
Secure Boot在启动过程中充当安全检查点,在允许驱动程序和软件运行之前验证它们是否具有有效的数字签名。证书过期意味着此验证无法正常进行,可能允许恶意bootkit在操作系统启动之前加载。
用户需要检查什么
用户可以通过打开Windows安全中心,导航到设备安全,然后检查Secure Boot部分来验证其状态。绿色勾号表示证书是最新的。黄色或红色警告表示需要采取措施。
“如果你想了解LLM安全的未来图景,想象一下打地鼠遇上土拨鼠日,”The Register在其相关安全研究的报道中指出——这种说法广泛适用于让数百万台设备上的固件级安全保持最新的挑战。
谁受到影响
此问题影响硬件供应商尚未发布包含2023年Secure Boot证书的固件更新的PC。与Microsoft可以自动推送的操作系统更新不同,固件更新必须由各PC制造商(Dell、Lenovo、HP、ASUS等)提供并由用户自行应用。
对于预装PC,用户应访问其特定型号的制造商支持页面,查找提及Secure Boot证书更新的BIOS或UEFI更新。对于自组装PC,主板制造商的支持页面提供相关下载。
如果没有可用更新怎么办
如果制造商不再支持特定型号且没有可用的固件更新,则选择有限。用户可以继续使用证书过期的PC(它仍会启动),但随着时间的推移,它会逐渐更容易受到启动级攻击。硬件升级或切换到以不同方式处理Secure Boot的操作系统是主要替代方案。
更广泛的行业背景反映了关于固件安全生命周期管理的更广泛讨论。正如PCWorld文章所指出的,”你可能最近看到过无数关于Windows和Secure Boot证书即将到期的警告”,这个问题已经酝酿了数月之久,2026年内有多个证书到期截止日期。
婷 翻译
来源:Your Windows PC is at risk if you’re missing these security certificates (PCWorld,2026年6月30日)

