IT 之家 6 月 9 日消息,科技媒體 Windows Latest 昨日(6 月 8 日)發布博文,報道稱微軟于 6 月 4 日舉辦第 2 場 Ask Microsoft Anything 直播活動,集中回應了 Windows 11 安全啟動證書更新臨期問題。
微軟表示 Microsoft Corporation KEK CA 2011 證書將于 6 月 24 日過期,但并不代表使用舊版證書的 Windows 10、Windows 11 設備在 6 月 25 日后就無法啟動。IT 之家附上相關截圖如下:
真正變化在于,6 月 24 日后,若設備沒有裝入新的 2023 版 KEK 證書,微軟未來就無法繼續為新的 DBX 吊銷載荷簽名,導致設備可能錯過新發現惡意引導程序的封禁更新,安全防護會逐步變弱。
另一個關鍵時間點是 10 月,微軟稱 DB 相關證書到揭示會到期,中間仍能簽發少量新的引導管理器。
對企業管理員來說,6 月補丁更新是關鍵節點。微軟稱,在 6 月 Patch Tuesday 更新后,大多數主流設備會進入 " 高置信 " 狀態,由 Intune 自動處理證書更新。
如果設備顯示 "temporarily paused",通常說明需要 OEM 固件更新。因為系統已檢測到固件層兼容風險,貿然更新可能帶來失敗、藍屏或 BitLocker 循環。
微軟還強調,不要繼續等待所有設備自動進入高置信。對白牌機、較老服務器、遙測數據不足的設備,推薦盡快用注冊表或 Intune 設置目錄策略手動觸發更新。
較穩妥的方法是,先挑選每類機型或固件變體中的 1 臺活躍設備試點,確認成功后再逐步擴大范圍,這樣既降低風險,也能把成功遙測回傳給微軟,幫助同類設備更快進入高置信庫。
