微軟再次提醒Windows安全開機原始憑證將在6月到期

微軟本周通知15年前核發的初代Windows安全開機（Secure Boot）憑證將在今年6月到期，提醒用戶2011年以前的電腦必須更新憑證，否則可能影響安全開機防護功能。已不再獲得更新的Windows 10 PC將是主要受影響的一群。

安全開機是微軟於2011年引進Windows PC和伺服器的功能。它會在Windows載入前啟動，確保只有經過獲得數位簽發的受信任軟體才能執行，防止rootkit等韌體惡意程式在系統開機初期入侵用戶裝置，並躲避安全軟體的偵測。而在15年後，原始的安全開機憑證將在2026年6月底到期。

微軟警告，若Windows PC沒有更新憑證，PC和軟體仍然可以持續運作，但是安全性會逐漸下降，功能也會逐漸退化。因為Boot Manager和其他早期啟動元件無法接收未來漏洞修補更新，未來若出現開機惡意程式，這類系統將無法獲得保護。此外，也可能導致相容性問題，因為新版OS、韌體、硬體或依賴安全開機元件或第三方軟體可能無法載入。

微軟已在2023年推出了更新版安全開機憑證，並經由二個方式部署到用戶端。微軟於去年就向家用、企業及教育用戶發布版號KB 5062711的每月安全更新，以部署新版憑證。今年1月底微軟發出提醒，針對Windows 11 24H2、25H2 PC發布KB5074110更新。

其次，微軟也和PC夥伴包括品牌電腦（OEM）及製造商（ODM）合作，在新Windows PC中內建新版安全開機憑證。2024年起出廠的部分PC及2025年出廠幾乎所有新PC、包括Copilot+ PC都包含新憑證，用戶無需再動作。

但仍有部分PC會受到安全更新憑證到期影響。在Windows 11或Windows Server端，主要是企業統一管理的PC，有些伺服器或物聯網（IoT）裝置可能有特殊更新流程或是OEM廠商自有韌體。微軟呼籲管理員及早規劃並到OEM支援網頁查看最新版韌體資訊。

此事對舊版Windows系統影響最大。例如，Windows 10於2025年底停止支援，將無法透過Windows Update取得新版憑證，更易受影響。

因此除少數情況下，例如Secure Boot資料庫異常及其他問題，或是用戶曾關閉安全開機或裝置Linux及雙作業系統，使Windows Update未安裝，大多數消費者和企業、學校PC應該都已安裝新版憑證而無需動作。

一般企業或消費Windows 11 PC都會經由每月Windows更新來部署安全開機憑證。ZDNet報導，針對執行雙（Linux/Windows）OS的PC，微軟會發布適用Linux的憑證。接下來幾個月微軟會透過Windows Security App發布憑證更新狀態，協助企業管理員追蹤憑證更新。