微软Windows安全启动证书本周起陆续到期 主流PC厂商跟进BIOS更新

根据华硕公布的信息，旗下消费级 PC 将通过 Windows 更新自动获得安全启动证书更新，用户也可以借助 PowerShell 进行手动检查，确认是否已安装新证书。如尚未更新，用户可按照华硕官方指南执行预设的 Secure‑Boot‑Update 计划任务，以完成最新证书的安装。联想则在官网提供面向不同产品线的 BIOS 直接下载链接，覆盖 ThinkPad、ThinkCentre、IdeaPad、Legion、Yoga 等系列，同时明确部分已停止支持的老旧机型将不再获得包含新 Secure Boot 证书的 BIOS 更新。

戴尔方面表示，服务终止日期早于 2026 年 1 月 1 日的设备将不会收到本次证书更新，更新主要面向较新的 Alienware、Inspiron、XPS、Latitude、OptiPlex、Precision、Vostro 以及 Wyse 等系列产品。惠普则区分消费者与企业用户：消费类 PC 将通过 Windows 更新获取新证书，而企业设备需在 SMBIOS Type 1 字段中满足包含 SBKPFV3 子串的最低 BIOS 版本要求，方可接收更新。同时，惠普也指出，部分 2018 年及更早发布的机型无法升级到包含新证书的 BIOS。

微星的策略是为搭载英特尔第 7 至第 11 代酷睿处理器或 AMD Ryzen 3000H 至 5000U 处理器的设备，通过 Windows 更新推送新版证书；而采用英特尔第 12 代或更新、以及 Ryzen 5000H 及后续处理器的平台，则需要用户进行 BIOS 刷写操作。微星官网已经上线针对兼容设备的 BIOS 更新包下载页面，供用户按机型自行获取并升级。宏碁则通过 Windows 更新向旗下 Aspire、Nitro、Predator、Swift、Extensa、TravelMate 和 Spin 等系列的兼容设备推送 BIOS 更新，部分设备已在 6 月 12 日至 6 月 26 日期间完成证书更新，剩余机型预计将在近期陆续完成推送。

在自家 Surface 产品线上，微软发布了专门的 Secure Boot 证书更新指南，确认所有仍在支持周期内的 Surface Pro、Surface Laptop、Surface Book 和 Surface Studio 机型，将通过 Windows 更新获得 2023 年版证书。对于已超出支持范围的设备，微软将按既定的软件生命周期政策不再提供相关更新。微软此前也强调，安全启动证书到期本身不会影响设备的日常功能，尚未更新的 PC 仍可正常运行并接收常规安全补丁。

不过，如果设备未及时更新到最新证书，将可能无法启用部分针对早期启动阶段设计的最新安全防护机制，在理论上增加遭遇 bootkit、固件层 rootkit 以及引导扇区病毒等攻击的风险。在各大 OEM 已开始集中推送 BIOS 和证书更新的背景下，业内普遍建议用户根据各品牌发布的官方指南，确认自身设备支持状态并尽快完成更新，以确保在开机和引导过程中的安全性不被证书到期所削弱。