微软从本月开始向符合条件的 Windows 11 24H2/25H2 设备推送新的 UEFI 安全启动证书，用于替换将在 2026 年 6 月就会过期的安全启动证书。安全启动是现代计算机最重要的安全功能，该功能可以确保只有受信任的引导加载程序才能加载到具有 UEFI 固件的计算机上，而恶意软件例如顽固的 rootkit 恶意软件将在系统启动过程中被阻止。

能够阻止恶意软件的关键在于数字签名，合法软件开发商可以通过微软申请签名从而获得信任，恶意软件没有有效的数字签名因此会被阻止。

微软称大多数 Windows 设备使用的安全启动证书将在 2026 年 6 月起陆续到期，如果不更新证书的话，将影响后续某些个人和企业设备的安全启动能力。

因此从本月开始 Windows 质量更新将包含一部分高置信度设备目标数据，用于识别符合条件自动接收新安全启动证书的设备，设备只有在发出足够的成功更新信号时才会收到更新，这样可以确保安全且分阶段的部署。

希望保持安全启动功能并确保终端安全性的企业 IT 管理员应该在今年夏天旧证书到期前安装新证书，防止到时候旧证书过期后设备出现无法启动或其他问题。

对于不更新安全启动证书的后果微软也已经提前说明:

可能导致 Windows 启动管理器和安全启动保护功能失效，因为启用安全启动的设备将不再获得启动前组件的安全更新。

所以证书过期后不是设备直接无法启动，而是可能无法继续接收微软发布的新的安全更新或受信任的引导加载程序，这会严重损害设备的安全性。

另外证书过期后也不是特别严重的事情，因为微软还提供手动更新方法可以通过注册表、WinCS 配置系统和组策略来部署安全启动证书。

有关安全启动证书更新的相关内容，有兴趣的用户可以查看微软发布的支持文档：Microsoft Learn