安全開機轉換常見問答集

受影響的作業系統：

• Windows

目錄

• 一般資訊
• Dell 電腦與更新
• 溝通與客戶指南
• 影響與復原
• 成本和持續時間

一般資訊：

• 什麼是安全開機金鑰轉換？
  • 目前的 Microsoft 2011 Secure Boot 憑證將於 2026 年 6 月到期。這些將被新的 2023 憑證鏈所取代：KEK CA 2023、UEFI CA 2023、Windows UEFI CA 2023
• 安裝 Windows 11 25H2 是否需要 2023 年憑證？
  • 不。設備可以使用 2011 證書安裝 25H2。
• 當目前的 Secure Boot 憑證到期時會發生什麼情況？
  • 電腦仍可開機。但是，憑證過期後，電腦日後便無法取得開機載入器或安全開機的更新。
• Dell 的雙重憑證策略是什麼？
  • 為了簡化轉換過程，Dell 於 2024 年後半年開始在新推出的平台出貨 2011 和 2023 年憑證，並於 2025 年底前，在所有由 Dell 原廠出貨的維持性平台上出貨。這允許具有較舊映像的企業客戶啟動使用任一證書簽名的映像。
• 使用中和預設的安全開機資料庫有何差異？
  • 有效的安全開機資料庫是電腦在啟動期間用來驗證受信任軟體的資料庫。默認安全啟動資料庫是可在需要時還原的原始受信任密鑰的備份集。
    簡而言之：
    • 使用中：目前強制執行 （通常從 Windows Update 更新）
    • 預設值：除非還原，否則不會使用原廠重設版本 （使用 BIOS 更新更新）
    注意：請務必將預設的安全開機資料庫更新為 2023 憑證。否則，如果切換 專家鍵模式 ，可能會清除來自 Windows Update 的使用中變數。
• 如何更新活動資料庫？
  • 可以使用 Windows 更新更新活動資料庫。這可避免 BitLocker 等安全性功能中斷。但是，如果 Windows Update 不是選項，且客戶是專家使用者，則可在 BIOS 中使用命令覆寫作用中資料庫以重設金鑰，如需詳細資訊，請參閱 如何從 BIOS 更新安全開機作用中資料庫 。
• 預設資料庫如何更新？
  • 系統會使用 BIOS 快閃記憶體更新預設資料庫。
• 當目前的 Secure Boot 憑證到期時會發生什麼情況？
  • 電腦仍可開機。但是，憑證過期後，電腦將無法取得開機載入程式或安全開機的未來更新。

回到頁首

Dell 電腦和更新：

• 哪些 Dell 電腦會收到 BIOS 更新？
  • Dell 更新：
    • 2025 年 12 月 31 日後服務終止 （EoSL） 的消費者和商業平台，從 Dell 原廠或現場運送
  • Dell 不更新：
    • 在 2026 年 1 月 1 日之前具有 EoSL 的平台 這表示，雖然Microsoft可能會提供新憑證，但這些舊電腦的 BIOS 可能無法支援或保留這些憑證，尤其是在切換安全開機或重設 BIOS 預設值的情況下。
• Dell 正在採取哪些措施來減輕對客戶的影響？
  • 於 2025 年底前為支援的平台提供 BIOS 更新
  • 與復原工具Microsoft協調
  • 發佈知識庫文章
  • 更新可開機媒體
• 對第三方顯卡和 Linux 電腦的影響如何？
  • Microsoft創建了兩個新的 2023 第三方 CA，以取代即將到期的 2011 第三方 CA。換言之，Microsoft Corporation UEFI CA 2011 已分為 Microsoft UEFI CA 2023 （適用於開機載入程式） 和 Microsoft 選項 ROM UEFI CA 2023 （適用於選項 ROM）。Microsoft 的硬體裝置中心 （HDC） 也已更新，以支援需要這些新 2023 CA 的第三方驅動程式簽名。雖然合作夥伴可在 2025 年 10 月開始簽署新的 2023 CA，但Microsoft和 OEM 仍會繼續支援現有的 Microsoft Corporation UEFI CA 2011，直到生態系統有足夠的時間移轉至新的 2023 CA。
• 企業客戶如何在其目前的裝置機群上取得新的 2023 憑證？
  • 企業客戶可以選擇允許Microsoft透過 Windows Update （WU） 管理其裝置的更新，或是手動將更新套用至機組裝置本身。此處提供後者的指南：具有 IT 管理更新的 Windows 設備 ，此外，戴爾還會將 BIOS 更新推送到服務中的設備，這些設備可用於填充活動資料庫。如需指示，請參閱 如何從 BIOS 更新安全開機作用中資料庫。
• 取得此憑證是否有任何特定的硬體需求？
  • 裝置必須支援安全開機，並與 UEFI 韌體更新相容。Dell 正在內部驗證平台，並已在 Dell 知識文章 2011 Secure Boot 憑證到期Microsoft中發佈了支援的電腦清單。

回到頁首

溝通與客戶指南：

• Dell 如何向客戶傳達此資訊？
  • Dell 已發佈 2011 Microsoft安全開機憑證到期 日，並已更新至 Dell 準備更新的平台清單。必要時，Dell 將根據 Microsoft 的公開指引提供額外的訊息佈達。
• 企業客戶現在應該怎麼做？
  • 使用在 2011 Microsoft安全開機憑證到期時維護的 Dell 裝置清單，規劃 Windows 25H2 推出前的 BIOS 更新。
  • 如果希望在內部（而不是通過 WU）管理設備，企業已經可以根據此處的指南開始使用新的 2023 CA 更新設備：具有 IT 管理更新的 Windows 裝置。
  • 向 Dell 回報任何更新問題。
• 客戶如何知道他們擁有的是 2011 年或 2023 年證書？
  • Microsoft計劃為最終使用者在 Windows 中添加通知。此外，使用者還可以運行以下 PowerShell 命令，以查看他們是否具有 2011 或 2023 CA （方法將在將來的知識庫文章中提供）。
• 客戶如何知道他們的憑證是否已經到期或即將到期？
  • 電腦具有下列三種憑證 （CA） 中的任何一種將於 2026 年到期：

    2011 CA	到期日
    Microsoft公司 KEK CA 2011	6月24， 2026
    Microsoft Windows 生產 PCA 2011	2026 年 10 月 19 日
    Microsoft Corporation UEFI CA 2011	6月27， 2026

• 如果客戶擁有 2023 年證書，他們是否需要採取行動？
  • 不。如果 Windows UEFI CA 2023 和 Microsoft Corporation KEK 2K CA 2023 憑證都存在，則不需要採取進一步的動作。
• 如果客戶裝置執行 Windows 10，且已經或即將執行延長安全性更新 （ESU），客戶是否可以移至 2023 憑證？
  • 是，Microsoft 正在現場更新 Windows 11 裝置的使用中憑證，並在以下情況下更新 Windows 10 裝置：
    • 執行 Windows LTSC 2021
    • 擁有已啟用的 ESU 授權

回到頁首

影響與復原：

• 過期證書的影響是什麼？
  • 一旦 Secure Boot 憑證到期 （從 2026 年 6 月開始），電腦將繼續開機 （開啟安全開機）。但是，電腦不再接收 Windows 開機管理員和使用 Windows Update 的安全開機元件的更新，這會使它們處於安全性受損狀態。
• 如果在裝置上停用或切換安全開機，會發生什麼情況？
  • 有時，停用安全開機可能會清除所有作用中的 UEFI 變數，這意味著裝置上已使用的任何 2023 CA 都可能會遭到清除 （如果從未更新，則稍後會從預設韌體中更換為較舊的 2011 CA）。在 Dell 裝置上，如果使用者在 BIOS 選單中選取專家鍵模式選項，就會發生這種情況。在這種情況下，將從預設韌體中提取活動變數。
    注意：如果裝置上已啟用 BitLocker，系統可能會提示您輸入 BitLocker 復原金鑰。
• 有哪些工具可用於復原？
  • Microsoft發佈了手動恢復工具，但它有局限性。幫助客戶的自動化工具仍在開發中。

回到頁首

成本和持續時間：

• 是否有與新證書相關的成本？
  • 使用 Windows 更新接收 2023 證書沒有直接費用，並且 2023 CA 已在 Windows 安全啟動金鑰建立和管理指南中免費提供。但是，停止服務裝置的 BIOS 更新可能需要手動介入或服務參與，這可能會產生費用，視支援協議而定。
• 新證書的有效期是多久？
  • 2023年證書有效期為15年（2038年）。

回到頁首