安全启动转换常见问题

受影响的操作系统：

• Windows

目录

• 一般信息
• 戴尔计算机和更新
• 沟通和客户指导
• 影响和恢复
• 成本和持续时间

一般信息：

• 什么是安全启动密钥转换？
  • 当前的 Microsoft 2011 安全启动证书将于 2026 年 6 月开始到期。这些证书链将替换为新的 2023 证书链：KEK CA 2023、UEFI CA 2023、Windows UEFI CA 2023
• 安装 Windows 11 25H2 是否需要 2023 年证书？
  • 不。设备可以使用 2011 证书安装 25H2。
• 当前安全启动证书过期时会发生什么情况？
  • 计算机仍能启动。但是，如果证书过期，计算机将无法获取引导加载程序或安全引导的未来更新。
• 戴尔的双证书策略是什么？
  • 为了简化过渡，戴尔于 2024 年底开始在新推出的平台上发运 2011 和 2023 证书，并在 2025 年底之前在从戴尔工厂发货的所有维持平台上发运。这允许具有较旧映像的企业客户引导使用任一证书签名的映像。
• 活动和默认安全启动数据库之间的区别是什么？
  • 主动安全启动数据库是计算机在启动过程中用于验证受信任软件的数据库。默认安全启动数据库是原始受信任密钥的备份集，可在需要时恢复。
    总之：
    • 活动：当前强制执行（通常从 Windows 更新更新）
    • 默认：除非还原（使用 BIOS 更新进行更新），否则不使用出厂重置版本
    提醒：务必将默认安全启动数据库更新为 2023 版证书。否则，如果切换 专家密钥模式 ，则可能会擦除来自 Windows 更新的活动变量。
• 如何更新活动数据库？
  • 可以使用 Windows Update 更新活动数据库。这可避免 BitLocker 等安全功能中断。但是，如果 Windows 更新不是一个选项，并且客户是专家用户，则可以在 BIOS 中使用命令覆盖活动数据库以重置密钥，请参阅 如何从 BIOS 更新安全启动活动数据库 ，了解更多信息。
• 如何更新默认数据库？
  • 默认数据库使用 BIOS 刷新进行更新。
• 当前安全启动证书过期时会发生什么情况？
  • 计算机仍能启动。但是，如果证书过期，计算机将无法获取引导加载程序的未来更新或安全引导。

返回页首

戴尔计算机和更新：

• 哪些戴尔计算机会收到 BIOS 更新？
  • 戴尔更新：
    • 服务终止 （EoSL） 在 2025 年 12 月 31 日之后从戴尔工厂发货或现场交付的消费类和商用平台
  • 戴尔不更新：
    • 在 2026 年 1 月 1 日之前具有 EoSL 的平台 这意味着，虽然 Microsoft 可能会提供新证书，但这些较旧计算机上的 BIOS 可能不支持或保留它们，尤其是在切换安全启动或重置 BIOS 默认值时。
• 戴尔采取了哪些措施来减轻对客户的影响？
  • 到 2025 年底为受支持平台提供 BIOS 更新
  • 就恢复工具与Microsoft进行协调
  • 发布知识库文章
  • 更新可启动介质
• 对第三方显卡和 Linux 计算机有何影响？
  • Microsoft 创建了两个新的 2023 年第三方 CA，以替换即将到期的 2011 年第三方 CA。换句话说，Microsoft Corporation UEFI CA 2011 已分为 Microsoft UEFI CA 2023（用于引导加载程序）和 Microsoft Option ROM UEFI CA 2023（用于选项 ROM）。并且已经对 Microsoft 的硬件设备中心 （HDC） 进行了更新，以支持需要这些新的 2023 CA 的第三方驱动程序的签名。尽管合作伙伴可以在 2025 年 10 月开始签署新的 2023 CA，但 Microsoft 和 OEM 将继续支持现有的 Microsoft Corporation UEFI CA 2011，直到生态系统有足够的时间迁移到新的 2023 CA。
• 企业客户如何在其当前设备群上获得新的 2023 年证书？
  • 企业客户可以选择允许 Microsoft 通过 Windows 更新 （WU） 管理其设备的更新，或者手动将更新应用于队列设备本身。后者的指南可在此处获得：具有 IT 管理更新的 Windows 设备 ，此外，戴尔还会将 BIOS 更新推送到服务设备，这些设备可用于填充活动数据库。有关说明 ，请参阅如何从 BIOS 更新安全启动活动数据库。
• 获得此证书是否有任何特定的硬件要求？
  • 设备必须支持安全启动并与 UEFI 固件更新兼容。戴尔正在内部验证平台，并已在戴尔知识库文章 Microsoft 2011 安全启动证书到期中发布了受支持的计算机列表。

返回页首

沟通和客户指导：

• 戴尔如何向客户传达这一点？
  • 戴尔发布了 Microsoft 2011 安全启动证书到期 ，其中更新了戴尔准备更新的平台列表。戴尔将根据需要提供符合 Microsoft 公共指南的其他消息。
• 企业客户现在应该做什么？
  • 使用 Microsoft 2011 安全启动证书到期中维护的戴尔设备列表，在 Windows 25H2 推出之前规划 BIOS 更新。
  • 如果更愿意在内部（而不是通过 WU）管理设备，则企业已经可以按照以下指南开始使用新的 2023 CA 更新设备：具有 IT 托管更新的 Windows 设备。
  • 向戴尔报告任何更新问题。
• 客户如何知道他们拥有的是 2011 年还是 2023 年的证书？
  • Microsoft 计划向 Windows 添加最终用户通知。此外，用户还可以运行以下 PowerShell 命令，查看他们是否拥有 2011 或 2023 CA（方法将在未来的知识库文章中提供）。
• 客户如何知道他们的证书是已经过期还是即将过期？
  • 具有三种证书 （CA） 中任一种的计算机将于 2026 年到期：

    2011 CA	有效期
    Microsoft Corporation KEK CA 2011	6月 24， 2026
    Microsoft Windows Production PCA 2011	10月 19， 2026
    Microsoft Corporation UEFI CA 2011	6月 27， 2026

• 如果客户拥有 2023 年证书，他们是否需要采取行动？
  • 不。如果 Windows UEFI CA 2023 和 Microsoft Corporation KEK 2K CA 2023 证书都存在，则无需进一步作。
• 如果客户的设备运行的是 Windows 10，并且已经或即将推出扩展安全更新 （ESU），他们是否可以升级到 2023 年证书？
  • 是的，Microsoft 正在现场更新 Windows 11 设备的活动证书，如果设备出现以下情况，则将更新 Windows 10 设备：
    • 正在运行 Windows LTSC 2021
    • 具有激活的 ESU 许可证

返回页首

影响和恢复：

• 过期证书会产生什么影响？
  • 安全启动证书过期后（从 2026 年 6 月开始），计算机将继续启动（启用安全启动）。但是，计算机不再使用 Windows Update 接收 Windows 启动管理器和安全启动组件的更新，从而使它们处于受损的安全状态。
• 如果在设备上禁用或切换了安全启动，会发生什么情况？
  • 有时，禁用安全启动可能会擦除所有活动的 UEFI 变量，这意味着设备上已使用的任何 2023 CA 都可能会擦除（如果从未更新，则稍后会替换为默认固件中的较旧的 2011 CA）。在戴尔设备上，如果用户在 BIOS 菜单中选择专家密钥模式选项，则会发生这种情况。在这种情况下，活动变量将从默认固件中提取。
    提醒：如果在设备上启用了 BitLocker，系统可能会提示您输入 BitLocker 恢复密钥。
• 有哪些工具可用于恢复？
  • Microsoft 发布了手动恢复工具，但它有局限性。协助客户的自动化工具仍在开发中。

返回页首

费用和持续时间：

• 新证书是否会产生相关费用？
  • 使用 Windows 更新接收 2023 版证书不会直接付费，2023 CA 已在 Windows 安全启动密钥创建和管理指南中免费提供。但是，停止服务的设备的 BIOS 更新可能需要手动干预或服务参与，这可能会产生成本，具体取决于支持协议。
• 新证书的有效期是多久？
  • 2023年的证书有效期为15年（2038年）。

返回页首