安全開機轉換常見問答集

受影響的作業系統：

• Windows

目錄

• 一般資訊
• Dell 電腦和更新
• 溝通和客戶指引
• 影響和復原
• 成本和持續時間

一般資訊：

• 什麼是安全開機金鑰轉換？
  • 目前的 Microsoft 2011 安全開機憑證將於 2026 年 6 月開始到期。這些憑證將由新的 2023 憑證鏈所取代：KEK CA 2023、UEFI CA 2023、Windows UEFI CA 2023
• 安裝 Windows 11 25H2 是否需要 2023 憑證？
  • 不需要。裝置可以使用 2011 憑證安裝 25H2。
• 當目前的安全開機憑證到期時會發生什麼情況？
  • 電腦仍可開機。但是，憑證到期後，電腦便無法取得開機載入器或安全開機的未來更新。
• Dell 的雙憑證策略是什麼？
  • 為了簡化轉換過程，Dell 於 2024 年後半年開始在新推出的平台提供 2011 和 2023 憑證，並於 2025 年底前，在所有由 Dell 原廠出貨的維持性平台上提供這些憑證。這允許具有較舊映像的企業客戶啟動使用任一憑證簽署的映像。
• 使用中和預設安全開機資料庫之間有何差異？
  • 使用中的安全開機資料庫是電腦在啟動期間用來驗證受信任軟體的資料庫。預設安全開機資料庫是可在必要時還原之原始受信任金鑰的備份集。
    簡言之：
    • 使用中：目前強制執行 (通常從 Windows Update 更新)
    • 預設：除非還原，否則不會使用原廠重設版本 (使用 BIOS 更新來更新)
    注意：請務必將預設安全開機資料庫更新為 2023 憑證。否則，如果切換 Expert Key Mode，可能會清除來自 Windows Update 的使用中變數。
• 如何更新使用中資料庫？
  • 可以使用 Windows Update 更新使用中資料庫。這可以避免 BitLocker 等安全性功能中斷。但是，如果 Windows Update 不是選項，且客戶是專家使用者，則可在 BIOS 中使用命令覆寫使用中資料庫以重設金鑰，如需詳細資訊，請參閱如何從 BIOS 更新安全開機使用中資料庫。
• 如何更新預設資料庫？
  • 系統會使用 BIOS 快閃記憶體更新預設資料庫。
• 當目前的安全開機憑證到期時會發生什麼情況？
  • 電腦仍可開機。但是，憑證到期後，電腦便無法取得開機載入器或安全開機的未來更新。

回到頁首

Dell 電腦和更新：

• 哪些 Dell 電腦會收到 BIOS 更新？
  • Dell 更新：
    • 2025 年 12 月 31 日後，服務終止 (EoSL) 的消費者和商用平台，從 Dell 原廠或現場出貨
  • Dell 不更新：
    • 在 2026 年 1 月 1 日之前 EoSL 的平台。這表示，雖然 Microsoft 可能會提供新憑證，但這些舊電腦的 BIOS 可能無法支援或保留這些憑證，尤其是在切換安全開機或重設 BIOS 預設值的情況下。
• Dell 正在採取哪些措施來減輕對客戶的影響？
  • 在 2025 年底前為支援的平台提供 BIOS 更新
  • 在復原工具上與 Microsoft 協調
  • 發佈知識文章
  • 更新可開機媒體
• 對第三方顯示卡和 Linux 電腦的影響如何？
  • Microsoft 建立了兩個全新的 2023 第三方 CA，以取代即將到期的 2011 第三方 CA。換言之，Microsoft Corporation UEFI CA 2011 已分為 Microsoft UEFI CA 2023 (適用於開機載入器) 和 Microsoft 選項 ROM UEFI CA 2023 (適用於選項 ROM)。Microsoft 的硬體裝置中心 (HDC) 也已更新，以支援簽署需要這些新 2023 CA 的第三方驅動程式。雖然合作夥伴可在 2025 年 10 月開始簽署全新的 2023 CA，但 Microsoft 和 OEM 仍會繼續支援現有的 Microsoft Corporation UEFI CA 2011，直到生態系統有足夠的時間遷移至新 2023 CA 為止。
• 企業客戶如何在其目前的裝置機群上取得全新的 2023 憑證？
  • 企業客戶可以選擇允許 Microsoft 透過 Windows Update (WU) 管理其裝置的更新，或是手動將更新套用至機群裝置本身。此處提供後者的指引：具有 IT 管理更新的 Windows 裝置，此外，Dell 還會將 BIOS 更新推送給服役中的裝置，這些更新可用於填充使用中資料庫。如需指示，請參閱如何從 BIOS 更新安全開機使用中資料庫。
• 取得此憑證是否有任何特定硬體需求？
  • 裝置必須支援安全開機，並與 UEFI 韌體更新相容。Dell 正在內部驗證平台，並已在 Dell 知識文章 Microsoft 2011 安全開機憑證到期中發佈了所支援電腦的清單。

回到頁首

溝通和客戶指引：

• Dell 如何向客戶傳達此資訊？
  • Dell 已發佈 Microsoft 2011 安全開機憑證到期，其已更新至 Dell 準備更新的平台清單。必要時，Dell 將根據 Microsoft 的公開指引提供額外的訊息。
• 企業客戶現在應該怎麼做？
  • 使用在 Microsoft 2011 安全開機憑證到期中維護的 Dell 裝置清單，規劃 Windows 25H2 推出前的 BIOS 更新。
  • 如果希望在內部 (而不是透過 WU) 管理裝置，企業已經可以開始根據此處的指引使用新 2023 CA 更新裝置：具有 IT 管理更新的 Windows 裝置。
  • 向 Dell 回報任何更新問題。
• 客戶如何知道他們擁有的是 2011 或 2023 憑證？
  • Microsoft 計畫為最終使用者在 Windows 中新增通知。此外，使用者還可以執行以下 PowerShell 命令，以查看他們是否具有 2011 或 2023 CA (方法將在未來的知識文章中提供)。
• 客戶如何知道他們的憑證是已到期還是即將到期？
  • 電腦具有將於 2026 年到期的下列三種憑證 (CA) 中的任何一種：

    2011 CA	到期日
    Microsoft Corporation KEK CA 2011	2026 年 6 月 24 日
    Microsoft Windows Production PCA 2011	2026 年 10 月 19 日
    Microsoft Corporation UEFI CA 2011	2026 年 6 月 27 日

• 如果客戶具有 2023 憑證，他們是否需要採取行動？
  • 不需要。如果 Windows UEFI CA 2023 和 Microsoft Corporation KEK 2K CA 2023 憑證都存在，則不需要採取進一步的動作。
• 如果客戶裝置執行 Windows 10，且已經或即將執行延長安全性更新 (ESU)，客戶是否可以移至 2023 憑證？
  • 可以，Microsoft 正在現場更新 Windows 11 裝置的使用中憑證，並將在裝置出現以下情況時更新 Windows 10 裝置：
    • 正在執行 Windows LTSC 2021
    • 具有已啟用的 ESU 授權

回到頁首

影響和復原：

• 已到期憑證會造成什麼影響？
  • 一旦安全開機憑證到期 (從 2026 年 6 月開始)，電腦將可繼續開機 (開啟安全開機)。但是，電腦不會再收到使用 Windows Update 對 Windows 開機管理員和安全開機元件的更新，這會使它們處於安全威脅狀態之下。
• 如果在裝置上停用或切換安全開機，會發生什麼情況？
  • 有時，停用安全開機可能會清除所有使用中的 UEFI 變數，這表示裝置上已使用的任何 2023 CA 都可能會遭到清除 (如果從未更新，則稍後會從預設韌體中取代為較舊的 2011 CA)。在 Dell 裝置上，如果使用者在 BIOS 功能表中選取 Expert Key Mode 選項，就會發生這種情況。在這種情況下，將會從預設韌體中提取使用中變數。
    注意：如果裝置上已啟用 BitLocker，系統可能會提示您輸入 BitLocker 復原金鑰。
• 有哪些工具可用於復原？
  • Microsoft 發佈了手動復原工具，但它有侷限性。可為客戶提供協助的自動化工具仍在開發中。

回到頁首

成本和持續時間：

• 是否有與新憑證相關的成本？
  • 使用 Windows Update 接收 2023 憑證沒有直接費用，並且 2023 CA 已在 Windows 安全開機金鑰建立和管理指引中免費提供。但是，停止服務裝置的 BIOS 更新可能需要手動介入或參與服務，視支援合約而定，這可能會產生費用。
• 新憑證的有效期是多久？
  • 2023 憑證的有效期為 15 年 (2038)。

回到頁首