6 月 9 日消息,科技媒体 Windows Latest 昨日(6 月 8 日)发布博文,报道称微软于 6 月 4 日举办第 2 场 Ask Microsoft Anything 直播活动,集中回应了 Windows 11 安全启动证书更新临期问题。
微软表示 Microsoft Corporation KEK CA 2011 证书将于 6 月 24 日过期,但并不代表使用旧版证书的 Windows 10、Windows 11 设备在 6 月 25 日后就无法启动。IT之家附上相关截图如下:
微软明确表示,已签名的 DB(允许数据库)更新、注册表键触发机制以及计划任务,在 6 月 24 日后仍会照常工作。
真正变化在于,6 月 24 日后,若设备没有装入新的 2023 版 KEK 证书,微软未来就无法继续为新的 DBX 吊销载荷签名**,导致设备可能错过新发现恶意引导程序的封禁更新,安全防护会逐步变弱。**
另一个关键时间点是 10 月,微软称 DB 相关证书届时会到期,中间仍能签发少量新的引导管理器。
对企业管理员来说,6 月补丁更新是关键节点。微软称,在 6 月 Patch Tuesday 更新后,大多数主流设备会进入“高置信”状态,由 Intune 自动处理证书更新。
不过微软也提醒,设备分桶不只看品牌和型号,还细分到固件版本与固件日期,因此同型号设备也可能处于不同状态。
如果设备显示“temporarily paused”,通常说明需要 OEM 固件更新。因为系统已检测到固件层兼容风险,贸然更新可能带来失败、蓝屏或 BitLocker 循环。
微软还强调,不要继续等待所有设备自动进入高置信。对白牌机、较老服务器、遥测数据不足的设备,推荐尽快用注册表或 Intune 设置目录策略手动触发更新。
较稳妥的方法是,先挑选每类机型或固件变体中的 1 台活跃设备试点,确认成功后再逐步扩大范围,这样既降低风险,也能把成功遥测回传给微软,帮助同类设备更快进入高置信库。