安全启动有助于确保设备使用受信任的软件启动。 最初于 2011 年颁发的Microsoft安全启动证书将于 2026 年 6 月到期。本文将检查并手动更新该安全启动证书。
检查安全启动及证书状态
- 首先检查安全启动状态,按Win+R,然后输入
msinfo32回车
主要查看“BIOS模式”和“安全启动状态”,如果不是UEFI和“启用”则与此次证书过期无关
- 以管理员权限打开PowerShell,然后输入:
1
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
若输出为False,则说明当前计算机没有2023年签发的新证书。
更新证书
更新证书最简单的方法是更新来自OEM厂商的BIOS固件更新,这些固件更新中通常将内置新证书。但对于已经停止支持的设备,可能不再会有更新。下文将使用Microsoft定义的用于企业/IT 管理员或高级用户的高级手动部署命令。
注意:更新前请禁用Bitlocker或设备加密,或提前备份恢复密钥,否则更新后可能会出现要求输入恢复密钥的情况。更新过程中不要中断电源,尤其是笔记本要插电源。
打开PowerShell,添加如下注册表项:
1 | reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f |
然后触发自动更新安全启动变量的任务计划:
1 | Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" |
随后重启计算机并在联网状态下使计算机静置在桌面10分钟以上,不要让计算机休眠。
