这是一个创建于 104 天前的主题,其中的信息可能已经有所发展或是发生改变。
因为微软于 2021 颁发的安全启动证书即将于 2026 年开始陆续过期,证书过期后将,Windows 系统可能会出现引导失败以及相关兼容性或安全性问题。
微软已经准备通过 Windows 更新来完成证书替换。因此,最近一段时间请不要继续禁用 Windows 更新,以免系统出现启动故障。
第 1 条附言 104 天前
更新:安全启动证书是 2011 年颁布的,手滑打错了,已修正。
 | 1 wyntalgeer 104 天前 年底打开手动更一波继续禁 自动更新?更不了一点~  |
 | 2 BaiLinfeng 104 天前 我都想永久禁用,只是没找到方法…… |
 | 3 xixiv5 104 天前  我的已经是关闭状态了 |
 | 4 Nasei 104 天前 2021 年颁发?那看来至少我那个 1809 的设备不用管了.... |
 | 5 irrigate2554 104 天前 让我看看到底是谁开安全启动 |
 | 7 Fdyo OP 更正:证书是 2011 年颁布,手滑打快了。。。 |
 | 8 avrillavigne 104 天前 开着安全启动 |
 | 9 opengps 104 天前 @BaiLinfeng #2 用 Wub |
 | 10 siweipancc 104 天前 via iPhone 这么刺激的 |
 | 12 dzdh 104 天前 所以没有 KB 下载吗 |
 | 13 MyPassWordis 104 天前 我更好奇怎么禁用 Windows 更新,不管怎么配置,我电脑总是会偶尔自动重启安装更新,搞得我现在弄了个定时任务,每小时调整 working hours 设置 |
 | 14 jko123 104 天前  不想更新一点 |
 | 16 boyzhang 104 天前 已经 2 年没更新了 |
 | 17 SmithJohn 104 天前 Windows 装完系统以后就再也没更新过. linux 倒是开机先更新一下. 一个预测,如果真的有人信了楼主开了自动更新,之后肯定有人会来 V2EX 发帖问 bitlocker 又锁住了怎么办啊. |
 | 18 pvcxy18 104 天前 @BaiLinfeng Wu10Man |
 | 19 RainySeason 104 天前  8 @MyPassWordis 搜索 regedit 打开注册表编辑器 地址栏粘贴: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings 右键新建 DWORD 值 命名为 FlightSettingsMaxPauseDays 双击打开 改为:十进制 4000 ,或者 8000 都行  |
 | 20 superrichman 104 天前 Secure Boot ?正经人谁会用啊 |
 | 21 MacTavish123 104 天前 via Android 我怎么感觉最近的镜像里已经带了。安装完系统后,再用一个旧版本的 PE 时发现无法引导了,把 UEFI 固件里的证书恢复出厂或清除才行。后来升级了新版本制作的 PE 就没问题了。 |
 | 22 lxqxqq 104 天前 @RainySeason #19 很强  |
 | 23 JShen 104 天前 直接禁止更新 100 年,参考 @RainySeason 的做法。 |
 | 24 0o0o0o0 104 天前 1 有点危言耸听了,已经安装并启动成功的 windows 不会发生引导失败的情况,只会出现无法更新 windows 启动管理器的情况。 其实主要就是针对安全启动的漏洞的更新之后再也无法安装了,因为要更新安全启动补丁,就要全启动证书验证,而安全证书过期了就没办法验证,也就没办法安装安全补丁了(同时也没办法更新安全启动证书),除非更新 bios 然后用新的镜像重新安装 windows 。 如果不追求安全和更新,那就没必要,如果追求安全和更新,只要现在打开自动更新即可。 |
 | 25 YsHaNg 104 天前 via iPhone @MyPassWordis 组策略 |
 | 26 villivateur 104 天前 @RainySeason 这个暂停更新似乎不会禁止安全性更新,比如有严重安全漏洞,微软依然会更新的。这个证书问题大概率也是走的安全更新通道。 |
 | 27 ntedshen 104 天前 新电脑装 win10 的这一大帮人。。。关安全启动已经是基操了。。。 win11 的话 26 年 6-10 基本在 25h2 后 26h2 即将发布的时间点。。。 和现在也没啥关系了,24h2 那个船新内核谁没事原地升级啊,重装好了。。。 |
 | 28 yanqiyu 104 天前 把 secure boot 也关了就是了 |
 | 29 littiefish 104 天前 via iPhone 那个安验证,买回来就直接关了 |
 | 30 wjx0912 104 天前 windows 电脑买回来第一件事:关 secureboot ,rufus 刻录 iso 绕过 tpm ,安装破解的 win ,关 defender 关 update 裸奔 整个世界安静了。。。 |
 | 32 kneo 104 天前 via Android 又想骗我更新? |
 | 33 lsearsea 104 天前 via Android @villivateur 我两年前暂停更新到现在,看记录除了一个 2025 年的蓝牙驱动更新,其他都是 2023 年的 |
 | 34 si 104 天前 不关更新总是自动重启,实在太**了。 |
 | 35 6388xE5FRKTNUT9x 103 天前 经过我手的电脑,secure boot 全都禁用了 |
 | 36 ysc3839 103 天前 via Android @BaiLinfeng 专业版用组策略禁止就行了 |
 | 37 我一直都是更新的,今天 win11 更新后,发现记事本支持对 markdown 的排版和显示了 |
 | 38 strobber16 103 天前 其实如果不是微软靠 secureboot 卡别人脖子的话,我其实是很支持的。在 PC 搞移动设备那一套启动信任链+全盘加密就可以达到移动设备一样的数据安全性。 |
 | 39 liuguang 102 天前 根本不开安全启动,有时候安装 Linux 还要特意关闭,根本没影响。  |
 | 40 DieInMemory 102 天前 via Android 谢谢提醒 一会回去看看安全启动关没关 |
 | 41 MrKrabs 102 天前 secure boot 自己滚吧 |
| 42 BaiLinfeng 101 天前 @wjx0912 有教程吗,这是什么骚操作 |
| 43 BaiLinfeng 101 天前 @RainySeason 为什么我的需要点击“再暂停更新七天”才会叠加延长更新时间,也是按照你的方法,你改完注册表就是 2051 年了? |
| 44 RainySeason 100 天前 @BaiLinfeng #43 还要点一下 [高级选项] [暂停更新] |
 | 45 BaiLinfeng 89 天前 via Android @RainySeason 这是在哪里??有图? |
 | 46 jim9606 50 天前 1. 旧设备的 Secure Boot 信任 Microsoft Corporation UEFI CA 2011(CA2011),目前 Windows 和大部分支持开箱即用的发行版、显卡/网卡/RAID 卡自带的 opROM 模块都是用该 CA 签名,这个 CA 也被几乎所有主板预置 2. CA2011 于 2026 年过期,但主流实现都会忽略 CA 过期 3. 但 2026 年微软会换用 Microsoft UEFI CA 2023(CA2023)给 Windows 和未来的发行版、opROM 签名 4. 但 CA2023 只有新主板会预置,老主板需要固件更新或者由 2024.7.9 更新以后的 Windows 会把 CA2023 加入信任,如果没更新,Secure Boot 会导致未来的 Windows 系统及安装盘被拒绝启动,因为它们没有信任 CA2023 5. 由于 CVE-2023-24932 ,目前 Windows 会通过 DBX 更新拉黑一批旧的 OS 引导器,这会导致这些旧系统/安装盘被拒绝启动,需要手动升级下引导器,新系统/安装盘没有这个问题 6. 由于 CVE-2023-24932 ,未来会将 CA2011 也拉黑,届时使用旧 CA 签名的 OS 引导器和 opROM 都会被拒绝加载,除非替换为由 CA2023 签名的版本 7.以上事情只会在 Secure Boot 打开的情况下发生 |
 | 47 jocover 48 天前 powershell 管理也身份执行 Get-SecureBootUEFI -Name db -OutputFilePath db.esl 然后打开 db.esl ,搜索 CA 2023 字符串,有的话就说明有新证书了 |
Select Language