Answer

安全开机（Secure Boot）是一项防止未经授权软件在系统启动阶段执行的关键安全功能。由于微软原有的 2011 年凭证将于 2026 年 6 月到期，需更换为新的 2023 年凭证，以确保系统能持续接收 Windows 开机组件的安全更新。

官方信息参考：立即行动：安全开机凭证将于 2026 年 6 月到期

________________________________________________________________________________

凭证到期后会有什么影响？

即使原有凭证到期，计算机仍然可以正常开机进入 Windows。然而：

1. 安全性更新受阻：系统将无法安装针对「开机加载器（Bootloader）」的安全性修补程序。

2. 安全性降低：系统启动阶段较容易受到 Bootkit 等底层恶意软件攻击。

3. 修复困难：若未来启动文件损坏，使用新版复原媒体修复时可能因凭证不符而遭到 BIOS 拦截。

________________________________________________________________________________

如何在 MSI 笔电上更新凭证？

大多数用户将透过 Windows Update取得所需的更新，无需额外用户操作。请参考以下信息依照处理器世代了解MSI 提供的支持方式：

1. 搭配 Intel 7-11 代 / AMD Ryzen 3000H-5000U 处理器的机台

    此类机种主要透过系统端的安全更新进行凭证转换。

    a. 建议静候 Windows Update 自动推送更新凭证。微软预计2026 年起会透过每月累积更新自动完成此程序。

       *注意：此方式需要您的操作系统处于Windows 11或注册Windows 10 消费者延伸安全性更新 (ESU)。

    b. 若有提前更新需求，亦可参考微软官方指南手动套用凭证更新(参考下列方法第3点)。

2. 搭配 Intel 12 代 / AMD Ryzen 5000H 及更新处理器的机台

    MSI 已针对此世代（含之后）的机型陆续释出包含新凭证的 BIOS 版本。

    a. 前往 MSI 官网支持页面 下载并更新至包含「Update Secure Boot Key: Windows UEFI CA 2023 & Microsoft UEFI CA 2023」说明之最新 BIOS 。

       *注意: 开始更新BIOS前，请先保存BitLocker恢复密钥。

    b. 更新 BIOS 后，建议静候Windows Update自动启用凭证；若有提前更新需求，亦可参考微软规范进行手动启用(参考下列方法第3点)。

• 参考数据：[操作指南] 如何在启动BitLocker的系统上更新BIOS

3. 手动套用登录文件更新（进阶用户 / IT 管理员）

    若需提前测试或由 IT 统一管理，可参考微软官方说明的登录档（Registry）更新方式

• 参考文件：安全开机登录键更新：搭载 IT 管理更新的 Windows 装置

________________________________________________________________________________

常见问题

Q: 如何确认 MSI 笔电是否已成功更新？

A: 您可透过 Windows 安全中心套用验证更新是否成功接收，具体操作请参阅 Windows 安全中心应用程序中的「安全启动凭证更新状态」。

    

    此外，您也可以透过以下方式确认目前的凭证状态：

• 若笔电已完整更新并启用新的凭证，在事件纪录器 – TPM-WMI，事件ID 1808会显示”此装置已更新安全开机 CA/密钥”，表示系统已完全启用新的凭证。

       

• 若笔电已更新包含新凭证的BIOS版本，但凭证尚未被启用，在事件纪录器 – TPM-WMI，事件ID 1801会显示”此装置上提供了更新的安全开机凭证，但尚未套用到韧体。请检阅已发布的指南以完成更新并维持完整的保护”。此时只需要开启Windows update，透过微软每月推送的累积更新自动启用新凭证。若希望能立即解决事件ID 1801，可参考上述更新方式3手动套用登录档更新。

       

• 若笔电未更新包含新凭证的BIOS版本，或是旧机种未提供包含新凭证的BIOS更新，在事件纪录器 – TPM-WMI，事件ID 1801会显示”需要更新安全开机 CA/密钥”。此时只需要开启Windows update，透过微软每月推送的累积更新自动安装新凭证。若希望能立即解决事件ID 1801，可参考上述更新方式3手动套用登录档更新。