[产品信息] Windows 安全开机凭证更新
Answer
安全启动证书(Secure Boot)更新指南
安全启动(Secure Boot)是一项防止未经授权软件在系统启动阶段执行的关键安全功能。由于微软原有的 2011 年证书将于 2026 年 6 月到期,需更换为新的 2023 年证书,以确保系统能持续接收 Windows 启动组件的安全更新。
官方信息参考:立即行动:安全启动证书将于 2026 年 6 月到期
证书到期后会有什么影响?
即使原有证书到期,电脑仍然可以正常开机进入 Windows。然而:
安全性更新受阻:系统将无法安装针对“启动加载程序(Bootloader)”的安全性补丁。
安全性降低:系统启动阶段较容易受到 Bootkit 等底层恶意软件攻击。
修复困难:若未来启动文件损坏,使用新版恢复介质修复时可能因证书不符而遭到 BIOS 拦截。
如何在 MSI 笔记本电脑上更新证书?
依照您的处理器世代与 MSI 提供的支持方式:
1. 搭配 Intel 12 代 / AMD Ryzen 5000H 及更新处理器的机台
MSI 已针对此世代(含之后)的机型陆续释出包含新证书的 BIOS 版本。
前往 MSI 官网支持页面 下载并更新至包含“Update Secure Boot Key: Windows UEFI CA 2023 & Microsoft UEFI CA 2023”说明之最新 BIOS 。
证书启用:更新 BIOS 后,建议静候 Windows Update 自动将证书启用;若有提前更新需求,亦可参考微软规范进行手动启用(参考下列方法第 3 点)。
2. 搭配 Intel 7-11 代 / AMD Ryzen 3000H-5000U 处理器的机台
此类机种主要通过系统端的安全更新进行证书转换。
建议静候 Windows Update 自动推送更新证书。微软预计 2026 年起会通过每月累积更新自动完成此程序。
注意:此方式需要您的操作系统处于 Windows 10 (22H2) 或 Windows 11 版本。
若有提前更新需求,亦可参考微软官方指南手动应用证书更新(参考下列方法第 3 点)。
3. 手动应用注册表更新(进阶用户 / IT 管理员)
若需提前测试或由 IT 统一管理,可参考微软官方说明的注册表(Registry)更新方式:
如何确认 MSI 笔记本电脑是否已成功更新?
您可以通过以下方式检查目前的证书状态:
若笔记本电脑已完整更新并启用新的证书,在事件查看器 – TPM-WMI,事件 ID 1808 会显示“此设备已更新安全启动 CA/密钥”,表示系统已完全启用新的证书。
若笔记本电脑已更新包含新证书的 BIOS 版本,但证书尚未被启用,在事件查看器 – TPM-WMI,事件 ID 1801 会显示“此设备上提供了更新的安全启动证书,但尚未应用到固件。请检阅已发布的指南以完成更新并维持完整的保护”。此时只需要开启 Windows Update,通过微软每月推送的累积更新自动启用新证书。若希望能立即解决事件 ID 1801,可参考上述更新方式 3 手动应用注册表更新。
若笔记本电脑未更新包含新证书的 BIOS 版本,或是旧机种未提供包含新证书的 BIOS 更新,在事件查看器 – TPM-WMI,事件 ID 1801 会显示“需要更新安全启动 CA/密钥”。此时只需要开启 Windows Update,通过微软每月推送的累积更新自动安装新证书。若希望能立即解决事件 ID 1801,可参考上述更新方式 3 手动应用注册表更新。
