安全启动将于 2026 年到期:风险与支持
2026 年,对大多数用户而言,一切“可见”并无变化。电脑开机,Windows 系统启动,一切似乎都和以前一样。但实际上,一些重要的东西正在发生改变:系统启动时决定信任哪些信息的底层机制。
这并非普通的更新或补丁。即将失效的是启动信任链中的证书。简单来说:固件将不再依赖之前有效的证书引用。
这不会损坏设备,但会改变验证级别。而且这种变化很容易被忽略,因为它不会产生明显的错误。
安全启动会在操作系统介入之前执行操作。它使用存储在平台自身的密钥(PK、KEK、db、dbx)来检查数字签名。只要这些密钥是最新的,过滤机制就能正常工作。如果密钥过期,系统仍然可以启动……但安全性会降低。
问题并非立竿见影,而是逐渐显现。系统不会在一夜之间变得不安全,但它会逐渐丧失检测启动组件修改的能力。这就带来了一个传统工具通常无法监控的漏洞。
证书到期后究竟会发生哪些变化?
2011年颁发的证书——作为 微软公司 KEK CA 2011 这 UEFI CA 2011——它们都有有效期。在本轮周期中,有效期介于2026年6月至10月之间。
这并不意味着系统会停止运行。实际情况更为微妙:如果这些权威机构没有更新,验证过程将不再依赖于当前的链。
微软已经考虑过这种情况,并赋予了新的权威(2023年微软Windows PCA(该更新通过 Windows 更新分发到兼容的计算机上。正常情况下,此过程是自动的。)
差异首先体现在那些不在“正常流程”范围内的设备上:不受支持的系统、已更改的配置,或者不容易接受新密钥的固件。
那里没有明确的警告。设备仍在运行,但验证方式已与以前不同。
并非所有球队都处境相同。
乍一看这似乎是一个普遍存在的问题,但实际上它很大程度上取决于具体情况。
有些情况下,值得我们更仔细地研究一下:
- 仍在日常使用但不再接收的设备 微软更新.
- 由于先前的决定(兼容性、自定义安装),安全启动被禁用的系统。
- 安全启动是安全控制的一部分的环境(公司、关键数据)。
还有一些情况的紧迫性要低得多:
- 已无法执行关键功能的老旧设备。
- 孤立系统或用途非常有限的系统。
并非这些情况下就没有风险,只是优先事项发生了变化。并非所有情况都需要立即干预。
检查状态:快速且足以做出决定
在考虑改变之前,最有用的事情是了解自己所处的位置。
和 msinfo32在系统摘要中,您可以查看安全启动状态。初步评估只需要这些信息。
如果该功能已启用且系统收到更新,则过渡很可能无需干预即可完成。
如果它显示已禁用或系统不再更新,那么就值得停下来思考一下该怎么办了。
通常,仅凭这一简单的信息就足以区分哪些是正常的维护保养,哪些需要特别注意。
这项决定并非技术性的,而是操作性的。
这就是方法转变的地方。这不仅仅是了解安全启动的工作原理,而是要决定是否值得干预。
有些情况下,采取行动显然是明智之举:
- 仍在积极使用并处理相关信息的设备。
- 某些配置中安全启动功能已禁用,但启用后不会破坏兼容性。
- 不再接收自动更新的系统。
反之,强制改造老旧或非关键设备可能没有必要。有时,更明智的做法是将其隔离或制定更换计划。
此外,修改固件并非小事。如果存在不兼容的驱动程序或配置,更改安全启动设置可能会影响启动。虽然并不复杂,但也切勿在未事先检查的情况下贸然操作。
与其说这是一个具体的日期,不如说它是一个检查点。如果一切正常,就无需着急。如果出现问题,最好在问题变得明显之前就了解清楚。
有关技术细节和具体日期,您可以查阅官方文档。 安全启动证书过期和 CA 更新.
