这是一个创建于 61 天前的主题,其中的信息可能已经有所发展或是发生改变。
因为微软于 2021 颁发的安全启动证书即将于 2026 年开始陆续过期,证书过期后将,Windows 系统可能会出现引导失败以及相关兼容性或安全性问题。
微软已经准备通过 Windows 更新来完成证书替换。因此,最近一段时间请不要继续禁用 Windows 更新,以免系统出现启动故障。
第 1 条附言 · 61 天前
更新:安全启动证书是 2011 年颁布的,手滑打错了,已修正。
 |
1
wyntalgeer 61 天前
年底打开手动更一波继续禁
自动更新?更不了一点~  |
 |
2
BaiLinfeng 61 天前
我都想永久禁用,只是没找到方法……
|
 |
3
xixiv5 61 天前
 我的已经是关闭状态了 |
 |
4
Nasei 61 天前
2021 年颁发?那看来至少我那个 1809 的设备不用管了....
|
 |
5
irrigate2554 61 天前
让我看看到底是谁开安全启动
|
 |
7
Fdyo OP 更正:证书是 2011 年颁布,手滑打快了。。。
|
 |
8
avrillavigne 61 天前
开着安全启动
|
 |
9
opengps 61 天前
@BaiLinfeng #2 用 Wub
|
 |
10
siweipancc 61 天前 via iPhone
这么刺激的
|
 |
12
dzdh 61 天前
所以没有 KB 下载吗
|
 |
13
MyPassWordis 61 天前
我更好奇怎么禁用 Windows 更新,不管怎么配置,我电脑总是会偶尔自动重启安装更新,搞得我现在弄了个定时任务,每小时调整 working hours 设置
|
 |
14
chen2016 61 天前
 不想更新一点
|
 |
16
boyzhang 61 天前
已经 2 年没更新了
|
 |
17
SmithJohn 61 天前
Windows 装完系统以后就再也没更新过.
linux 倒是开机先更新一下. 一个预测,如果真的有人信了楼主开了自动更新,之后肯定有人会来 V2EX 发帖问 bitlocker 又锁住了怎么办啊. |
 |
18
pvcxy18 61 天前
@BaiLinfeng Wu10Man
|
 |
19
RainySeason 61 天前  8
@MyPassWordis 搜索 regedit 打开注册表编辑器
地址栏粘贴: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings 右键新建 DWORD 值 命名为 FlightSettingsMaxPauseDays 双击打开 改为:十进制 4000 ,或者 8000 都行  |
 |
20
superrichman 61 天前
Secure Boot ?正经人谁会用啊
|
 |
21
xiaozecn 61 天前 via Android
我怎么感觉最近的镜像里已经带了。安装完系统后,再用一个旧版本的 PE 时发现无法引导了,把 UEFI 固件里的证书恢复出厂或清除才行。后来升级了新版本制作的 PE 就没问题了。
|
 |
22
lxqxqxq 61 天前
@RainySeason #19 很强
 |
 |
23
JShen 61 天前
直接禁止更新 100 年,参考 @RainySeason 的做法。
|
 |
24
0o0o0o0 61 天前 1
有点危言耸听了,已经安装并启动成功的 windows 不会发生引导失败的情况,只会出现无法更新 windows 启动管理器的情况。
其实主要就是针对安全启动的漏洞的更新之后再也无法安装了,因为要更新安全启动补丁,就要全启动证书验证,而安全证书过期了就没办法验证,也就没办法安装安全补丁了(同时也没办法更新安全启动证书),除非更新 bios 然后用新的镜像重新安装 windows 。 如果不追求安全和更新,那就没必要,如果追求安全和更新,只要现在打开自动更新即可。 |
 |
25
YsHaNg 61 天前 via iPhone
@MyPassWordis 组策略
|
 |
26
villivateur PRO @RainySeason 这个暂停更新似乎不会禁止安全性更新,比如有严重安全漏洞,微软依然会更新的。这个证书问题大概率也是走的安全更新通道。
|
 |
27
ntedshen 61 天前
新电脑装 win10 的这一大帮人。。。关安全启动已经是基操了。。。
win11 的话 26 年 6-10 基本在 25h2 后 26h2 即将发布的时间点。。。 和现在也没啥关系了,24h2 那个船新内核谁没事原地升级啊,重装好了。。。 |
 |
28
yanqiyu 61 天前
把 secure boot 也关了就是了
|
 |
29
littiefish 60 天前 via iPhone
那个安全验证,买回来就直接关了
|
 |
30
wjx0912 60 天前
windows 电脑买回来第一件事:关 secureboot ,rufus 刻录 iso 绕过 tpm ,安装破解的 win ,关 defender 关 update 裸奔
整个世界安静了。。。 |
 |
32
kneo 60 天前 via Android
又想骗我更新?
|
 |
33
lsearsea 60 天前 via Android
@villivateur 我两年前暂停更新到现在,看记录除了一个 2025 年的蓝牙驱动更新,其他都是 2023 年的
|
 |
34
si 60 天前
不关更新总是自动重启,实在太**了。
|
 |
35
6388xE5FRKTNUT9x 60 天前
经过我手的电脑,secure boot 全都禁用了
|
 |
36
ysc3839 60 天前 via Android
@BaiLinfeng 专业版用组策略禁止就行了
|
 |
37
xuejianxianzun 59 天前
我一直都是更新的,今天 win11 更新后,发现记事本支持对 markdown 的排版和显示了
|
 |
38
strobber16 59 天前
其实如果不是微软靠 secureboot 卡别人脖子的话,我其实是很支持的。在 PC 搞移动设备那一套启动信任链+全盘加密就可以达到移动设备一样的数据安全性。
|
 |
39
liuguang 59 天前
根本不开安全启动,有时候安装 Linux 还要特意关闭,根本没影响。
 |
 |
40
DieInMemory 59 天前 via Android
谢谢提醒 一会回去看看安全启动关没关
|
 |
41
MrKrabs 58 天前
secure boot 自己滚吧
|
|
42
BaiLinfeng 57 天前
@wjx0912 有教程吗,这是什么骚操作
|
|
43
BaiLinfeng 57 天前
@RainySeason 为什么我的需要点击“再暂停更新七天”才会叠加延长更新时间,也是按照你的方法,你改完注册表就是 2051 年了?
|
|
44
RainySeason 57 天前
@BaiLinfeng #43 还要点一下 [高级选项] —— [暂停更新]
|
|
45
BaiLinfeng 45 天前 via Android
@RainySeason 这是在哪里??有图?
|
 |
46
jim9606 6 天前
1. 旧设备的 Secure Boot 信任 Microsoft Corporation UEFI CA 2011(CA2011),目前 Windows 和大部分支持开箱即用的发行版、显卡/网卡/RAID 卡自带的 opROM 模块都是用该 CA 签名,这个 CA 也被几乎所有主板预置
2. CA2011 于 2026 年过期,但主流实现都会忽略 CA 过期 3. 但 2026 年微软会换用 Microsoft UEFI CA 2023(CA2023)给 Windows 和未来的发行版、opROM 签名 4. 但 CA2023 只有新主板会预置,老主板需要固件更新或者由 2024.7.9 更新以后的 Windows 会把 CA2023 加入信任,如果没更新,Secure Boot 会导致未来的 Windows 系统及安装盘被拒绝启动,因为它们没有信任 CA2023 5. 由于 CVE-2023-24932 ,目前 Windows 会通过 DBX 更新拉黑一批旧的 OS 引导器,这会导致这些旧系统/安装盘被拒绝启动,需要手动升级下引导器,新系统/安装盘没有这个问题 6. 由于 CVE-2023-24932 ,未来会将 CA2011 也拉黑,届时使用旧 CA 签名的 OS 引导器和 opROM 都会被拒绝加载,除非替换为由 CA2023 签名的版本 7.以上事情只会在 Secure Boot 打开的情况下发生 |
 |
47
jocover 4 天前
powershell 管理也身份执行 Get-SecureBootUEFI -Name db -OutputFilePath db.esl
然后打开 db.esl ,搜索 CA 2023 字符串,有的话就说明有新证书了 |
Select Language