这是一个创建于 198 天前的主题,其中的信息可能已经有所发展或是发生改变。
因为微软于 2021 颁发的安全启动证书即将于 2026 年开始陆续过期,证书过期后将,Windows 系统可能会出现引导失败以及相关兼容性或安全性问题。
微软已经准备通过 Windows 更新来完成证书替换。因此,最近一段时间请不要继续禁用 Windows 更新,以免系统出现启动故障。
第 1 条附言 · 2025 年 6 月 27 日
更新:安全启动证书是 2011 年颁布的,手滑打错了,已修正。
 |
1
wyntalgeer 2025 年 6 月 27 日
年底打开手动更一波继续禁
自动更新?更不了一点~  |
 |
2
BaiLinfeng 2025 年 6 月 27 日
我都想永久禁用,只是没找到方法……
|
 |
3
xixiv5 2025 年 6 月 27 日
 我的已经是关闭状态了 |
 |
4
Nasei 2025 年 6 月 27 日
2021 年颁发?那看来至少我那个 1809 的设备不用管了....
|
 |
5
irrigate2554 2025 年 6 月 27 日
让我看看到底是谁开安全启动
|
 |
7
Fdyo OP 更正:证书是 2011 年颁布,手滑打快了。。。
|
 |
8
avrillavigne 2025 年 6 月 27 日
开着安全启动
|
 |
9
opengps 2025 年 6 月 27 日
@BaiLinfeng #2 用 Wub
|
 |
10
siweipancc 2025 年 6 月 27 日 via iPhone
这么刺激的
|
 |
12
dzdh 2025 年 6 月 27 日
所以没有 KB 下载吗
|
 |
13
MyPassWordis 2025 年 6 月 27 日
我更好奇怎么禁用 Windows 更新,不管怎么配置,我电脑总是会偶尔自动重启安装更新,搞得我现在弄了个定时任务,每小时调整 working hours 设置
|
 |
14
jko123 2025 年 6 月 27 日
 不想更新一点
|
 |
16
boyzhang 2025 年 6 月 27 日
已经 2 年没更新了
|
 |
17
SmithJohn 2025 年 6 月 27 日
Windows 装完系统以后就再也没更新过.
linux 倒是开机先更新一下. 一个预测,如果真的有人信了楼主开了自动更新,之后肯定有人会来 V2EX 发帖问 bitlocker 又锁住了怎么办啊. |
 |
18
pvcxy18 2025 年 6 月 27 日
@BaiLinfeng Wu10Man
|
 |
19
RainySeason 2025 年 6 月 27 日  8
@MyPassWordis 搜索 regedit 打开注册表编辑器
地址栏粘贴: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings 右键新建 DWORD 值 命名为 FlightSettingsMaxPauseDays 双击打开 改为:十进制 4000 ,或者 8000 都行  |
 |
20
superrichman 2025 年 6 月 27 日
Secure Boot ?正经人谁会用啊
|
 |
21
MacTavish123 2025 年 6 月 27 日 via Android
我怎么感觉最近的镜像里已经带了。安装完系统后,再用一个旧版本的 PE 时发现无法引导了,把 UEFI 固件里的证书恢复出厂或清除才行。后来升级了新版本制作的 PE 就没问题了。
|
 |
22
lxqxqxq 2025 年 6 月 27 日
@RainySeason #19 很强
 |
 |
23
JShen 2025 年 6 月 27 日
直接禁止更新 100 年,参考 @RainySeason 的做法。
|
 |
24
0o0o0o0 2025 年 6 月 27 日 1
有点危言耸听了,已经安装并启动成功的 windows 不会发生引导失败的情况,只会出现无法更新 windows 启动管理器的情况。
其实主要就是针对安全启动的漏洞的更新之后再也无法安装了,因为要更新安全启动补丁,就要全启动证书验证,而安全证书过期了就没办法验证,也就没办法安装安全补丁了(同时也没办法更新安全启动证书),除非更新 bios 然后用新的镜像重新安装 windows 。 如果不追求安全和更新,那就没必要,如果追求安全和更新,只要现在打开自动更新即可。 |
 |
25
YsHaNg 2025 年 6 月 27 日 via iPhone
@MyPassWordis 组策略
|
 |
26
villivateur 2025 年 6 月 27 日
@RainySeason 这个暂停更新似乎不会禁止安全性更新,比如有严重安全漏洞,微软依然会更新的。这个证书问题大概率也是走的安全更新通道。
|
 |
27
ntedshen 2025 年 6 月 27 日
新电脑装 win10 的这一大帮人。。。关安全启动已经是基操了。。。
win11 的话 26 年 6-10 基本在 25h2 后 26h2 即将发布的时间点。。。 和现在也没啥关系了,24h2 那个船新内核谁没事原地升级啊,重装好了。。。 |
 |
28
yanqiyu 2025 年 6 月 27 日
把 secure boot 也关了就是了
|
 |
29
littiefish 2025 年 6 月 27 日 via iPhone
那个安全验证,买回来就直接关了
|
 |
30
datadump 2025 年 6 月 27 日
windows 电脑买回来第一件事:关 secureboot ,rufus 刻录 iso 绕过 tpm ,安装破解的 win ,关 defender 关 update 裸奔
整个世界安静了。。。 |
 |
32
kneo 2025 年 6 月 27 日 via Android
又想骗我更新?
|
 |
33
lsearsea 2025 年 6 月 27 日 via Android
@villivateur 我两年前暂停更新到现在,看记录除了一个 2025 年的蓝牙驱动更新,其他都是 2023 年的
|
 |
34
si 2025 年 6 月 27 日
不关更新总是自动重启,实在太**了。
|
 |
35
6388xE5FRKTNUT9x 2025 年 6 月 28 日
经过我手的电脑,secure boot 全都禁用了
|
 |
36
ysc3839 2025 年 6 月 28 日 via Android
@BaiLinfeng 专业版用组策略禁止就行了
|
 |
37
xuejianxianzun 2025 年 6 月 28 日
我一直都是更新的,今天 win11 更新后,发现记事本支持对 markdown 的排版和显示了
|
 |
38
strobber16 2025 年 6 月 28 日
其实如果不是微软靠 secureboot 卡别人脖子的话,我其实是很支持的。在 PC 搞移动设备那一套启动信任链+全盘加密就可以达到移动设备一样的数据安全性。
|
 |
39
liuguang 2025 年 6 月 29 日
根本不开安全启动,有时候安装 Linux 还要特意关闭,根本没影响。
 |
 |
40
DieInMemory 2025 年 6 月 29 日 via Android
谢谢提醒 一会回去看看安全启动关没关
|
 |
41
MrKrabs 2025 年 6 月 29 日
secure boot 自己滚吧
|
|
42
BaiLinfeng 2025 年 6 月 30 日
@wjx0912 有教程吗,这是什么骚操作
|
|
43
BaiLinfeng 2025 年 6 月 30 日
@RainySeason 为什么我的需要点击“再暂停更新七天”才会叠加延长更新时间,也是按照你的方法,你改完注册表就是 2051 年了?
|
|
44
RainySeason 2025 年 7 月 1 日
@BaiLinfeng #43 还要点一下 [高级选项] —— [暂停更新]
|
|
45
BaiLinfeng 2025 年 7 月 12 日 via Android
@RainySeason 这是在哪里??有图?
|
 |
46
jim9606 2025 年 8 月 21 日
1. 旧设备的 Secure Boot 信任 Microsoft Corporation UEFI CA 2011(CA2011),目前 Windows 和大部分支持开箱即用的发行版、显卡/网卡/RAID 卡自带的 opROM 模块都是用该 CA 签名,这个 CA 也被几乎所有主板预置
2. CA2011 于 2026 年过期,但主流实现都会忽略 CA 过期 3. 但 2026 年微软会换用 Microsoft UEFI CA 2023(CA2023)给 Windows 和未来的发行版、opROM 签名 4. 但 CA2023 只有新主板会预置,老主板需要固件更新或者由 2024.7.9 更新以后的 Windows 会把 CA2023 加入信任,如果没更新,Secure Boot 会导致未来的 Windows 系统及安装盘被拒绝启动,因为它们没有信任 CA2023 5. 由于 CVE-2023-24932 ,目前 Windows 会通过 DBX 更新拉黑一批旧的 OS 引导器,这会导致这些旧系统/安装盘被拒绝启动,需要手动升级下引导器,新系统/安装盘没有这个问题 6. 由于 CVE-2023-24932 ,未来会将 CA2011 也拉黑,届时使用旧 CA 签名的 OS 引导器和 opROM 都会被拒绝加载,除非替换为由 CA2023 签名的版本 7.以上事情只会在 Secure Boot 打开的情况下发生 |
 |
47
jocover 2025 年 8 月 22 日
powershell 管理也身份执行 Get-SecureBootUEFI -Name db -OutputFilePath db.esl
然后打开 db.esl ,搜索 CA 2023 字符串,有的话就说明有新证书了 |
Select Language