中关村在线

热点资讯

微软暂停Windows 11安全启动证书更新,因BitLocker修复界面卡死问题

微软于2026年7月14日确认,部分运行Windows 11的设备在更新安全启动证书过程中出现异常,导致系统卡在BitLocker修复界面。为避免问题进一步扩大,微软已暂停向存在风险的设备推送相关更新。

安全启动是UEFI固件内置的一项基础安全功能,旨在确保设备仅加载经数字签名验证的可信启动组件,从而阻止恶意代码在系统启动早期阶段植入或执行。

早年签发的安全启动证书已陆续进入有效期尾声。其中,Microsoft Corporation KEK CA 2011证书已于2026年6月24日失效;另一份Microsoft UEFI CA 2011证书则将于同年10月到期。所有支持Windows 10和Windows 11的设备均需将UEFI安全启动数据库(DB)及密钥交换密钥(KEK)升级至2023年版本证书,以维持启动链的完整性与可信性。

此次证书更新原计划通过2026年6月的常规补丁更新KB5094126实施。但在实际部署中发现,当设备的安全启动状态、固件测量值或关键启动文件发生未预期变动时,BitLocker将判定当前启动环境不可信,随即触发修复流程并要求输入恢复密钥。

若设备当前BIOS或固件版本与KB5094126所含2023年证书不兼容,可信平台模块(TPM)将无法解封BitLocker加密密钥,造成系统停滞于修复界面,且新证书亦无法写入UEFI固件。

此前已有类似情况发生:今年4月,某主流厂商发布的BIOS更新即曾引发部分高端机型反复进入BitLocker修复循环乃至无法正常启动。随着6月KB5094126更新覆盖范围扩大,更多设备暴露了相同兼容性隐患。

目前,微软已启动主动干预机制,对识别出的高风险设备限制该证书更新的自动推送。受影响用户将在Windows安全中心看到提示:“由于已知问题,安全启动已被阻止。”

微软指出,根本解决路径在于更新硬件固件。但受制于厂商开发与测试周期,相应BIOS更新尚未全面发布。用户需等待设备制造商提供适配版本后,方可完成完整证书迁移。

在此期间,微软建议用户在执行BIOS更新前,务必提前备份并妥善保管BitLocker恢复密钥。此举可有效规避因更新引发的验证失败及后续解锁障碍。

展开全文
人赞过该文
内容纠错

相关电商优惠

评论

更多评论
还没有人评论~ 快来抢沙发吧~

读过此文的还读过

点击加载更多

内容相关产品

说点什么吧~ 0

发评论,赚金豆

收藏 0 分享
首页查报价问答论坛下载手机笔记本游戏硬件数码影音家用电器办公打印 更多

更多频道

频道导航
辅助工具