微软于2026年7月14日确认,部分运行Windows 11的设备在更新安全启动证书过程中出现异常,导致系统卡在BitLocker修复界面。为避免问题进一步扩大,微软已暂停向存在风险的设备推送相关更新。
安全启动是UEFI固件内置的一项基础安全功能,旨在确保设备仅加载经数字签名验证的可信启动组件,从而阻止恶意代码在系统启动早期阶段植入或执行。
早年签发的安全启动证书已陆续进入有效期尾声。其中,Microsoft Corporation KEK CA 2011证书已于2026年6月24日失效;另一份Microsoft UEFI CA 2011证书则将于同年10月到期。所有支持Windows 10和Windows 11的设备均需将UEFI安全启动数据库(DB)及密钥交换密钥(KEK)升级至2023年版本证书,以维持启动链的完整性与可信性。
此次证书更新原计划通过2026年6月的常规补丁更新KB5094126实施。但在实际部署中发现,当设备的安全启动状态、固件测量值或关键启动文件发生未预期变动时,BitLocker将判定当前启动环境不可信,随即触发修复流程并要求输入恢复密钥。
若设备当前BIOS或固件版本与KB5094126所含2023年证书不兼容,可信平台模块(TPM)将无法解封BitLocker加密密钥,造成系统停滞于修复界面,且新证书亦无法写入UEFI固件。
此前已有类似情况发生:今年4月,某主流厂商发布的BIOS更新即曾引发部分高端机型反复进入BitLocker修复循环乃至无法正常启动。随着6月KB5094126更新覆盖范围扩大,更多设备暴露了相同兼容性隐患。
目前,微软已启动主动干预机制,对识别出的高风险设备限制该证书更新的自动推送。受影响用户将在Windows安全中心看到提示:“由于已知问题,安全启动已被阻止。”
微软指出,根本解决路径在于更新硬件固件。但受制于厂商开发与测试周期,相应BIOS更新尚未全面发布。用户需等待设备制造商提供适配版本后,方可完成完整证书迁移。
在此期间,微软建议用户在执行BIOS更新前,务必提前备份并妥善保管BitLocker恢复密钥。此举可有效规避因更新引发的验证失败及后续解锁障碍。

评论
更多评论