微軟警告，原版Windows Secure Boot憑證將於2026年6月下旬到期，若未及時更新，舊型電腦可能無法繼續接收安全更新，增加UEFI Bootkit攻擊風險。微軟已展開大規模憑證更新計畫，呼籲企業與個人用戶盡速為2011年憑證的Windows PC安裝2023新版憑證，以維護系統信任根基。

 

Secure Boot是Windows近15年前導入的UEFI安全功能，在作業系統啟動前即驗證所有韌體、開機載入程式、驅動程式與開機元件的數位簽章，確保只有經過微軟與電腦製造商核准的乾淨程式才能執行，被視為Windows作業系統的「基礎信任錨點」（foundational trust anchor）。

 

此機制特別重要，因為它能在作業系統載入前阻擋高度特權的UEFI Bootkit惡意程式，例如BlackLotus、FinSpy與MoonBounce等知名威脅。資安專家Richard Hicks指出，Secure Boot會比對授權金鑰資料庫，阻擋未經授權或遭竄改的軟體，從開機最早期階段保護系統完整性。

 

根據微軟Windows服務交付團隊計畫經理Nuno Costa的說明，這次Secure Boot憑證更新是Windows生態系中規模最大的協調式安全維護行動之一。新版2023憑證不僅延長有效期限，還強化密碼學工具、改善憑證授權單位（CA）分割，讓微軟與OEM廠商能更安全地更新與監控開機流程。

 

大多數在2024年以前出廠的Windows 10與Windows 11電腦，預設搭載的是2011年版本的Secure Boot憑證。過去兩年新出廠的裝置已改用2023新版憑證。個人與小型企業用戶若有開啟自動更新，通常已自動取得新憑證；但在企業環境中，因更新多採分階段控管，許多電腦仍使用舊憑證，需手動或透過IT部門統一部署。

 

微軟強調，若未在6月24日前完成更新，雖然電腦仍可正常開機，但將無法接收後續的UEFI資料庫（DB與DBX）更新，長期將暴露於潛在新興威脅。Hicks警告：「一旦2011年憑證過期，端點裝置將無法更新安全資料庫，未來可能成為攻擊目標。」

 

為協助用戶掌握狀態，微軟本月已在Windows Security安全中心新增明確指示器。具管理員權限的使用者可前往「裝置安全性 > Secure Boot」查看憑證狀態。下個月起，系統還會主動彈出通知與更新指引，大幅降低一般用戶的混淆。

 

值得注意的是，Windows 10主流支援雖已於2025年秋季結束，但參與Extended Security Update（ESU）付費延長計畫的Windows 10裝置，仍可獲得新Secure Boot憑證。未加入ESU的Windows 10舊機，則無法自動取得更新，憑證到期後將逐漸失去Secure Boot保護。

 

微軟建議CIO、CISO與系統管理員立即參考官方Playbook，進行全盤端點清查、確認OEM韌體相容性，並依部署步驟完成更新。企業特別需注意大型部署的穩定性，避免一次更新造成系統衝擊。

 

這次更新雖然未帶來重大功能變更，但對整體信任基礎而言意義重大。Hicks表示，過去驗證憑證狀態需查看登錄檔或使用PowerShell腳本，現在Windows Security的視覺化顯示大幅簡化流程，對消費者與中小企業特別友好。

 

台灣企業用戶普遍大量採用Windows環境，尤其金融、科技、製造與政府機關等單位，Secure Boot更是防禦供應鏈攻擊與韌體層惡意程式的第一道防線。資安專家建議，企業應將此更新列為優先資安維護項目，結合Intune、WSUS或第三方部署工具，盡速完成全公司端點更新。

 

隨著AI與現代威脅不斷演進，Secure Boot這類基礎信任機制的重要性日益提升。微軟表示，此次「世代性信任基礎更新」將幫助現代PC在開機階段維持最高等級的安全性。

 

若您的組織或個人電腦尚未檢查Secure Boot狀態，建議立即開啟Windows Security確認，並盡快套用更新，以避免6月24日後可能衍生的安全風險。

 

 

 

出處：本文根據Dark Reading特約記者Jeffrey Schwartz於2026年4月16日刊登的報導《Microsoft's Original Windows Secure Boot Certificate Is Expiring》改寫整理。