如果你管理着一批Windows 10或Windows 11的企业设备,有一件事在五月需要提上日程:在2026年6月截止日前,确保所有设备已安装2月安全更新KB5077181,完成安全启动(Secure Boot)证书的更换。这不是一个可选项——错过这个窗口,设备将在今后失去启动层面的关键安全防护。
为什么现有的安全启动证书要换?
Windows的安全启动机制,依赖于微软内置的加密证书来验证启动管理器(Boot Manager)和引导加载程序的完整性,防止Bootkit类恶意软件在操作系统加载之前就植入系统。问题在于:现有的安全启动根证书自2011年沿用至今,已使用将近15年,密钥老化带来的安全隐患越来越大。微软从2024年初就宣布了这一更换计划,并在今年2月通过补丁KB5077181正式推送了新证书。
不更新会发生什么?
微软官方FAQ曾一度删除了相关风险描述(后在舆论压力下恢复),核心内容是:
- 设备仍可正常启动,普通Windows功能更新也可以继续接收。
- 但是,针对启动管理器和安全启动组件的安全补丁将停止推送。
- 这意味着若未来出现针对启动层的漏洞(Bootkit、UEFI恶意软件),设备将完全暴露,没有任何补丁覆盖。
- BitLocker加密和第三方引导加载程序(如Linux双启动的GRUB)的信任链也可能受到影响。
通俗地说:启动层安全是Windows整个防护体系的地基。地基不打牢,上层盖多少楼都是危险的。Bootkit类攻击尤其难以察觉,因为它在操作系统内核加载之前就已经控制了系统,杀毒软件和EDR工具对此几乎无能为力。
如何确认是否已完成更新?
操作步骤如下:
- 打开"设置" → "Windows 更新" → "更新历史记录"
- 搜索 KB5077181,确认状态为"已成功安装"
- 如未安装,前往"检查更新",手动触发安装
- 如自动更新曾关闭,建议同步开启自动更新策略
对于批量管理的企业环境,可以通过WSUS或Intune集中下发合规检查,筛选出未安装KB5077181的设备,优先处理服务器和含有敏感数据的终端。
OEM固件也需关注
安全启动的完整信任链不仅包含Windows侧的证书,还涉及主板UEFI固件中的密钥数据库(db/dbx)。部分OEM厂商正在同步发布固件升级,以配合微软的证书更换计划。建议通过设备官网或厂商工具(如Dell Command Update、HP Support Assistant、联想商用Vantage)检查是否有配套的UEFI固件更新,在KB5077181安装完成后一并推送。
写在最后
五月是许多企业IT部门在五一假期后集中处理积压任务的时间节点。把安全启动证书更新列入本月的维护清单,成本非常低(大部分设备通过自动更新已经处理完毕),但如果忽视,六月之后将面临一个长期无法弥补的安全盲区。对于有合规要求的企业,这项更新也是主流安全基线的必要组成部分。如需批量检查或统一部署,欢迎联系我们获取支持。