简体中文
|
繁體中文
|
English
|
首页
软件分享
镜像难题,Docker用户必看
迷你主机厂商推荐
特别版Chrome浏览器
Search
1
OpenWrt可让宽带速度瞬间提升?broadbandacc完全揭秘
2,705 阅读
2
无缝转播IPTV,OpenWRT新手也能get udpxy
2,647 阅读
3
OpenWRT必看!安装iStore应用商店,扩展更丰富应用
2,630 阅读
4
OpenWrt轻松多拨,提升网速的必备神器
2,378 阅读
5
零泄漏,零污染,MosDNS让你的网络飞起来
2,207 阅读
简体中文
|
繁體中文
|
English
默认分类
网络赚米
OpenWrt
应用程序
AI
科技
VPS
数码
电脑
云服务
黄鱼
润学
登录
Search
标签搜索
性价比
OpenWrt
开户
eSIM
VPS
开源工具
香港
Mini PC
安装教程
docker
Docker 部署
迷你主机
银行
银行卡
美国
Docker部署
本地部署
跨平台
散热
AI 助手
Xiaopao
累计撰写
773
篇文章
累计收到
2
条评论
首页
栏目
默认分类
网络赚米
OpenWrt
应用程序
AI
科技
VPS
数码
电脑
云服务
黄鱼
润学
页面
软件分享
镜像难题,Docker用户必看
迷你主机厂商推荐
特别版Chrome浏览器
搜索:
搜索到
1
篇与
的结果
2026-05-28
Windows 11 安全启动证书快到期?一步步教你自救和预防
大家好,今天聊聊最近在 Windows 11 上闹得沸沸扬扬的“安全启动证书快到期”这件事。别被标题吓到,这其实是一件跟我们每天开机、刷系统更新一样普通,却又暗藏“安全暗礁”的小事。先把技术细节先搁一边,先想想,如果把家门的钥匙忘了换,结果会怎样?🔑 什么是安全启动?为什么它重要?把电脑的开机过程想象成进公司大楼的门禁系统。每一次开机,主板(门卫)都会先检查一张“员工卡”(启动加载程序)是不是被可信的名单(证书)所认可。只要卡片上有签名,门卫就会放行;如果签名不在名单里,门卫直接拦住,显示“Invalid signature”。这套机制叫做 Secure Boot(安全启动),它的目标是防止黑客在系统还没来得及加载防病毒软件之前,就偷偷植入恶意代码。📅 证书为什么会“过期”?像身份证、驾照一样,数字证书也有有效期。微软在 2011 年为 Windows 发行的第一批安全启动根证书(比如 Microsoft Windows Production PCA 2011)计划在 2026 年 6 月左右失效。届时,如果系统仍然只依赖这套旧证书,主板会在启动时找不到可信的签名,从而报错,甚至直接卡在黑屏。🚨 2026 年 2 月的“黑暗时刻”到底发生了什么?在 2026 年 2 月,微软推送了一个累积更新(KB5077181),把 Windows 启动管理器的签名换成了全新的 Microsoft UEFI CA 2023。理论上,系统应该同时把这把新钥匙写进主板的 UEFI NVRAM(也就是那张“可信名单”)里。但很多老旧笔记本的固件根本不支持自动写入,或者被厂商锁了写权限。于是出现了“钥匙没放进去,门已经换锁” 的尴尬局面,导致不少用户在开机时看到红字报错 Secure Boot Violation。🛠️ 临时“应急方案”——禁用安全启动面对卡在黑屏的情况,最直接的办法就是先把门卫的检查关掉——也就是在 BIOS/UEFI 里把 Secure Boot 关掉。这相当于把门禁系统直接关闭,虽然能马上进屋,但以后就失去了那层防护,系统仍能正常启动,只是稍微“裸奔”了。禁用步骤其实很简单,下面整理了各大品牌的快捷键和路径,复制粘贴到记事本就能用: 戴尔(Dell):开机按 F2 → Boot Configuration → 取消 Enable Secure Boot。 惠普(HP):开机按 F10 → System Configuration → Boot Options → Secure Boot → 设为 Disabled。 联想(Lenovo)消费级:F2 或 Fn+F2 → Security → Secure Boot → Disabled。 华硕(ASUS)& 微星(MSI):Del 或 F2 → Boot / Security → Secure Boot → Disabled。 技术系别的蓝天、机械师、炫龙等品牌:同样是 Del → Security → Secure Boot → Disabled。 记得保存后 F10 退出。禁用后系统能正常启动,但一定要尽快把证书更新完再打开。🔧 正式“救急指南”——手动写入 2023 证书下面的步骤针对两类用户:普通用户(只要系统还能开机)和 高级玩家/IT(想在不关 Secure Boot 的前提下解决问题)。1️⃣ 从系统提取证书在已经更新到 2026 年 2 月补丁的机器上,证书会放在 C:\Windows\System32\SecureBoot\WindowsUEFICA2023.cer。直接复制出来。如果路径不存在,说明系统还没收到证书,需要先等更新或手动下载。2️⃣ 用 PowerShell 把证书写进 BIOS# 以管理员打开 PowerShell $certPath = "D:\Downloads\WindowsUEFICA2023.cer" $certBytes = [System.IO.File]::ReadAllBytes($certPath) Write-Host "证书读取成功,大小:$($certBytes.Length) 字节" -ForegroundColor Green # 进入 Setup Mode(需要先在 BIOS 里把 Secure Boot 设为 Setup Mode、删除 PK) Set-SecureBootUEFI -Name db -Content $certBytes -AppendWrite -Time (Get-Date) -ErrorAction Stop Write-Host "✅ 证书已写入 UEFI db" -ForegroundColor Green 如果执行时提示 Current environment does not support Set-SecureBootUEFI,说明固件不允许操作,需要先进入 BIOS 的 “Setup Mode”。具体做法:① 重启进 BIOS;② 找到 Secure Boot → Reset to Setup Mode 或 Enter Setup Mode;③ 删除 Platform Key(PK)后保存退出。完成后再回到 Windows,重新执行上面的 PowerShell 命令。3️⃣ 用 U 盘直接导入(BIOS 手动方式)如果系统根本进不去(例如一直卡在报错),只能靠 U 盘里放证书的方式在 BIOS 里导入。步骤如下: 准备一个 FAT32 格式的空 U 盘,拷贝 WindowsUEFICA2023.cer 到根目录。 开机时按 Del 进入 BIOS。 把 Secure Boot 从 Standard 改成 Custom(有的 BIOS 直接叫 Enabled → Disabled → Other OS)。 进入 Key Management → db → Append Certificate,选取 U 盘上的证书,确认导入(通常要选 X.509 DER 编码)。 导入成功后,回到 Secure Boot 主界面,选择 Restore Factory Keys(恢复出厂键),保存退出。 不同厂商的 BIOS 命名略有差异,文中已经列出几大主流(华硕、微星、技嘉、联想、戴尔、惠普等)对应的路径。4️⃣ 刷固件(适用于“老旧 BIOS”)如果 BIOS 里根本没有 Custom 模式、没有证书导入选项,那只能先更新固件。去电脑/主板官网找最新的 BIOS 版本(2024 年之后的版本通常已预置 2023 证书),刷完后再按上面的步骤打开 Secure Boot、恢复出厂钥匙,最后确认证书已经写入。✅ 验证是否成功重启后,如果不再看到 Invalid signature detected,说明已经通过。如果想进一步确认,可以在 PowerShell 里跑:[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' 返回 True 即是成功。💡 小贴士:防止以后再次“卡死” 保持 Windows Update 打开,尤其是“可选更新”。大多数机器会自动拉取证书。 定期检查 Windows 安全 > 设备安全 > Secure Boot,看到绿色勾表示已全部更新。 如果是老旧笔记本,提前联系 OEM(戴尔、惠普、联想等)查询是否已有固件更新;有的品牌已经在 2025 年发布了专门的 “Secure Boot 2023 证书补丁”。 不建议长期关闭 Secure Boot,除非你真的很清楚自己在干什么(例如玩双系统、开发 UEFI 应用)。关闭后,BitLocker 等依赖 Secure Boot 的功能会受限。 📚 真实案例回顾下面用几个匿名用户的经历来说明: 案例 A:一位高校老师用的老款 ThinkPad X260,2 月更新后直接卡在 “Secure Boot Violation”。他先进入 BIOS,把 Secure Boot 设为 Disabled,系统能启动。随后按照本文的 PowerShell 步骤写入证书,重新开启 Secure Boot,电脑恢复了正常。 案例 B:一名游戏主播的台式机主板是华硕 B450,固件不支持写入。她先在官网刷了 2025 年的 BIOS,里面已经预装了 2023 证书。刷完后直接开机,根本没有看到报错。 案例 C:一位自由职业者的二手联想 Yoga 730,根本没有收到系统推送。她下载了微软官方的 WindowsUEFICA2023.cer,用 U 盘在 BIOS 手动导入,随后将 Secure Boot 恢复为 User Mode,所有游戏启动也毫无异常。 这些“救急”都在 1~2 小时内完成,说明只要按部就班,不需要专业的硬件维修。🧐 为何要把这件事讲给大家听?很多人以为电脑只要能开机,就算是安全的。但安全启动是系统层面的第一道防线,就像家里装了防盗门。等到门锁失效(证书过期),攻击者只要找到一把钥匙,就能在系统还没启动防病毒前把恶意代码塞进去。你或许觉得自己不玩黑客、也不下载来路不明的软件,但只要你的电脑曾接入职场网络、或装有企业的加密磁盘(BitLocker),一旦安全启动失效,整个工作环境都会被潜在风险威胁。🚀 小结✅ 2023 证书已经在 2024‑2026 年陆续推送,大多数用户只要保持系统更新即可。✅ 若遇到启动报错,先把 Secure Boot 关闭救急,然后按照本指南手动写入证书或刷新固件。✅ 完成后记得重新打开 Secure Boot,恢复系统的完整防护。安全不是一次性的“装个防火墙就好”,而是每一次更新、每一次检查都要认真对待。希望大家看完这篇文章后,对自己的电脑“门禁系统”有了更清晰的认识,遇到问题也能从容应对。祝大家开机顺畅、玩游戏流畅、工作安心!😊
2026年05月28日
214 阅读
0 评论
0 点赞