快科技 7 月 14 日消息,微软近日证实部分 Windows 11 电脑在更新安全启动(Secure Boot)证书时遇到问题,可能导致设备卡在 BitLocker 修复画面,微软已暂停向受影响设备推送该更新。
安全启动是内置于电脑 UEFI 固件中的安全机制,确保设备启动时仅执行受信任的软件,防止恶意程序在开机层级入侵。
微软在 2011 年核发的安全启动证书现已过期,其中 Microsoft Corporation KEK CA 2011 已于 6 月 24 日到期,另一份 Microsoft UEFI CA 2011 将于 10 月到期。
所有 Windows 10/11 PC 都需要将 UEFI 安全启动数据库(DB)和密钥交换密钥(KEK)更新为对应的 2023 年新证书版本。

这项证书更换通过 6 月补丁星期二更新 KB5094126 推送给大多数受支持的 Windows 11 设备,然而实际执行中,当安全启动状态、固件测量值或启动文件发生意外变化时,BitLocker 会拒绝信任当前环境并要求输入修复密钥。
如果系统 BIOS 或固件与 KB5094126 推送的新安全启动证书不兼容,TPM 将拒绝解封 BitLocker 密钥,设备便卡在加密修复画面无法启动,2023 年证书也无法顺利写入系统。
事实上,惠普今年 4 月的 BIOS 更新就已经触发过 BitLocker 修复循环和启动失败,波及部分高端机型,6 月 KB5094126 将安全启动 2023 证书推送范围扩大后,更多设备暴露出同类问题。
微软目前已采取预防性措施,主动封锁并暂停向高风险设备推送安全启动证书更新,受影响的 PC 会在 Windows 安全应用中出现提示:" 由于已知问题,安全启动已被阻止。"
微软表示,被归入此范围的设备需要更新硬件固件才能解决,但 OEM 厂商的 BIOS 更新可能尚未发布,用户需要等待各品牌对应的 BIOS 后才能完全更新。
微软同时提醒用户,在安装 BIOS 更新前务必确保 BitLocker 修复密钥可用,以免触发修复循环后无法解锁。



登录后才可以发布评论哦
打开小程序可以发布评论哦