微軟在安全啟動期限逼近之際回答關鍵問題

隨著原始微軟安全啟動 KEK 證書於 2026 年 6 月 24 日到期，微軟於 6 月 4 日舉行了第二場現場「Ask Microsoft Anything」(AMA) 問答會議，以解答 IT 管理員和企業客戶的剩餘疑慮。此次會議深入探討了安全啟動的更新內容，包括企業部署、虛擬機器相容性、PXE 啟動情境等問題。

2026 年 6 月 24 日會有什麼變化？

最迫切的問題是 6 月 24 日是否是安全啟動 KEK CA 2011 證書的硬性停止日期。根據 Scott Shell 的說法，到期日並非完全停止所有功能的硬性期限。KEK 金鑰到期不會立即影響基於登錄檔的手動部署流程或現有的更新載荷，這些將如往常一樣繼續運作。

然而，6 月 24 日之後，微軟將失去簽署新的 DBX 載荷的能力，而這對於撤銷已被攻擊的啟動載入程式至關重要。沒有更新 KEK 證書的裝置可能會錯過未來的撤銷，隨時間推移可能變得不那麼安全。然而，DB 證書仍然有效至 10 月，允許微軟在此過渡期間簽署額外的啟動管理器。

6 月更新擴展高可信度覆蓋範圍

6 月的 Patch Tuesday 更新將根據微軟的診斷數據，將絕大多數主流裝置分類為高可信度。Kevin Sullivan 解釋說，裝置分類不僅限於製造商和型號名稱，還包括固件版本和日期。這意味著即使是相同型號的裝置，也可能根據固件的不同而被分類為不同類型。

為了協助 IT 管理員，Intune 監控報告提供了裝置狀態的詳細檢視，包括高可信度分類、更新應用狀態，以及需要手動介入的裝置。該報告還附有 PowerShell 修復腳本，以提供額外的靈活性。

解決「暫時暫停」的裝置

一些企業客戶報告裝置陷入「暫時暫停」狀態。微軟解釋說，這是由於固件層級的相容性問題使得更新存在風險。在這種情況下，需要 OEM 固件更新來解決問題。一旦固件更新完成，裝置將移動到新的分類桶中。

管理員應使用 Intune 的即時數據或 GitHub CSV 準確追蹤裝置狀態，因為暫停桶不會回溯更新。微軟的 安全啟動登陸頁面 提供了 OEM 支援頁面的連結，用於查找固件更新。

手動部署的指南

對於未在高可信度桶中的裝置，微軟建議不要等待自動分類。管理員應通過設置登錄值或使用 Intune 政策設置來啟動手動部署。建議的工作流程包括：

1. 提取 Intune 監控報告以識別未更新的裝置。
2. 在每個型號或固件變體的代表性裝置上測試更新流程。
3. 在測試成功後逐步擴展部署。

微軟強調，手動更新會貢獻遙測數據，從而改善其他擁有類似裝置的組織的系統。

已停用安全啟動的裝置

對於已停用安全啟動的裝置，無法應用證書更新。如果之後重新啟用安全啟動，固件信任數據庫與啟動管理器簽名之間的不匹配可能導致啟動失敗。要恢復，需手動將 2023 證書安裝到固件中。

已啟用安全或受信任啟動的 Azure Gen 2 虛擬機器已預設安裝 2023 證書，而 Gen 1 虛擬機器則與安全啟動不相容。

高可信度分類標準

舊款裝置通常比新款裝置更快達到高可信度分類，因為它們的小型用戶群體允許更快速的統計驗證。對於廣泛部署的新型號，6 月更新預計將顯著擴展高可信度桶。

PXE 啟動環境需要謹慎管理

對於 PXE 啟動環境，只要 2011 證書未被 DBX 列表撤銷，裝置仍可正常啟動。然而，過渡到使用 2023 證書簽署的啟動載入程式需要確保環境中的所有裝置信任新證書。在過渡期間，建議同時保留由兩種證書簽署的啟動媒體。

Windows 10 及舊版操作系統

安全啟動更新機制在 Windows 10（ESU 下）、Windows 11 和舊版伺服器版本中均相同。然而，舊款裝置可能缺乏遙測數據，因此需要手動更新。

診斷工具與資源

事件日誌，特別是 TPM-WMI 事件日誌，對診斷安全啟動問題至關重要。關鍵指標包括：

• 錯誤 1803 表示無效或未簽名的平台金鑰。
• 驗證 2023 版本的 KEK 和 DB 證書。

微軟的中央資源 aka.ms/GetSecureBoot 提供了全面的操作手冊、診斷腳本和 OEM 固件連結。建議管理員遵循微軟的「先測試一個」建議，以確保更新順利進行。

總之，微軟的分階段部署和診斷工具旨在將中斷降至最低，同時確保符合安全啟動要求。隨著 KEK 到期截止日期的臨近，建議 IT 管理員及時採取行動，以避免潛在的安全風險。