|
2026年7月14日,微软微软正式确认,暂停部分Windows 11设备在尝试更新安全启动证书时遭遇严重故障,全启导致系统无限循环卡在BitLocker修复界面。动证为防止更多用户陷入无法启动系统的书更死问困境,微软已紧急暂停向存在风险的新因r修设备推送相关更新包。 安全启动机制与证书过期背景安全启动(Secure Boot)是复界UEFI固件的一项核心安全机制,其核心作用是微软确保设备仅加载经过数字签名验证的可信启动组件,从而在系统启动早期阶段阻断恶意代码的暂停植入与执行。 随着时间推移,全启早年签发的动证安全启动证书陆续进入有效期尾声,引发了一系列兼容性挑战: 为确保启动链的复界完整性与可信性,所有支持Windows 10和Windows 11的微软设备均需将UEFI安全启动数据库(DB)及密钥交换密钥(KEK)升级至2023年版本的证书。 故障根源:KB5094126更新引发的连锁反应此次证书更新原计划通过2026年6月的常规补丁KB5094126实施。然而,在实际部署中暴露出严重的兼容性隐患:
历史重演与影响范围此类问题并非首次出现。今年4月,某主流硬件厂商发布的BIOS更新曾导致部分高端机型反复进入BitLocker修复循环,甚至无法正常启动。随着6月KB5094126更新覆盖范围的扩大,更多设备暴露出相同的兼容性缺陷。 目前,微软已启动主动干预机制,对识别出的高风险设备限制该证书更新的自动推送。受影响用户在Windows安全中心将看到明确提示:
解决方案与建议微软指出,根本解决路径在于更新硬件固件。但由于受限于硬件厂商的开发与测试周期,适配的BIOS更新尚未全面发布。用户需等待设备制造商提供适配版本后,方可完成完整的证书迁移。 在此期间,微软强烈建议用户: |

