2026年5月起，Windows 11安全启动证书更新情况介绍

近日，微软在Windows 11的2026年5月更新里，于C盘Windows目录之下，创建了一个名为“SecureBoot”的新文件夹，此举引发了部分用户的困惑，让这些用户产生了担忧。微软官方已经做出了解释，表明这是安全启动证书更新流程的正常环节，目的就是为即将到来的证书大规模替换做好准备。

证书过期迫在眉睫

于2026年6月，所有签发年份在2011年及更早时间的旧版安全启动证书，将正式失去效力，这一具有强制性的更新，源自安全技术标准的变化发展，目的在于淘汰那些可能潜藏着潜在风险的旧加密标准，对于此情形，微软必须在截至日期前，为全球数量以亿计的Windows 11设备，完成证书的毫无瑕疵地替换，以此来维持系统启动阶段的安全保护能力。

UEFI固件的一项核心安全功能是安全启动，自Windows 8时代起它成为硬性要求，它可以在操作系统加载之前，验证所有启动组件的数字签名，能够有效阻止rootkit等恶意软件的植入，此次证书更新关乎整个启动链条的信誉基础，是维护系统底层安全的关键一步。

更新机制自动部署

此次改动是跟随着Windows 11 的2026年5月累积更新（KB5089549）一同进行同步推送的，微软表明，针对于固件版本适配的数量众多的设备，用户并不需要实施任何手动的操作行为，在安装更新过后并且进行一至两次的重启之后，系统会借助后台任务自动达成新证书的部署以及激活。

整个过程对于普通用户而言是透明的，其目的在于达成“零干预”升级，微软预先创建了SecureBoot文件夹，是给新证书文件的存放以及安装脚本的运行留出空间，以此保证更新流程能够平稳进行，这一举动是微软为了应对大规模证书轮换所开展的标准化基础设施准备。

文件夹内容与用途

那个名为SecureBoot的文件夹里头，存有7个PowerShell脚本文件，这些脚本是微软特意编写的，主要是对着企业IT管理员的，用于批量管理以及监控证书更新的状态，比如说，“Detect-SecureBootCertUpdateStatus.ps1”这个脚本啊，能够用来检测设备是不是成功安装了2023版的新证书。

尚有一个脚本名为“Enable - SecureBootUpdateTask.ps1”，它的用途在于达成系统里负责证书安装的定时任务是处于启用的状况。微软着重表明，这些脚本自身不会主动去更改任何系统设置抑或是计算机文件，其单纯就只是为辅助管理发挥作用。普通作为家庭环境下使用计算机的用户是完全能够不去理会这个文件夹的。

面向企业，波及个人

当初微软最早的设计规定，这个文件夹连带相关脚本，重点是给那些有着大量设备的企业 IT 运维团队予以服务的，目的是方便他们能够集中开展部署以及验证更新这项工作。可是呢，在这次更新推送这个进程里头，该文件夹进行创建的这种行为，被运用在了所有满足条件的设备之上，其中还涵盖了 Windows 11 家庭版。

这致使非企业用户也察觉到了这一陌生文件夹，进而萌生出“是否感染病毒”，或者“系统是否出现故障”的疑惑。微软于更新日志里未预先阐明此变更，直至用户大量反馈之后才于支持文档中增添解释，这一沟通延迟在一定程度上加重了用户的困惑。

更新状态如何查验

微软予以确认，2023版安全启动证书已然开始在大范围进行推送。用户能够借助Windows安全中心去查看当下状态，要打开“Windows安全中心”，接着进入“设备安全性”页面，随后找到“安全启动”选项。系统会使用绿色（已启用且处于正常状况）、（部分功能受到限制）或者红色（关闭了或者存在问题）来标识当前状态。

还没有收到证书更新的用户，极有可能在后续的月度更新里自动得到。可是，并非所有的设备都能够顺利升级，有些固件太过陈旧的电脑或许会因为兼容性方面的问题致使更新失败。针对这种情形，微软截止到目前都还没有公布确切的官方补救办法。

用户操作指南

微软官方给出建议，普通用户不应该去做将C:\Windows\SecureBoot文件夹以及其内容进行删除或者修改的行为。这个文件夹属于系统更新进程的一部分，之后的Windows更新有可能会持续调用里面的资源，也有可能等证书更新全部完成以后被系统自行移除。

违规删除兴许会致使证书更新进程产生意外差错，干扰安全启动机能的正 常运转。用户只要维持系统更新处于开启状态，并且保证电脑正常重新启动，便能够静静等待更新完毕。在日常运用期间，没必要针对此文件夹予以任何格外留意或者操作。

2023版安全启动证书，你的设备有没有成功安装？在Windows安全中心里，看到的是啥样的状态提示？欢迎在评论区，把你的更新经历分享出来，还要点赞、分享本文，让更多朋友知晓这一重要安全变更。

猜你喜欢