Microsoft 已確認部分 Windows PC 的 Secure Boot 憑證更新暫時無法正常推送,原因多半是硬件或韌體相容性問題,受影響的裝置包括一些 HP 機型,在相關原廠韌體未推出前,用戶未必可以強行完成更新,只能等 OEM 修正。
今次事件的背景,是部分使用 2011 年發出的 Secure Boot 憑證的裝置,相關憑證已於 2026 年 6 月到期,而 Microsoft 正逐步將裝置轉用 2023 年的新憑證。根據 Microsoft 的說明,大多數 PC 會經 Windows Update 自動安裝完整的 Secure Boot 憑證套件,但少數型號需要先由電腦廠商推出韌體更新,否則更新程序會被暫停或封鎖。
對一般用戶而言,最需要留意的是:即使裝置未更新,Windows 仍然可以正常開機,也照樣會收到一般系統更新。但 Secure Boot 將無法繼續驗證未來的早期開機元件更新,隨住新威脅出現,裝置的保護會逐步下降。Microsoft 亦提醒,若裝置一直卡在過期狀態,某些依賴 Secure Boot 的功能,例如裝置加密或部分開機軟件,可能會出現問題。
Microsoft 在支援文件中列出幾個常見徵兆,包括 Windows Security 顯示安全開機憑證尚未更新、系統事件日誌出現事件 ID 1801,以及登錄值 UEFICA2023Status 未顯示為已更新。如果裝置韌體過舊,還可能出現 Secure Boot 驗證錯誤、BitLocker 不斷要求復原、甚至無法開機等情況。
Microsoft 建議,管理員或用戶應先確認哪些裝置仍用緊 2011 憑證,然後先部署原廠韌體更新,再透過 Intune、登錄鍵、CSP 或群組原則等支援方式推送新憑證。但對已經被暫停更新的機型來說,現階段最實際的做法仍然是等 OEM 發出對應韌體,因為 Microsoft 不建議用戶自行繞過更新流程。
換句話說,今次並不是 Secure Boot 立即失效,而是部分 PC 在升級路上被韌體相容性「卡住」了。對大多數人來說風險暫時未算嚴重,但若你手上是較舊機款,或者 Windows Security 已經提示憑證異常,最好盡快留意原廠更新,避免之後保護愈來愈薄弱。










