Microsoft在 Windows 11 四月 2026 更新中,除允許使用者在非必要重載系統的情況下開啟或關閉 Smart App Control 外,還加入一項與啟動安全相關的重要改進:Windows 安全中心現在可以直接顯示 Secure Boot(安全啟動)證書的狀態,方便使用者確認自家電腦是否已應用 2023 版 Secure Boot 證書。Secure Boot 證書用於驗證系統啟動過程中運行的軟件是否可信,如果證書過期,理論上可能被啟動級惡意軟件(bootkit)或未經授權的修改利用,從而在
系統尚未完全啟動前植入攻擊代碼。目前已知最早一批在 2011 年簽發的 Secure Boot 證書將於 2026 年 6 月到期,Microsoft先前已確認會透過 Windows 更新將這些舊證書替換為新的 Secure Boot 2023 證書。
安全中心新增直觀狀態顯示
不過,對普通使用者而言,之前一直缺乏直觀、易用的判斷方式來確認自家電腦是否已替換為新證書。此前,想驗證 Secure Boot 2023 證書是否已應用,使用者只能依賴 PowerShell 指令或事件檢視器日誌等相對專業的方法,這並不適合大多數非技術使用者日常操作。而在四月更新後,Windows 安全中心首次直接在介面中呈現 Secure Boot 證書狀態,解決了這一「資訊黑箱」問題。
以作者設備為例,Windows 安全中心已顯示 Secure Boot 2023 證書已應用,並給出「無需進一步操作」的提示。更新前,Windows 安全中心在「設備安全」頁面僅顯示 Secure Boot 功能是否啟用這一維度資訊;更新後,使用者無法僅從這裡看到 Secure Boot 是否啟用,還可查看證書是否更新至最新版本。這一狀態位於「設備安全」(Device Security)下的「Secure Boot」區域,在完成相應更新後,介面會給出更詳細的安全狀態反饋。
根據Microsoft介紹,這一 Secure Boot 狀態顯示功能是透過 Windows 11 累積更新 KB5083769 推送的,適用於 Build 26200.8246 / 26100.8246 或更新版本的系統,但並非所有設備會在同一時間看到該功能,預計整個推送將在 2026 年 4 月底前逐步覆蓋全部支援設備。Microsoft在一份支援文件指出,2023 版證書會透過 Windows Update 自動下載並應用,而 Windows 安全中心的狀態顯示則告知使用者:設備是否已收到這些更新、目前所處狀態以及
是否需要採取額外操作。 在新的設計下,使用者可透過簡單路徑檢查 Secure Boot 狀態:開啟 Windows 安全中心,依序進入「設備安全」(Device Security)—「Secure Boot」,即可查看介面上的標誌與提示文字。這一模塊採用類似信號燈的三色標記方案:綠色代表「已完全更新,無需操作」;黃色意味著「存在安全建議」,可能需要聯繫電腦製造商更新固件;紅色則表示「需要立即關注」,通常說明因硬體或固件限制,Microsoft難以向該設備應用最新證書。
整體而言,當 Secure Boot 部分顯示綠色勾號時,提示將明確「設備已受保護,所有所需證書更新已完成,無需進一步修改」。當顯示黃色警告圖示時,則意味系統仍可運行,但存在安全建議,例如需要查看提示內容並據說明更新設備固件或相關組件。若出現紅色圖示,則說明系統在 Secure Boot 方面需要立即處理,這種情況往往出現在硬體零件無法滿足證書更新要求,或 Secure Boot 本身未啟用的設備上。
需要注意的是,Secure Boot 是正式安裝並運行 Windows 11 的強制硬體要求之一。對於透過非官方途徑通過硬體檢查、從 Windows 10 升級到 Windows 11 的使用者,Windows 安全中心更可能顯示紅色警報,提示 Secure Boot 未啟用,且缺少最新證書。Microsoft提醒,遇到這一情況時,使用者應盡快根據提示檢查 BIOS/UEFI 設定或與設備廠商聯繫。
Microsoft方面表示,大多數使用者無需為 Secure Boot 證書問題過度擔心,因為系統會自動透過 Windows 更新向絕大多數相容設備下載並應用 2023 版證書。不過,Windows Latest 的觀察顯示,部分設備上的 Secure Boot 證書更新正因固件限制而失敗,這意味著這些設備可能長期無法獲得新證書,對應的 Windows 安全中心狀態將持續顯示黃色或紅色警報。
即便如此,即使命未收到 Secure Boot 2023 證書,並不意味設備一定會變得不穩定或立即暴露在嚴重安全風險之下。報導指出,對大部分普通消費者而言,因 Secure Boot 證書未更新而遭遇實際攻擊的概率仍相對較低,但從長期維護和合規角度看,確保固件可更新、Secure Boot 正常啟用,並盡可能獲得最新證書,仍是提升整機安全性的關鍵步驟。
