[產品資訊] Windows 安全開機憑證更新
Answer
安全開機憑證(Secure Boot)更新指南
安全開機(Secure Boot)是一項防止未經授權軟體在系統啟動階段執行的關鍵安全功能。由於微軟原有的 2011 年憑證將於 2026 年 6 月到期,需更換為新的 2023 年憑證,以確保系統能持續接收 Windows 開機元件的安全更新。
官方資訊參考:立即行動:安全開機憑證將於 2026 年 6 月到期
________________________________________________________________________________
憑證到期後會有什麼影響?
即使原有憑證到期,電腦仍然可以正常開機進入 Windows。然而:
- 安全性更新受阻:系統將無法安裝針對「開機載入器(Bootloader)」的安全性修補程式。
- 安全性降低:系統啟動階段較容易受到 Bootkit 等底層惡意軟體攻擊。
- 修復困難:若未來開機檔案損壞,使用新版復原媒體修復時可能因憑證不符而遭到 BIOS 攔截。
________________________________________________________________________________
如何在 MSI 筆電上更新憑證?
依照您的處理器世代與 MSI 提供的支援方式:
1. 搭配 Intel 12 代 / AMD Ryzen 5000H 及更新處理器的機台
MSI 已針對此世代(含之後)的機型陸續釋出包含新憑證的 BIOS 版本。
前往 MSI 官網支援頁面 下載並更新至包含「Update Secure Boot Key: Windows UEFI CA 2023 & Microsoft UEFI CA 2023」說明之最新 BIOS 。
憑證啟用: 更新 BIOS 後,建議靜候Windows Update自動將憑證啟用;若有提前更新需求,亦可參考微軟規範進行手動啟用(參考下列方法第3點)。
2. 搭配 Intel 7-11 代 / AMD Ryzen 3000H-5000U 處理器的機台
此類機種主要透過系統端的安全更新進行憑證轉換。
建議靜候 Windows Update 自動推送更新憑證。微軟預計2026 年起會透過每月累積更新自動完成此程序。
注意:此方式需要您的作業系統處於 Windows 10 (22H2) 或 Windows 11 版本。
若有提前更新需求,亦可參考微軟官方指南手動套用憑證更新(參考下列方法第3點)。
3. 手動套用登錄檔更新(進階用戶 / IT 管理員)
若需提前測試或由 IT 統一管理,可參考微軟官方說明的登錄檔(Registry)更新方式:
如何確認 MSI 筆電是否已成功更新?
您可以透過以下方式檢查目前的憑證狀態:
若筆電已完整更新並啟用新的憑證,在事件紀錄器 – TPM-WMI,事件ID 1808會顯示”此裝置已更新安全開機 CA/金鑰”,表示系統已完全啟用新的憑證。
若筆電已更新包含新憑證的BIOS版本,但憑證尚未被啟用,在事件紀錄器 – TPM-WMI,事件ID 1801會顯示”此裝置上提供了更新的安全開機憑證,但尚未套用到韌體。請檢閱已發佈的指南以完成更新並維持完整的保護”。此時只需要開啟Windows update,透過微軟每月推送的累積更新自動啟用新憑證。若希望能立即解決事件ID 1801,可參考上述更新方式3手動套用登錄檔更新。
若筆電未更新包含新憑證的BIOS版本,或是舊機種未提供包含新憑證的BIOS更新,在事件紀錄器 – TPM-WMI,事件ID 1801會顯示”需要更新安全開機 CA/金鑰”。此時只需要開啟Windows update,透過微軟每月推送的累積更新自動安裝新憑證。若希望能立即解決事件ID 1801,可參考上述更新方式3手動套用登錄檔更新。
