微软在6月4日的答疑直播中确认,用于安全启动的Microsoft Corporation KEK CA 2011证书将于6月24日过期。微软强调,旧版证书到期后,Windows 10和Windows 11设备并不会在6月25日直接无法开机,已签名的允许数据库更新、注册表触发机制和计划任务仍会照常工作。

但真正的风险在于,如果设备没有装入新的2023版KEK证书,微软将无法再为新的吊销载荷签名。这意味着后续新发现的恶意引导程序封禁更新将无法推送,设备的安全防护能力会逐步退化。另一个关键节点在10月,届时DB相关证书也将到期。

打开网易新闻 查看精彩图片

对企业管理员来说,6月补丁更新是重要分水岭。多数主流设备在安装Patch Tuesday更新后,会由Intune自动完成证书更换,进入“高置信”状态。但微软提醒,设备分桶不仅看品牌型号,还细分到固件版本与日期,同型号机型可能处于不同更新状态。若设备显示“temporarily paused”,通常需要等待OEM固件更新,强行升级可能引发蓝屏或BitLocker循环。

微软建议不要被动等待所有设备自动就绪。对于白牌机、老旧服务器或遥测数据不足的设备,应尽快通过注册表或Intune设置目录策略手动触发更新。最稳妥的做法是先在每类机型或固件变体中选1台设备试点,确认成功后再分批推广,这样既能降低风险,也能用成功遥测帮助同类设备更快入库。