微软暂停Windows 11安全启动证书更新,因BitLocker修复界面卡死问题


2026年7月14日,微软微软正式确认,暂停部分Windows 11设备在尝试更新安全启动证书时遭遇严重故障,全启导致系统无限循环卡在BitLocker修复界面。动证为防止更多用户陷入无法启动系统的书更死问困境,微软已紧急暂停向存在风险的新因r修设备推送相关更新包。
安全启动机制与证书过期背景
安全启动(Secure Boot)是复界UEFI固件的一项核心安全机制,其核心作用是微软确保设备仅加载经过数字签名验证的可信启动组件,从而在系统启动早期阶段阻断恶意代码的暂停植入与执行。
随着时间推移,全启早年签发的动证安全启动证书陆续进入有效期尾声,引发了一系列兼容性挑战:
* Microsoft Corporation KEK CA 2011:已于2026年6月24日正式失效。书更死问
* Microsoft UEFI CA 2011:将于2026年10月到期。新因r修
为确保启动链的复界完整性与可信性,所有支持Windows 10和Windows 11的微软设备均需将UEFI安全启动数据库(DB)及密钥交换密钥(KEK)升级至2023年版本的证书。
故障根源:KB5094126更新引发的连锁反应
此次证书更新原计划通过2026年6月的常规补丁KB5094126实施。然而,在实际部署中暴露出严重的兼容性隐患:
- 触发BitLocker保护:当设备的安全启动状态、固件测量值或关键启动文件发生未预期的变动时,BitLocker会判定当前启动环境不可信,随即触发修复流程,强制要求用户输入恢复密钥。
- 固件不兼容导致死锁:若设备当前的BIOS或固件版本与KB5094126中包含的2023年证书不兼容,可信平台模块(TPM)将无法解封BitLocker加密密钥。这导致系统停滞于修复界面,且新证书无法成功写入UEFI固件。
历史重演与影响范围
此类问题并非首次出现。今年4月,某主流硬件厂商发布的BIOS更新曾导致部分高端机型反复进入BitLocker修复循环,甚至无法正常启动。随着6月KB5094126更新覆盖范围的扩大,更多设备暴露出相同的兼容性缺陷。
目前,微软已启动主动干预机制,对识别出的高风险设备限制该证书更新的自动推送。受影响用户在Windows安全中心将看到明确提示:
“由于已知问题,安全启动已被阻止。”
解决方案与建议
微软指出,根本解决路径在于更新硬件固件。但由于受限于硬件厂商的开发与测试周期,适配的BIOS更新尚未全面发布。用户需等待设备制造商提供适配版本后,方可完成完整的证书迁移。
在此期间,微软强烈建议用户:
* 备份恢复密钥:在执行任何BIOS更新前,务必提前备份并妥善保管BitLocker恢复密钥。
* 规避解锁障碍:此举可有效规避因更新引发的验证失败及后续无法解锁系统的严重障碍。







