如何在 Windows 11 和 10 上檢查您的電腦是否擁有更新的安全啟動證書

• 微軟 2011 年的安全啟動證書將於 2026 年 6 月到期。
• 新的 Windows UEFI CA 2023 憑證將保護期限延長至 2053 年。
• 2024 年或之後購買的設備通常已經包含更新後的證書。
• 舊電腦會透過 Windows 更新逐步接收更新。
• 您可以使用 PowerShell 指令驗證憑證狀態。

在某些Windows 11和 Windows 10 裝置上，2011 年首次頒發的安全啟動憑證將於 2026 年 6 月到期。儘管微軟正在積極地用 2023 年的證書替換它們，但您仍應確認您的系統已過渡到更新的證書，以防止啟動或安全中斷。

安全啟動是統一可擴充韌體介面 (UEFI) 中的一項基於韌體的保護功能，它確保設備僅載入由製造商進行數位簽章和信任的軟體。它透過防止在作業系統載入之前對關鍵啟動元件進行未經授權的變更來保護啟動過程。

為了實現這一點，安全啟動使用加密金鑰（稱為憑證授權單位 (CA)）來驗證韌體模組和引導程式。這些憑證創建了一條信任鏈，可以阻止惡意程式碼在啟動初期運行。

與所有數位憑證一樣，安全啟動 CA 憑證也都有規定的到期日。 2011 年頒發的證書將於 2026 年 6 月到期，這意味著系統必須安裝更新的 2023 年證書，才能繼續接收更新並正常啟動，避免信任驗證失敗。

由於數位證書有到期日，系統必須在 2026 年 6 月 2011 年 CA 到期之前安裝 2023 年證書，才能繼續正常啟動和接收更新。

2024 年或之後購買的設備通常已經包含新的證書。對於較舊的硬件，微軟正在透過 Windows 更新分發這些憑證。

微軟已透過定期系統更新自動識別並更新安全啟動證書，因此除了保持Windows 更新啟用並在 2026 年 6 月截止日期前安裝每月安全性更新之外，無需其他手動操作。不過，檢查並確認您的設備是否擁有相應的證書始終是明智之舉。

在本指南中，我將概述檢查 2023 年安全啟動證書是否已安裝在您的電腦上的步驟。

• 使用 PowerShell 檢查您的電腦是否擁有 Secure Boot 2023 憑證。
• 使用 Windows 安全中心檢查您的電腦是否擁有 Secure Boot 2023 憑證。

使用 PowerShell 檢查您的電腦是否擁有 Secure Boot 2023 憑證。

若要檢查您是否擁有「更新的」2023 年安全啟動憑證（此憑證將取代 2026 年到期的憑證），請依照下列步驟操作：

1. 在 Windows 11 中開啟「開始」功能表。

    

    

2. 搜尋PowerShell（或終端機），以滑鼠右鍵按一下第一個搜尋結果，然後選擇「以管理員身分執行」選項。

3. 輸入以下指令檢查安全啟動憑證的到期日期，然後按 Enter 鍵： 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

完成這些步驟後，如果輸出結果為“True”，則表示您已獲得新憑證（有效期至 2053 年）。如果輸出結果為“False”，則表示您可能仍在使用 2011 年的憑證（將於 2026 年到期）。

安全啟動 2011 憑證將於 2026 年到期－每張憑證的作用是什麼？

幾乎所有現代安全啟動鏈都依賴微軟 2011 年的證書，這些證書的到期日期如下：

• 微軟公司 KEK CA 2011（2026 年 6 月 24 日）。 
• Microsoft Corporation UEFI CA 2011（2026 年 6 月 27 日）。
• Microsoft Option ROM UEFI CA 2011（2026 年 6 月 27 日）。
• Microsoft Windows 生產 PCA 2011（2026 年 10 月 19 日）。

作為參考，以下是每份證書的作用：

• KEK 憑證：允許更新安全性啟動簽章資料庫 (DB/DBX) 的信任錨。
• UEFI CA 憑證：信任開機載入程式和韌體元件（包括第三方 EFI 應用程式）的簽章。
• Option ROM CA：信任韌體選項 ROM 模組。
• Microsoft Windows Production PCA 2011：確保 Windows 開機載入程式和相關二進位檔案在安全啟動下受到韌體的信任。

如果您的憑證即將過期，微軟和您的電腦製造商 (OEM) 將透過 Windows 更新或系統更新自動推送韌體更新或「DBX」更新，以註冊新的 2023 年 CA 憑證。您也可以隨時手動安裝新的安全啟動憑證。

為什麼事件檢視器中會出現事件 ID 1801（以及為什麼它不是錯誤）

最後，您可能會注意到，事件 ID 1801出現在「TPM-WMI (Microsoft-Windows-TPM-WMI)」來源上，並帶有「BucketConfidenceLevel: Under Observation – More Data Needed」訊息。

雖然看起來像個錯誤，但並非故障。此條目表示作業系統已偵測到更新的安全啟動證書，但尚未將其套用到韌體中。

目前該設備正處於測試和驗證階段，微軟正在逐步推送更新。由於安全啟動金鑰存在於 UEFI 韌體中，並會影響啟動鏈，因此整個過渡過程經過精心協調，以避免啟動問題。

簡單來說，事件 ID 1801 只是一個狀態檢查，表示 Windows 正在評估您的設備，作為安全啟動憑證部署的一部分。「正在觀察」訊息反映了該評估過程。它並不表示 TPM 問題、安全啟動損壞或 BIOS 故障。儘管被記錄為錯誤，但它僅供參考。

安全啟動證書的轉換分兩個階段進行。首先，Windows 11（或 10）會下載新憑證並將其載入到作業系統內部。之後，經過相容性檢查和驗證，憑證會被寫入系統韌體並啟動。

設備可以在這兩個階段之間停留一段時間，這就是為什麼即使沒有出現任何問題，TPM-WMI 條目仍可能繼續出現在事件檢視器中的原因。

使用 Windows 安全中心檢查您的電腦是否擁有 Secure Boot 2023 憑證。

除了使用 PowerShell 之外，Windows 安全中心應用程式也已更新，可以顯示將於 2026 年到期的安全啟動憑證的確切狀態。 

若要檢查您的電腦是否具有最新的安全啟動證書，請依照下列步驟操作：

1. 打開開始。

2. 搜尋「Windows 安全中心」，然後點擊第一個搜尋結果以開啟該應用程式。

3. 點選左側面板中的「裝置安全性」 。

4. 確認安全啟動徽標的顏色和訊息。

5. （選項 1）綠色表示系統已完全更新為最新的憑證和啟動元件。

   

6. （選項 2）黃色表示更新正在進行中或受相容性限制。

   

7. （選項 3）紅色表示系統無法套用所需的更新，需要介入。

   

完成這些步驟後，您將更清楚地了解是否無需採取任何行動，或者是否需要繼續執行手動流程，以使用更新版本的安全啟動憑證更新系統的韌體。

您在 Windows 安全性中心應用程式中看到的這則訊息與透過 Windows 更新推播的憑證更新有關。系統會評估韌體相容性、驗證憑證部署，並即時報告結果。

微軟正在逐步向 Windows 更新應用程式推送此更新。如果您無法確定憑證狀態，請使用 PowerShell 選項。

此外，從 2026 年 5 月開始，系統層級通知將反映這些狀態，從而提高需要採取行動時的可見度。