微软新近公布的这则有关安全更新的消息,使得众多依旧在运行旧版Windows的用户,体会到了那种措手不及的感觉,特别是那些还逗留在10系统的用户,他们将会面临一个或许没办法自行解决的难题。
老旧凭证即将全面失效
2026年6月起,微软系統里,三张关键的安全启动凭证会陆续过期,这些凭证名为KEK CA 2011、UEFI CA 2011和PCA 2011,是整个系统安全启动链条的信任基础,它们在2011年就被签发,有效期长达15年,现在终于到了寿命尽头。
要是这些根证书没得效了,那受影响的可便是一群数量庞大的设备。个人电脑上的10、11版本会受影响,数据中心里正在运行的各种版本也会受影响,其中涵盖2025、2022、2019甚至2012年的系统,这些都毫无例外得要更新。这些全部基本上把微软过去十多年发布的所有主流操作系统都包含了,其范围宽广程度在近年来是少见的。
过期后果极其严重
若用户于2026年6月的期限来临之前,并未完成更新操作,那么后果将会极其 straightforward 而 substantial。最为 central 的 Boot 功能,将无法正常运行,这也就意味着系统难以对后续任何安全更新的真实性予以验证。于2026年6月之后,微软所发布的全部安全补丁,都将无法被安装。
带来的影响更为广泛的是,第三方软件以及硬件驱动也会受到连累。任何于2026年6月之后运用新凭证开展数字签名的程序或者驱动程序,在没有更新凭证的旧系统之上都会被视作不可信进而无法运行。这能够致使许多新软件没办法安装,新硬件无法被识别。
更新推送时机引发困惑
事实上,被用于替换老凭证的新安全证书,微软早在2023年就已签发完毕。而且,微软于去年,也就是2025年7月,就已发布通告,提示用户要更换这些即将到期的凭证。然而具体的更新推送却被安排在了2026年1月。
换言之,从公告发布出来起,一直到实际上能够借助系统更新而获取新凭证,这期间存在着差不多长达半年的空白时间段。这样的一种安排致使诸多 IT 管理员心生不解之意,他们觉得要是能够更早地进行推送,那么就能够给企业留出更为充足的测试以及部署时间,进而得以避免在期限靠近的时候变得手忙脚乱。
10普通用户陷入困境
个人用户以及小型企业中的大多数,使用并非LTSC长期服务版的10系统,会面临尴尬状况。按照微软更新策略,这部分用户不能借常规系统更新而自动获取那三张新凭证。唯一办法是加入要付费的ESU扩展安全更新计划。
就算是用户亲自手动从微软的官方网站那儿下载了单独的凭证更新安装包,在运行此安装包的时候,安装程序也会先去检查系统是不是已经注册了ESU。要是检查没有通过,更新程序就会拒绝去执行。这实际上是把免费用户拦住到门外了,使得他们要么去付费,要么去升级系统。
11与服务器用户路径不同
相比于 10 普通版的用户,11 用户的情形要简单许多。新的安全启动凭证被涵盖于 2026 年 1 月以及之后发布的月度累积更新里。只要用户维持系统更新处于开启状态,这些新凭证便会自动进行下载和安装,全部过程并不需要用户去进行干预,能够实现平滑过渡。
面向服务器版本的用户,不管是哪种情况,只要系统处在主流支持时段或者扩展支持阶段,均可借助标准的Windows Update 获取那些必要的证书更新。微软还为已停止支持的老款服务器系统预备了单独的更新包。
企业应对策略与建议
在面对如此这般的变更之际,企业的 IT 部门务必要即刻展开行动。首先,得对内部全部受到影响的 Windows 设备进行仔细清点,尤其是那些运行着 10 非 LTSC 版本且并未加入 ESU 计划的电脑。而拟定清晰明确的升级或者更新路线图,这是具有相当重要意义的。
对于那种依旧得持续使用“10”的相关环境而言,能够思索着把其转化成“10 LTSC 2021”或者“2024”这个版本哦:这些版本是会持续获取涵盖像这类核心更新的那样的支持的。还有另外一个更加彻底的方案是,去规划着升级到“11”或者更新的操作系统,以此从根源上规避此类兼容性方面的问题呢。
于微软持续加紧针对旧系统支持之政策情形下,你所处之单位或者你这个人是怎样处置那些好似“年纪虽老却愈发强壮”的旧电脑的?是抉择付费以延续其使用期限,还是决然进行升级更新换代呢?欢迎于评论区去分享你自身的经验以及看法。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
