科技资讯：收到Windows 11的“KEK更新”通知？别慌，这是好事！一文看懂到底要不要装

如果你最近打开Windows更新检查更新，可能会发现一个待处理的更新——“Secure Boot Allowed Key Exchange Key (KEK) Update”（安全启动允许的密钥交换密钥更新）。这个更新需要重启系统才能完成安装。如果你暂时没看到这个更新，要么是已经安装过了，要么是很快就会推送。无论如何，这个更新最终都会来到你的电脑上，而且你确实需要它。

安全启动证书正在“换新”

安全启动证书最近频频成为话题，有些人认为只有企业用户才需要关注这事。没错，企业确实需要更加重视，但安全启动对普通用户的电脑同样重要。

安全启动是干什么的？

安全启动这个概念听起来可能有点复杂，但它的工作其实很直白。

它是基于UEFI固件的一项功能，用于验证只有受信任的软件才能在启动过程中运行。简单来说，它是你电脑UEFI固件中的一个功能，会检查重要的启动文件（比如Windows启动加载器），验证它们是否真的由受信任的机构签名。

当签名与固件中存储的受信任证书匹配时，软件才能被允许运行。Windows 11要求并利用安全启动来确保只有合法的启动软件获得运行权限，这样引导工具和其他恶意软件在Windows启动前就会被直接拦截。

证书也会过期，需要“续费”

就像网站证书一样，安全启动证书也有有效期。其中一个使用最广泛的证书是2011年发布的，将在2026年6月开始陆续过期。

一旦这些2011年的安全启动证书过期，你的电脑虽然仍能正常启动Windows，但可能无法验证更新的安全启动保护措施，比如更新的启动文件、被撤销的坏签名，以及针对未来启动层面威胁的修复程序。而这些验证对于Windows的安全性至关重要。

微软显然意识到了这个问题，正在用2023年的新安全启动证书替换旧版。如果你在Windows更新中看到了这个更新，说明你的设备终于要接收新证书了。这是个有益的更新，完全无害，放心安装就好。

微软分批推送，部分电脑已收到

微软选择了逐步推送的方式，所以“安全启动允许的密钥交换密钥更新”正在慢慢出现在各台电脑上。

根据测试，这个更新下载不到两分钟，安装也只需要2-3分钟。只需要重启一次，完成后不会有任何可见的变化——你的系统版本号保持不变。

另外值得一提的是，安装这个更新后，不会影响电脑性能或游戏帧率，完全可以放心。

如何确认安全启动证书已更新？

开头提到过，如果你没看到这个更新，要么是已经安装了，要么是还没推送到你的电脑。

想确认2023版安全启动证书是否已安装？方法如下：

1. 右键点击开始菜单，选择“Windows PowerShell (管理员)”
2. 复制粘贴以下命令并回车：

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

1. 如果显示 True，说明2023版证书已成功应用
2. 如果显示 False，则说明新证书尚未安装

显示false也不用担心，微软表示新证书正在逐步推送中，很快就会自动出现在你的更新列表里。

据最新消息，更多电脑本周已经开始收到新证书。而下周二（3月Patch Tuesday），微软将发布Windows 11的2026年3月累积更新，届时会有更多用户在常规安全更新之外，同时看到这个安全启动证书更新。

小提示：这是个必收更新，关乎你电脑启动环节的安全防护。建议收到通知的朋友及时安装一下！