微軟與 UEFI 韌體引發的「2011 舊憑證過期大風暴」

 微軟與 UEFI 韌體引發的「2011 舊憑證過期大風暴」，從起因到現場維修的拆彈流程，我幫您整理成一份完整的精簡精華版。您可以留存或當作店裡工程師的標準作業（SOP）參考：

🛑 核心問題：發生了什麼事？

• 起因： 微軟與各大硬體廠商在 2011 年制定的舊版安全開機憑證（Microsoft UEFI CA 2011）即將於近期到期。

• 影響範圍： 只要主機板有開啟 「UEFI 安全開機 (Secure Boot)」，無論是 Windows 還是 Linux 系統全部都會受到影響。

• 災情後果： 若沒及時對接 2023 年新憑證，電腦可能無法接收關鍵的安全啟動更新，甚至在未來更新或重置 BIOS 後面臨卡死在安全開機錯誤（Secure Boot Violation）、完全無法開機的風險。

🛠️ 第一階段：現場檢查與自保（確認狀態）

在動手任何大改動或刷 BIOS 之前，一定要先在 Windows 內確認兩件事：

1. 檢查安全開機（Secure Boot）狀態

以管理員身分打開 PowerShell 輸入：

PowerShell

Confirm-SecureBootUEFI

• 顯示 False：代表沒開安全開機，完全不會有開機風險！

• 顯示 True：代表有開，必須進入下一個最關鍵的「拆彈步驟」。

2. 檢查 BitLocker 加密（超級定時炸彈！）

許多新筆電或專業版系統出廠會自動加密，刷 BIOS 或動到憑證前不關掉，開機一定會被鎖死！ 以管理員身分打開 CMD 輸入：

DOS

manage-bde -status

• 若顯示 保護開啟 (Protection On)，代表已被加密，九成客人都不知道。

💣 第二階段：維修拆彈標準作業（SOP）

如果檢查出電腦有開啟 BitLocker 加密，請在進得去 Windows、擁有最高管理權限時（此時最安全、完全不需要密碼），依序執行以下動作：

步驟 A：一勞永逸，徹底解密關閉（建議一般客人這樣做）

在 CMD 中輸入：

DOS

manage-bde -off C:

• 作用： 系統會在背景默默把 C 槽完全解密並關閉保護。期間不影響客人使用，解密完成後，電腦愛怎麼搞、怎麼刷 BIOS 都絕對不會被鎖死。

• (可下 manage-bde -status C: 檢查進度，看到「已全面解密」即完成。)

步驟 B：無法關閉加密時，強行逼出備份金鑰

如果客人因公司規定不准關密碼，那就必須幫他把金鑰存出來備用。在 CMD 輸入：

DOS

manage-bde -protectors -get C:

• 作用： 畫面會直接顯示 48 位數的「修復密碼」。用手機拍照或記下來交給客人，未來萬一被鎖才有解。

• (提示：動手前也可以下 manage-bde -pause C: 暫停保護，更新完它會自動恢復。)

🎯 第三階段：終極解決方案（迎接新憑證）

當處理好 BitLocker 的安全退場機制後，要徹底解決 3 天後的憑證過期問題，有兩條路：

1. 老舊平台（官方已停更 BIOS）： 直接進入 BIOS，將 Secure Boot（安全開機）改為 Disabled（關閉）。只要關掉，電腦就不會去比對 UEFI 憑證，老電腦就能平平安安繼續用。

2. 主流或近年平台（一勞永逸的終極解法）： 上主機板或筆電官網，將 BIOS 刷到最新版本。大廠新版 BIOS 會直接在預設值裡寫入全新的 Windows UEFI CA 2023 憑證。刷完後，主機板跟 Windows 完美接軌，炸彈安全拆除！

這套流程的核心就是：先查加密 ➔ 活著時下指令解除（或備份金鑰） ➔ 關 Secure Boot 或刷最新 BIOS。

Chrome 網頁不能開

 

前往 Chrome 的「設定」 > 「重設設定」 > 「將設定還原為原始預設值」。這可以清除被竄改的預設搜尋引擎與首頁。

開機黑屏只剩一個滑鼠箭頭

 開機黑屏只剩一個滑鼠箭頭，這通常代表電腦其實已經成功開機並載入系統核心，但「Windows 檔案總管」（Explorer.exe）在載入桌面圖形介面時卡住了。

請先不要慌，這大部分是軟體或更新衝突引起的，硬體壞掉的機率比較低。我們可以按照以下幾個步驟，由淺入深來排查和修復：

步驟一：重啟「Windows 檔案總管」

這是最快也最常成功的解決辦法，直接強制系統重新呼叫桌面出來。

1. 在黑屏畫面上，同時按下鍵盤上的 Ctrl + Alt + Delete。

2. 畫面應該會跳出安全選項選單，請點擊 「工作管理員」（Task Manager）。

3. 如果找得到檔案總管： 在列表中尋找「Windows 檔案總管」，對它點右鍵選擇「重新啟動」。

4. 如果找不到，或畫面上沒東西：

   • 點擊工作管理員左上角的「檔案」→「執行新工作」。

   • 輸入 explorer.exe，並勾選「以系統管理權限建立此工作」。

   • 按下確定，看看桌面和工作列有沒有跳出來。

步驟二：強制重置顯示卡驅動

有時候是螢幕訊號或顯卡驅動在登入時錯亂。

• 在黑屏畫面上，同時按下 Win + Ctrl + Shift + B。

• 這時候螢幕會閃爍一下，並聽到「嗶」的一聲，這是 Windows 在強制重置顯示卡驅動程式，有機會瞬間恢復畫面。

步驟三：排除外接設備干擾

有時候部分 USB 裝置（如外接硬碟、讀卡機、甚至某些特定的 USB 擴充塢）在開機時會干擾系統的硬體偵測。

1. 長按電源鍵強制關機。

2. 拔掉除了鍵盤、滑鼠、螢幕以外的所有 USB 外接設備。

3. 重新開機試試看。

步驟四：進入安全模式（解除先前的更新或顯卡衝突）

如果上述方法都進不去，代表有些剛安裝的驅動或 Windows 更新卡死了，需要進安全模式處理。

1. 強制進入修復模式： 開機看到 Windows 標誌（或主機板 LOGO）時，立刻長按電源鍵強制關機。重複這個動作 2 到 3 次，系統就會觸發自動修復機制，進入「選擇選項」的藍色畫面。

2. 導航到安全模式：

   選擇 「疑難排解」 → 「進階選項」 → 「啟動設定」 → 點擊 「重新啟動」。

3. 重啟後，按下鍵盤上的 4 或 F4 進入「安全模式」。

4. 進入安全模式後的處理：

   • 如果能順利看到安全模式的桌面，代表硬體完全沒問題。

   • 請至「控制台」→「程式和功能」→「檢視已安裝的更新」，把最近一次（出問題前）的 Windows 更新解除安裝。

   • 或者，如果是剛更新顯卡驅動才變這樣的，請用 DDU 軟體或直接在裝置管理員中，將顯卡驅動程式回復到上一個版本。

   • 處理完後正常重啟電腦。

步驟五：修復系統損壞檔案

如果能透過步驟一打開工作管理員，或是進了安全模式，可以順便跑一下系統修復指令：

1. 打開「工作管理員」→「檔案」→「執行新工作」。

2. 輸入 cmd，並務必勾選「以系統管理權限建立此工作」，按下確定。

3. 在跳出的黑色視窗中，輸入以下指令（輸完一行按一次 Enter）：

   $$sfc /scannow$$

   (這會掃描並修復損壞的系統檔案)

4. 跑完後再輸入以下指令修復映像檔：

   $$Dism /Online /Cleanup-Image /RestoreHealth$$

5. 全部完成後，輸入 shutdown /r /t 0 重新開機。

您可以先從第一步試試看，通常 explorer.exe 重新呼叫或是顯卡重置（Win+Ctrl+Shift+B）就能解決大部分臨時卡住的狀況。如果卡在某個步驟或有其他畫面反應，隨時告訴我！

健保VPN+ADSL 雙網卡設定

🏥 診所雙有線網卡設定總整理 

方案特點： 一邊接健保 VPN，一邊接一般外網與印表機，互不干擾。

📋 第一部分：實體網卡 IP 詳細設定

請至「控制台 > 網路和共用中心 > 變更介面卡設定」，將兩張網卡手動重新命名。

項目	網卡 A (健保 VPN 專用)	網卡 B (外網 / 印表機)
PC1 (醫生機)	10.243.193.x	192.168.1.x (建議固定)
PC2 (掛號機)	10.243.193.x	192.168.1.x (建議固定)
子網路遮罩	255.255.255.240	255.255.255.0
預設閘道	留空 (不要填)	192.168.1.1 (小烏龜 IP)
主要 DNS	10.253.249.x	168.95.1.1
次要 DNS	168.95.1.1	8.8.8.8

💻 第二部分：核心路由指令 (Route)

必須以 系統管理員身分 執行 CMD 或 PowerShell。這會強制健保相關封包走 VPN 加密機。

1. 清除舊設定

route delete 10.0.0.0

2. 加入永久路由

請將下方最後一個 x 改為您加密機的實際 IP 末碼：

route -p add 10.0.0.0 mask 255.0.0.0 10.243.193.x

🛠️ 第三部分：進階優化設定 (必做)

為了確保電腦不會「走錯路」，請調整網路優先權（Metric）：

1. 網卡 B (外網)： - 進入「進階 TCP/IP 設定」 -> 取消勾選「自動計量」 -> 填入 10。

2. 網卡 A (健保)： - 進入「進階 TCP/IP 設定」 -> 取消勾選「自動計量」 -> 填入 100。

🖨️ 第四部分：印表機分享檢查

• 連線方式： 兩台 PC 的「網卡 B」皆接入同一台路由器/小烏龜。

• 分享方法： 在主機按下 Win + R 輸入 \\192.168.1.x 即可看到分享的印表機。

• 穩定建議： 請務必將「網卡 B」設為固定 IP，避免重開機後 IP 變動導致印表機失聯。

⚠️ 異常排除清單

• 無法開啟一般網頁： 檢查「網卡 A (健保)」是否誤填了「預設閘道」。

• 無法讀取健保卡： 確認網卡 A 是否有連上加密機，且 route -p 指令有成功執行。

• 印表機無法連線： 確認兩台電腦的「網卡 B」是否都在 192.168.1.x 網段。