微軟與 UEFI 韌體引發的「2011 舊憑證過期大風暴」,從起因到現場維修的拆彈流程,我幫您整理成一份完整的精簡精華版。您可以留存或當作店裡工程師的標準作業(SOP)參考:
🛑 核心問題:發生了什麼事?
起因: 微軟與各大硬體廠商在 2011 年制定的舊版安全開機憑證(
Microsoft UEFI CA 2011)即將於近期到期。影響範圍: 只要主機板有開啟 「UEFI 安全開機 (Secure Boot)」,無論是 Windows 還是 Linux 系統全部都會受到影響。
災情後果: 若沒及時對接 2023 年新憑證,電腦可能無法接收關鍵的安全啟動更新,甚至在未來更新或重置 BIOS 後面臨卡死在安全開機錯誤(Secure Boot Violation)、完全無法開機的風險。
🛠️ 第一階段:現場檢查與自保(確認狀態)
在動手任何大改動或刷 BIOS 之前,一定要先在 Windows 內確認兩件事:
1. 檢查安全開機(Secure Boot)狀態
以管理員身分打開 PowerShell 輸入:
Confirm-SecureBootUEFI
顯示
False:代表沒開安全開機,完全不會有開機風險!顯示
True:代表有開,必須進入下一個最關鍵的「拆彈步驟」。
2. 檢查 BitLocker 加密(超級定時炸彈!)
許多新筆電或專業版系統出廠會自動加密,刷 BIOS 或動到憑證前不關掉,開機一定會被鎖死! 以管理員身分打開 CMD 輸入:
manage-bde -status
若顯示
保護開啟 (Protection On),代表已被加密,九成客人都不知道。
💣 第二階段:維修拆彈標準作業(SOP)
如果檢查出電腦有開啟 BitLocker 加密,請在進得去 Windows、擁有最高管理權限時(此時最安全、完全不需要密碼),依序執行以下動作:
步驟 A:一勞永逸,徹底解密關閉(建議一般客人這樣做)
在 CMD 中輸入:
manage-bde -off C:
作用: 系統會在背景默默把 C 槽完全解密並關閉保護。期間不影響客人使用,解密完成後,電腦愛怎麼搞、怎麼刷 BIOS 都絕對不會被鎖死。
(可下
manage-bde -status C:檢查進度,看到「已全面解密」即完成。)
步驟 B:無法關閉加密時,強行逼出備份金鑰
如果客人因公司規定不准關密碼,那就必須幫他把金鑰存出來備用。在 CMD 輸入:
manage-bde -protectors -get C:
作用: 畫面會直接顯示 48 位數的「修復密碼」。用手機拍照或記下來交給客人,未來萬一被鎖才有解。
(提示:動手前也可以下
manage-bde -pause C:暫停保護,更新完它會自動恢復。)
🎯 第三階段:終極解決方案(迎接新憑證)
當處理好 BitLocker 的安全退場機制後,要徹底解決 3 天後的憑證過期問題,有兩條路:
老舊平台(官方已停更 BIOS): 直接進入 BIOS,將 Secure Boot(安全開機)改為
Disabled(關閉)。只要關掉,電腦就不會去比對 UEFI 憑證,老電腦就能平平安安繼續用。主流或近年平台(一勞永逸的終極解法): 上主機板或筆電官網,將 BIOS 刷到最新版本。大廠新版 BIOS 會直接在預設值裡寫入全新的
Windows UEFI CA 2023憑證。刷完後,主機板跟 Windows 完美接軌,炸彈安全拆除!
這套流程的核心就是:先查加密 ➔ 活著時下指令解除(或備份金鑰) ➔ 關 Secure Boot 或刷最新 BIOS。
沒有留言:
張貼留言