6月24日,微软和Linux社区同时敲响警钟。一个藏在电脑主板里的加密密钥即将过期,它管的事听起来像天方夜谭——但一旦出问题,你的电脑可能连系统都进不去。
这就是Secure Boot的中兴危机。听起来很技术,但原理不难懂。
你的电脑开机时,第一个跑的不是Windows,是主板里一段叫UEFI的代码。这段代码负责在系统加载前验证:你即将启动的系统是正经系统,不是被人动过手脚的盗版或者病毒。
验证用的就是密钥。2015年前后出厂的电脑,密钥有效期被设定为10年整。2025年6月24日,这批密钥集体到期。
具体影响多大?分三种情况:
(1) 大多数联想、戴尔、惠普商用机——包括大量企业采购的办公电脑,影响最严重。这些机器默认启用Secure Boot,密钥过期后可能直接拒绝启动系统
(2) 自行组装的水冷机、游戏主机——如果你自己选了Linux发行版而且手动配置过启动密钥,需要重新签发
(3) 苹果Mac——不受影响,macOS用的是自己的启动验证体系
说白了,受冲击最大的是企业用户和不懂技术的普通办公族。IT部门没在6月24日前更新固件的,现在可能正焦头烂额。
好消息是,微软和各大OEM厂商早就知道这事。惠普、联想、戴尔从今年初就开始推送固件更新。Windows 10和Windows 11用户如果打开了自动更新,理论上应该已经处理完毕。
但问题在于——很多企业的IT管理员根本没把这当回事。密钥过期不像病毒攻击,没有弹窗提醒,不会突然死机。它就是静悄悄地在某天早上让你的电脑开不了机,然后你才会发现:完了。
Linux用户的情况更分散。因为Linux发行版用的是开源的shim垫片机制,需要由微软代为签名。问题是很多小众发行版可能没来得及跟微软续签,或者干脆放弃治疗——你的Ubuntu或者Fedora明天还能不能打开,真不好说。
普通人现在该怎么做?
第一步:现在就重启电脑,检查是否能正常进入系统。如果能打开,基本没事。如果打不开,联系IT或者电脑厂商客服。
第二步:进入BIOS检查Secure Boot状态。具体操作是开机时按F2/F10/Del进入设置界面,找Secure Boot选项。如果你的电脑主要用来打游戏或者工作而非改装,强烈建议保持开启——它是防止bootkit病毒的最后一道防线。
第三步:关注厂商支持页面。惠普用户查HP Support Assistant,联想用户查Vantage,戴尔查SupportAssist。有固件更新的现在就打,别等到6月24日当天。
这整件事的讽刺之处在于:越是这种看不见的安全机制,越容易被人忽略。防火墙有告警,病毒有症状,唯独密钥过期——它就是一张过期驾照,平时没事,查到才后悔。
安全这东西,最难的不是技术,是时机。10年前埋下的定时炸弹,今天拆。下一个10年,谁知道又会埋下什么?