近期先不要禁用 Windows 更新

secure boot 自己滚吧

@wjx0912 有教程吗，这是什么骚操作

@RainySeason 为什么我的需要点击“再暂停更新七天”才会叠加延长更新时间，也是按照你的方法，你改完注册表就是 2051 年了？

@BaiLinfeng #43 还要点一下 [高级选项] —— [暂停更新]

@RainySeason 这是在哪里？？有图？

1. 旧设备的 Secure Boot 信任 Microsoft Corporation UEFI CA 2011(CA2011)，目前 Windows 和大部分支持开箱即用的发行版、显卡/网卡/RAID 卡自带的 opROM 模块都是用该 CA 签名，这个 CA 也被几乎所有主板预置

2. CA2011 于 2026 年过期，但主流实现都会忽略 CA 过期

3. 但 2026 年微软会换用 Microsoft UEFI CA 2023(CA2023)给 Windows 和未来的发行版、opROM 签名

4. 但 CA2023 只有新主板会预置，老主板需要固件更新或者由 2024.7.9 更新以后的 Windows 会把 CA2023 加入信任，如果没更新，Secure Boot 会导致未来的 Windows 系统及安装盘被拒绝启动，因为它们没有信任 CA2023

5. 由于 CVE-2023-24932 ，目前 Windows 会通过 DBX 更新拉黑一批旧的 OS 引导器，这会导致这些旧系统/安装盘被拒绝启动，需要手动升级下引导器，新系统/安装盘没有这个问题

6. 由于 CVE-2023-24932 ，未来会将 CA2011 也拉黑，届时使用旧 CA 签名的 OS 引导器和 opROM 都会被拒绝加载，除非替换为由 CA2023 签名的版本

7.以上事情只会在 Secure Boot 打开的情况下发生

powershell 管理也身份执行 Get-SecureBootUEFI -Name db -OutputFilePath db.esl
然后打开 db.esl ，搜索 CA 2023 字符串，有的话就说明有新证书了