如果你近期查看过事件查看器,可能会发现新增了一些关于安全启动证书的 TPM-WMI 错误日志。无需担心,并非只有你遇到该问题,许多 Windows 11 用户都发现这类日志无故出现,尤其是在安装了 2026 年 2 月周二补丁日的更新后。
Windows 事件查看器显示事件 ID 1801 错误。消息来源:Reddit
所幸这并非系统漏洞,微软正着手更新自 2011 年起启用的安全启动证书。这些老旧密钥的使用周期即将结束,目前 Windows 正逐步将设备迁移至新版证书颁发机构 ——Windows UEFI CA 2023。
安全启动是电脑开机阶段的防护功能,仅允许受信任的固件、引导加载程序和系统组件在 Windows 系统加载前运行。显然,若这类证书过期或失去信任,安全启动功能将无法发挥作用。
微软将此次证书更新整合至 2026 年 2 月的 Windows 11 (KB5077181)更新包中,在向电脑固件推送新密钥前,会先通过遥测技术开展可靠性验证。
因此,许多用户会在事件查看器中看到 “存在可用的更新证书”“处于观察阶段” 等日志提示,即便此时系统本身尚未发生任何实际变更。
需要注意的是,出现这些日志并不代表系统出现故障。多数情况下,Windows 只是在为设备完成更新准备、检测兼容性,等待合适的时机安全应用新版安全启动密钥。
为何事件查看器中会出现 TPM-WMI 错误?
大量 Windows 11 用户都发现了事件 ID 1801,同时还会伴随如下提示信息:“置信度等级:观察中 —— 需收集更多数据”
Windows 事件查看器显示事件 ID 1801 错误,其中置信度等级标注为 “观察中 —— 需收集更多数据”。
请放心,你的电脑安全无虞,硬件也未出现故障。Windows 在此记录的只是状态检查信息,并非错误或故障提示。
安全启动密钥存储在固件层面,且在整个电脑生态中通用,涉及原始设备制造商(OEM)固件、主板厂商和 Windows 系统等多方。因此,此次证书变更必须经过周密协调,避免因操作失误导致设备无法启动。
该更新过程分为两个独立步骤:
-
新版安全启动证书对 Windows 系统开放使用 -
后续将该证书正式应用至系统固件
大多数系统会在这两个步骤之间停留一段时间。
当事件查看器提示 “安全启动更新证书已可用但尚未应用” 时,说明你的设备已被检测、评估完毕,并已排入下一阶段的更新队列。“观察中” 的置信度等级,意味着微软仍在从你的设备收集更新可靠性数据,再推进固件层面的变更操作。
此外,Windows 会在固件完成适配前,提前在系统内下载并备好新版证书。在固件接受并记录新密钥前,事件查看器可能会持续记录提示更新待处理的状态信息。
这也是为何这些实际为更新准备阶段的提示日志,会以错误形式显示,但这并不代表 TPM 芯片故障、安全启动功能失效或 BIOS 损坏。需要说明的是,尤其是在此次分阶段推送更新的过程中,许多系统都会暂时处于这种状态。
如何检查电脑是否已安装新版安全启动证书
Windows 提供了一种简单的验证方法,可检查系统中是否已存在 Windows UEFI CA 2023 证书。该方法不会对系统做任何修改,且完全安全。避免电商平台上买到无良二手电脑 30秒傻瓜式操作让你避险
步骤 1:以管理员身份打开 PowerShell
右键点击开始菜单,选择 “Windows PowerShell (管理员)” 或 “终端 (管理员)”。
步骤 2:严格按如下格式运行验证命令
((System.Text.Encoding)::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
PowerShell 输出结果确认 Windows UEFI CA 2023 证书更新完成
步骤 3:查看命令运行结果
- True:表示 Windows UEFI CA 2023 证书已成功存入你的安全启动数据库,即便事件查看器仍显示更新准备或观察状态,也说明你的系统已完成更新就绪。
- False:表示你的设备尚未收到该证书,这并非系统错误,无需进行任何手动操作,你的电脑只是在等待更新推送队列的排期。
如何在事件查看器中验证更新状态
若 PowerShell 命令返回结果为 True,你还可以在事件查看器中查看官方日志完成二次验证,无需翻阅数千条事件记录,具体操作如下:
-
打开事件查看器(在开始菜单中搜索即可)。 -
导航至 “Windows 日志”>“系统” 栏目。 -
在右侧窗格中,点击 “筛选当前日志...” 选项。 -
在 “事件来源” 的下拉菜单中,向下滚动并勾选 “TPM-WMI”(也可能显示为 “Microsoft-Windows-TPM-WMI”)。 -
点击 “确定” 完成筛选。
筛选完成后,查找事件 ID 1808,若能找到该日志,说明新版安全启动证书已成功应用。你也可能看到事件 ID 1034,该日志表示安全启动吊销列表(DBX)的更新也已同步完成处理。
你也可能看到事件 ID 1034,该日志证实安全启动吊销列表(Dbx)已随密钥一同完成更新。
需注意,这两种验证方式的结果可能不同步。部分用户会遇到 PowerShell 返回 True,但事件查看器仍记录 “证书未应用至固件” 的警告日志,这属于正常现象。
系统层面的更新会率先完成,而固件层面的应用则会延后,有时需要重启设备或安装其他系统更新后才会完成。
若 PowerShell 返回结果为 True,说明你的系统已完成必要的更新准备,此时可以放心忽略事件查看器中的相关记录。
现在需要更新 BIOS 吗?
不需要,你无需急于更新 BIOS。
关于此次更新推送,最大的误解之一是认为微软会直接推送固件变更,实则不然。BIOS 和 UEFI 固件由设备制造商全权掌控,而非 Windows 更新。这意味着,若没有戴尔、联想、惠普、华硕、宏碁等原始设备制造商的协调配合,微软无法贸然为所有电脑的固件更新安全启动密钥。
固件变更远比系统更新更为精细且风险更高:Windows 更新失败后可以回滚恢复,而固件更新失败则可能导致电脑彻底无法启动。因此,原始设备制造商必须对安全启动密钥的迁移进行严格的兼容性验证,只有在确认更新不会影响设备专属配置后,才会发布相关固件更新。
仅在以下情况下,你才需要考虑更新 BIOS:
-
设备制造商明确通知你进行 BIOS 更新 -
BIOS 更新的说明文档中,明确提及安全启动证书相关变更 -
你熟悉固件更新操作流程,并清楚了解其中的潜在风险
我们也建议你避免使用各类变通方法,如清除安全启动密钥、启用设置模式或手动修改固件设置等,这些操作主要面向企业级用户,若操作不当会大幅降低系统的安全性。
如果你觉得微软近期在后台开展了大量的系统安全相关工作,那事实确实如此。尽管此次安全启动证书更新是大势所趋 —— 毕竟旧版证书已使用 15 年,而微软也正致力于打造默认安全的 Windows 系统生态。
如何摆脱恼人的Gmail收件箱广告的方法