IT 之家 5 月 18 日消息，微软向 Windows Latest 网站表示，Windows 11 2026 年 5 月更新（KB5089549）生成的全新安全启动（SecureBoot）文件夹，是安全启动证书更新过程中的正常现象，并非已知问题。如果你在 C 盘 Windows 目录下看到了该文件夹，无需将其删除，不过，它为什么会被创建呢？

2026 年 6 月，2011 年及更早签发的安全启动证书将正式自动过期，这意味着老旧证书亟需尽快完成替换。

据 IT 之家了解，安全启动证书是保障安全启动功能正常运行的必要文件，而安全启动是 Windows 11 系统强制要求的统一可扩展固件接口（UEFI）固件功能。目前主流新款电脑均默认开启该功能，能够在设备开机启动阶段拦截未经授权的软件，尤其可以有效阻止恶意程序加载运行。

2023 版安全启动证书将全面替换所有老旧证书。只要你的设备固件版本适配，普通用户无需手动进行任何操作。微软明确说明，用户安装每月累积更新后，重启一至两次电脑完成配置，系统就会通过 Windows 更新自动完成安全启动证书升级。

为赶在证书过期截止日期前完成部署，微软现已在符合条件的设备中，悄悄在 C:Windows 路径下新建 SecureBoot 文件夹，为证书平稳安装做好准备，该改动随 Windows 11 KB5089549（2026 年 5 月更新）同步推送上线。

微软此前在更新日志中，并未提及会新增这个用于存放安全启动证书的文件夹，直至大量用户发现这个陌生文件夹后，官方才更新相关说明文档作出解释。

微软在更新的官方支持文档中写道：本次更新会在适配设备的 C:Windows 目录下新增安全启动文件夹，文件夹内附示例脚本，主要面向企业 IT 运维人员，方便其批量管理旗下设备的系统更新工作。

理论上该文件夹仅面向企业运维管理员与商用设备，但如今已面向所有用户推送，就连 Windows 11 家庭版用户的电脑也会自动生成。

C 盘 Windows 目录下的安全启动文件夹内含什么内容？是否可以删除？

该文件夹内共有 7 个微软专为运维人员编写的 PowerShell 脚本，这些脚本本身不会擅自修改电脑内任何系统设置与文件。

其中 Detect-SecureBootCertUpdateStatus.ps1 脚本用于检测设备是否已安装 2023 新版证书，并将检测结果保存为 JSON 格式文件；另一款 Enable-SecureBootUpdateTask.ps1 脚本，则用于确保系统内置负责证书安装的定时任务处于正常开启状态。

普通用户完全无需理会这些脚本以及整个安全启动文件夹，建议保持原样不要改动。后续 Windows 系统更新可能会继续调用该文件夹，也可能在无需使用时直接自动移除。

微软：2023 版安全启动证书已大规模推送，可通过 Windows 安全中心查验状态

微软再度更新官方支持文档确认，2023 版安全启动证书现已大范围铺开推送，整合在系统累积更新当中。

还未收到证书更新的用户，大概率会在安装 Windows 11 2026 年 5 月更新后获取，但并非所有电脑设备都能顺利适配并安装新版证书。

经实测发现，数千台电脑因设备固件版本老旧，出现安全启动证书更新失败的情况。目前暂不清楚微软是否会出台相关补救方案，不过大概率不会针对性干预，用户可直接通过 Windows 安全中心查看当前证书运行状态。

打开 Windows 安全中心，进入设备安全性页面，下滑找到安全启动选项，页面会显示绿、黄、红三种状态提示：

绿色：安全启动运行正常，新版证书已成功部署

黄色：需手动处理，一般为更新设备固件后才能安装新版证书

红色：该设备硬件条件受限，大概率永远无法安装新版安全启动证书