4.1.1.1 PK/KEK/db/dbx 层级关系

文档摘要

4.1.1.1 PK/KEK/db/dbx 层级关系当UEFI Secure Boot的dbx列表突然“失明”：一次深夜紧急回滚中暴露的PK/KEK/db/dbx层级信任链断裂真相凌晨2:17，监控告警弹窗在终端右下角无声炸开——不是CPU飙高，不是磁盘IO阻塞，而是一行极不起眼却令人脊背发凉的日志：紧接着，三台生产环境边缘计算节点同时黑屏，停留在UEFI Shell界面，光标冰冷闪烁。这不是启动失败，是Secure Boot主动拒绝加载——它认出了那个签名，却判定它“不可信”。而那个文件，正是我们三天前通过微软官方渠道更新的Windows 11 24H2 Boot Manager。没人动过PK。没人重刷固件。没人篡改过密钥数据库。