验证失败主因是签名核验等环节中断,需重启Software Protection服务、用DISM注入CAB、解压MSU后安装、重置证书缓存或启用测试签名模式。
如果您在安装 Windows 11 补丁时遇到“验证失败”提示,通常并非补丁文件本身损坏,而是系统在签名核验、证书链加载、服务状态或本地策略校验环节中断所致。以下是针对性排查与修复步骤:
一、重启Software Protection服务
该服务负责验证数字签名与许可证状态,若处于停止或异常状态,会导致所有更新包(含 CAB/MSU)签名验证失败。
1、按下 Win + R 打开运行对话框。
2、输入 services.msc 并回车,打开服务管理器。
3、在服务列表中找到 Software Protection。
4、右键该服务,若状态为“已停止”,则选择“启动”;若状态为“正在运行”,则依次选择“停止”后再“启动”。
5、关闭服务窗口,重启电脑后重试补丁安装。
二、手动注入CAB包绕过Windows Update校验
当Windows Update服务因证书缓存污染或签名策略收紧而拒绝验证时,可使用DISM工具直接将已下载的CAB包注入系统,跳过在线签名验证流程。
1、以管理员身份打开 终端(右键开始按钮 → “终端(管理员)”)。
2、执行命令:dism /Online /Add-Package /PackagePath:"C:\路径\补丁名.cab"。
3、确保路径用英文双引号包裹,且 /PackagePath: 后无空格。
4、等待返回“操作成功完成”,不显示“验证失败”即表示绕过成功。
三、提取MSU内CAB并重新签名验证
MSU文件包含嵌套签名信息,部分补丁在双击安装时会触发严格证书链校验;手动解压后单独安装CAB可规避该层校验逻辑。
1、在C盘根目录新建文件夹 C:\temp\msu_extract。
2、将待安装的 .msu 文件复制到 C:\temp。
3、在管理员终端中执行:expand -F:* C:\temp\补丁名.msu C:\temp\msu_extract。
4、进入 C:\temp\msu_extract,找到生成的 *.cab 文件。
5、对该CAB文件执行DISM注入命令,路径指向该.cab文件。
四、重置Windows Update证书缓存
系统可能缓存了过期或吊销的微软根证书,导致无法验证新补丁的签名链。清空CryptSvc相关缓存可强制刷新证书信任状态。
1、以管理员身份运行终端。
2、依次执行以下命令(每行回车):
net stop CryptSvc
ren %systemroot%\System32\CatRoot2 CatRoot2.old
net start CryptSvc
3、执行完成后重启电脑。
4、重启后再次尝试通过Windows Update安装补丁。
五、启用测试签名模式临时加载未完全验证补丁
适用于企业环境或开发者场景下需紧急部署尚未完成全链签名认证的内部补丁。该模式允许系统加载带有测试签名的驱动或更新组件。
1、以管理员身份运行终端。
2、输入命令:bcdedit /set testsigning on 并回车。
3、系统提示操作成功后,重启电脑。
4、重启后桌面右下角将显示“测试模式”水印,此时可尝试安装此前验证失败的补丁。
