Secure Boot 関連 スレ Windows 11 Forum
最終更新:
icd2010memo 2026年04月16日(木) 02:11:56履歴
Secure Boot 関連 スレ Windows 11 Forum
本ページおよび本Wikiの内容は無保証です。
Updating Microsoft Secure Boot keys before expiration in June 2026
Feb 13, 2024〜 2026.1.14〜
ttps://www.elevenforum.com/t/updating-microsoft-secure-boot-keys-before-expiration-in-june-2026.22477/page-21#posts
Step 1: Inventory and prepare your environment
Step 2: Monitor and check your devices for Secure Boot status
Step 3: Apply OEM firmware updates before Microsoft updates
Step 4: Plan and pilot Secure Boot certificate deployments
Step 5: Troubleshoot and remediate common issues
#3
セキュア ブート DB と DBX 変数の更新イベント
元の発行日: 2022年6月15日 KB ID: 5016061
https://support.microsoft.com/ja-jp/topic/%E3%82%B...
KB5036210: セキュア ブート許可署名データベース (DB) への Windows UEFI CA 2023 証明書の展開
https://support.microsoft.com/ja-jp/topic/kb503621...
(どちらも元投稿は米国英語記事、便宜上日本語記事)
#165 2025年11月4日
セキュア ブート許可署名データベース (DB) の更新を取得しました
#167 2025年11月4日
これは新しいセキュア ブート キー用でした
KB5036210: セキュア ブート許可署名データベース (DB) への Windows UEFI CA 2023 証明書の展開
https://support.microsoft.com/ja-jp/topic/kb503621...
(元投稿は米国英語記事、便宜上日本語記事)
#168
それはよかったですね
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
True
#200
Secure Boot Allowed Key Exchange Key (KEK) Update
#KEK 2K CA 2023 ?
#201
AvailableUpdates 0x5944 グループポリシー設定の「セキュアブート証明書の展開を有効にする」に対応
イベントビューアー
#236
ADK
#240
Make2023BootableMedia.ps1は、USBブートドライブをアップデートするためのMS公式ソリューション
この方法は複雑で、多くの場合、..
2.copy C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi K:\EFI\Boot\bootx64.efi
このドライブがブート可能でない場合は、..
copy C:\Windows\Boot\EFI\bootmgfw.efi K:\EFI\Boot\bootx64.efi
..
#248
Ask Microsoft Anything: Secure Boot
Thursday, Feb 05, 2026, 8:00 AM PST
ttps://techcommunity.microsoft.com/event/windowsevents/ask-microsoft-anything-secure-boot/4486023
#265
PSスクリプトがうまく動作しないので、BIOSをアップデートし、Rufusと2023証明書を使って11をインストール
その後、「Windows UEFI CA 2023」を自分でダウンロードしてインストール ..
#294
2011を失効させると、現在利用可能なインストールメディアからの起動ができなくなりますか?
#295
現時点では、CA 2011を失効させていないため、USBメモリのCA 2011ブートファイルは許可されています
#305
セキュア ブート用の DBX やその他の更新がある場合にシステムがそれを受信できるように設定されていることを確認するために .. 使用しています
#グループ ポリシー セキュア ブート
#309
WindowsUEFICA2023Capable = 2
前回の再起動時に新しい CA 2023 ブートファイルが使用されたか、次回の再起動から同じファイルが使用されるかのいずれかを意味
#310
TPM WMI 1808 は、2023 証明書が BIOS にインストールされ、 Win11の起動時に 2023 証明書が適用された際に表示される
#331
Lenovo ThinkStation P360 Ultraで問題が発生
BIOSを最新バージョンにアップデート キーの復元 PSコマンド False
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes)
Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Lenovo ThinkCenterでも同じBIOSアップデートとキーの復元 .. 問題なく動作
#334
ThinkStation セキュアブートDBデータのリストに Microsoft UEFI CA 2023 と表示
ThinkCenter Microsoft Corporation Windows UEFI CA 2023 と表示
#336
BIOSまたはアップデートプロセスが正しく実行されていれば、両方の証明書が表示されるはず
#337
Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
レジストリ WindowsUEFICA2023Capable = 0
Windows UEFI CA 2023 がありません
#338 ガーリン
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#339
約5年前購入 Lenovo ThinkPad BIOSアップデートがあった
WindowsUEFICA2023Capable が2ではなく 1
#340
1 Windows UEFI CA 2023 証明書が DBにインストールされています
2 新しいブート マネージャーをインストールする必要があります
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#341
HP ProDesk 400 G5 Mini BIOSを更新し、キーの復元を実行
#342
BIOSのリセットはうまくいかなかったようです
スクリプトでエラーが発生しています
#344
SBKPFV3というラベルの付いたHPファームウェアは、CA 2023証明書の工場出荷時サポートを備えています。これは、完全準拠であることを皆様にお知らせするためのHP独自の特別なタグです。
ファームウェアは正しいですが、証明書キーをバックフィルするためのリセットプロセスが正しく機能したかどうかは不明です
AvailableUpdates 0x400 は有効なビットマスク値にマッピングされていません
#346
ThinkStation向けにリリースされた不具合のあるBIOSアップデート 返信を受け取りました
新しいセキュアブート証明書データが含まれているはずでしたが、コーディングに誤りがあり、正しい証明書情報が含まれていませんでした。Lenovoはこの問題を認識しており、まもなく修正されたBIOSアップデートをリリースする予定です
#347
すべてのPCベンダーに求められる最低限の要件は、動作するKEK CA 2023を提供することです。残りはベンダーの支援なしにMicrosoftがインストールできます
#348
セキュアブート証明書の有効期限は2026年に切れます。準備や導入についてご質問がありますか?このAMAで回答、洞察、ヒントをご確認ください
#350
MSの人曰く、一部のUEFIではセキュアブートが無効になっているとセキュアブートのアップデートができないそうです
#351
PowerShell 2026年2月のプレビュー/2026年3月の月次アップデートで更新
進行中のセキュアブートキーのロールアウト管理に役立つ2つの新しいPowerShell機能 導入
Get-SecureBootUEFIコマンドレットは、セキュアブートキーと証明書を読み取り可能な形式で表示する-Decodedオプションをサポートするようになりました
Get-SecureBootSVNコマンドレットを使用すると、デバイスのUEFIファームウェアとブートローダーのセキュアブートセキュリティバージョン番号(SVN)を確認し、デバイスが最新のセキュアブートポリシーに準拠しているかどうかを報告
1. Get-SecureBootUEFI -Name DB -Decoded
2. Get-SecureBootSVN
PS C:\Windows\System32> Get-SecureBootSVN
#356
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023 Microsoft
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
..
成功 更新は不要です
#358 ガーリン
スケジュールされたタスクは動作が遅いことで知られており、呼び出されてもすぐに一部の処理が実行されません。そこで、遅延なくすべての変更を一度に適用できる独自の更新スクリプトを作成しました
ただし、不足しているのはオプションROMだけなので、不足している証明書がなくてもシステムは正常に動作しているため、少し待つのは許容範囲でしょう
#359
動作しません。3時間経過し、5回再起動しても変化なし
#364
お使いのBIOSは2019年12月版なので、CA 2023証明書はサポートされていません。UEFIセットアップメニューを使用して、KEK CA 2023証明書を追加できる可能性 あり
#366 ブリンク
Windows セキュリティ アプリのセキュア ブート証明書の更新状態
元の発行日: 2026年4月2日 KB ID: 5087130
https://support.microsoft.com/ja-jp/topic/windows-...
(日本語ページ)
#367 ガーリン
MSが新しいセキュアブートの状態アイコンを表示するには、Windows UpdateがKB5007651(SecurityHealthUI)の新しいバージョンを必須のセキュリティ更新プログラムとして配信する必要があります
#368
PowerShell スクリプトの実行に問題があります cmdが認識されません
#369 ガーリン
PowerShell の実行ポリシー権限が適切でない可能性がありますが、このスクリプトセットをダウンロードできます garlinの PowerShellスクリプトを使用して Secure Boot CA 2023を更新し、Check-UEFI.bat を実行すれば、すべての場合に動作するはずです
#370
チェックの結果、データベースのエントリはすべて2011年のままでした 残念です
#374
C:\Temp_SecureBootCheck>Check-UEFI.bat -verbose
PowerShell 7.6.0 Win11 25H2 26200.8117
ASUSTeK マザーボード PK 証明書
.. (\Temp_SecureBootCheck> は任意 )
#375 ガーリン
>#374
BIOSには工場出荷時のデフォルト設定でKEK CA 2023認証が含まれていますが、現在は適用されていません
私も同じ問題に直面しています。工場出荷時のデフォルト設定にはCA 2023証明書が多数含まれていますが、ライブ変数には含まれていません
すごい。これは新しく書き直されたBIOSだ
工場出荷時にKEK CA 2023が搭載されているので、アップデートスクリプトは問題なく動作するだろう。まずはこれを試して
Update-UEFI.bat
スクリプトはKEK CA 2023を追加できないとエラーを出すかもしれませんが、ファームウェアが最新なのでUEFIセキュアブートメニューに入り、..
#380
はい、BIOSで証明書の削除と追加を行いました ..
#383
やったー!
デスクトップ PC のタスクは完了しました。残りは DELL のラップトップだけです
#385
「PCA 2011は取り消されていない」という表示は、今年後半に自動的に適用されるのでしょうか ?
#386 ガーリン
後で取り消すことも、今すぐ取り消すこともできます。どちらを選ぶかは、ご自身の判断によります ..
#389 #390
Secure boot
Secure Boot is on and all required certificate updates have been applied. No further certificate chanes are needed.
Secure boot
Secure Boot is on, preventing malicious software from loading when your device starts up.
#396
開発ビルド26300.8142と Canary 28020.1797で新しいテキストを確認しました
#397
フェーズ1
セキュアブート証明書の更新状況が、デバイスのセキュリティページに表示されます
フェーズ2
実行可能なセキュアブート状態と実行不可能なセキュアブート状態に関するアプリ通知
黄色(注意)の状態では、ユーザーは通知を非表示にするオプションを選択して、この状態に関する新しい通知を抑制できます
ユーザーが赤色(重大)の状態に対して「リスクを承知しました。通知は不要です」を選択できるオプション
2026年5月16日(予定) Win11 ..24H2、25H2、.. および Windows Server 2025 2026年5月16日 アプリアップデート
#402
今朝確認したところ、私の2台のPCの「デバイスセキュリティ」に新しいテキストが表示
Secure boot
Secure Boot is on and all required certificate updates have been applied. No further certificate chanes are needed.
#403
Windows セキュリティ プラットフォームの更新プログラム - KB5007651 (バージョン 10.0.29554.1001)
セキュア ブート 緑
「セキュア ブートは有効になっていますが、古いブート トラスト構成を使用しているため、更新する必要があります。
自動更新のためにデバイスを分類するのに十分なデータがありません。詳細については、以下のリンクを参照してください」と表示
#405
私の2台のPCのどちらにもKB5007651アップデートが適用されませんでした
#417
#418 ガーリン
セキュリティセンターは、セキュアブートモードが有効になっているかどうかだけを気にしているわけではありません
#422
(緑-2)父のPCにこのメッセージ
セキュアブートは有効になっていますが、古いブート トラスト構成を使用しているため、更新する必要があります。
自動更新のためにデバイスを分類するのに十分なデータがありません。詳細については、以下のリンクを参照してください
私のPC(緑-1) Garlinのスクリプトを使ってキーを更新し、
「セキュアブートが有効になり、必要な証明書の更新がすべて適用されました」というメッセージ 表示
#424 ガーリン
KEK CA 2023 と Windows UEFI CA 2023 の両方が存在することを確認する必要があります。そうでない場合、証明書を認証するための対応する KEK CA 2023がない状態で Windows UEFI CA 2023が存在すると、誤検出となります..
このレジストリ キーは、更新の成功を示すより良い指標です
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\
UEFICA2023Status 未開始 進行中 更新
#425
本日の更新後、イベント ID 1808 メッセージのテキスト
BucketConfidenceLevel: Under Observation - More Data Needed から
BucketConfidenceLevel: High Confidence に変わりました
#426 ガーリン
MSは、すべてのユーザーの PCを信頼度バケットに割り当てます。信頼度バケットでは、同じ PCマザーボード/モデルと BIOSバージョンを共有するすべてのユーザーがグループ化されます。他のユーザーの更新が正常に完了したことが検出されると、信頼度バケットは高信頼度に変更されます
今日の更新により、MSは信頼度バケット内のすべてのユーザーに更新プログラムをプッシュしても安全であると判断しました。つまり、WindowsはそのグループのPC を処理し、セキュアブートの更新を完了します
一部のユーザーの PCには十分なデータが存在しないため、しばらくの間「データが不足しています」のままになります
#428 ガーリン
MSは セキュアブート有効化+KEK+Windows UEFI の組み合わせを「安全」とみなしています
Tutorials >
Check if Secure Boot is Enabled, Disabled, or Unsupported in Windows 11
Apr 10, 2024〜
ttps://www.elevenforum.com/t/check-if-secure-boot-is-enabled-disabled-or-unsupported-in-windows-11.24248/
Tutorials >
Enable or Disable Secure Boot in Windows 11
Apr 24, 2024〜
ttps://www.elevenforum.com/t/enable-or-disable-secure-boot-in-windows-11.24620/
Did you manually update your Secure Boot Keys ?
May 26, 2025〜 2026.1.15〜
ttps://www.elevenforum.com/t/did-you-manually-update-your-secure-boot-keys.36443/page-78
#1
"HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name “AvailableUpdates” -Value 0x40
Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
#967
microsoft corporation kek 2k ca 2023.crt
#968
1) Microsoft Corporation KEK 2K CA 2023 (KEK)
microsoft/ secureboot_objects
ttps://github.com/microsoft/secureboot_objects/blob/main/PreSignedObjects/KEK/Certificates/microsoft%20corporation%20kek%202k%20ca%202023.der
secureboot_objects/PreSignedObjects/KEK/Certificates/microsoft corporation kek 2k ca 2023.der
#1,436
定期的に Check Windows state.cmd を実行して、ステータス Updated が表示されるかどうかを確認してください。Updated と表示されたら、Check UEFI PK, KEK, DB and DBX.cmd を実行してください
1541
msinfo32 セキュアブートはオン Confirm-SecureBootUEFI True
1544
Secure Boot Allowed Key Exchange Key(KEK)Update
1545
他のデバイスは古いので、アップデートされるかどうかはわかりません
1546
Mosby を使用していましたが、どのマシンでもこれらの更新は確認されていません
1547
Mosbyは異なる手順を採用しています。OEMが生成したKEKを必要としません
OEMサポートのない古いコンピューターのセキュアブートを更新するためにMosbyを使用できる
1548 Mosbyを使う理由は、メーカーの数千台規模のマシンにしか存在しないクローンではなく、各マシンに固有のPKを生成するという点
#PK プラットフォームキー
1549 セキュア ブートの状態: 有効
現在の UEFI PK
√ HP UEFI セキュア ブート PK 2017
デフォルトの UEFI PK
√ HP UEFI セキュア ブート PK 2017
現在の UEFI KEK √ Microsoft Corporation KEK CA 2011 (失効: False) √ Microsoft Corporation KEK 2K CA 2023 (失効: False) √ HP UEFI セキュア ブート KEK 2017 (失効: False) デフォルトの UEFI KEK √ Microsoft Corporation KEK CA 2011 (失効: False) X Microsoft Corporation KEK 2K CA 2023
√ HP UEFI セキュア ブート KEK 2017 (失効: False)
現在の UEFI DB
√ Microsoft Windows Production PCA 2011 (失効: False)
√ Microsoft Corporation UEFI CA 2011 (失効: False)
√ Windows UEFI CA 2023 (失効: False)
√ Microsoft UEFI CA 2023 (失効: False)
√ Microsoft Option ROM UEFI CA 2023 (失効: False)
√ HP UEFI セキュア ブート DB 2017 (失効: False)
デフォルトの UEFI DB
√ Microsoft Windows Production PCA 2011 (失効: False)
√ Microsoft Corporation UEFI CA 2011 (失効: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
√ HP UEFI セキュア ブート DB 2017 (失効: False)
現在の UEFI DBX (安全を保つには最新のものだけが必要です)
2025-06-11 (v1.5.1): 成功: 430 件の成功を検出
2025-10-14 (v1.6.0): 成功: 431 件の成功を検出
続行するには . .
#1,552
Option ROM UEFI CA 2023だけが足りない
(Microsoft Option ROM UEFI CA 2023)
#1,553
OEM以外では修正できません
#1,557
OROM証明書
1561
ASUS 最近、古いTuf Z590ボード(System 2)用の新しいBIOSをリリース
1566
2026年2月の月次アップデート
24H2の今回のリリースでは、セキュアブート署名データベース (DB) に Windows UEFI CA 2023 証明書が既に存在するデバイスにおいて、ブートマネージャーで更新が実行されます
これにより、2011署名の bootmgfw.efi が 2023署名の bootmgfw.efi に置き換えられます。DB のリセットやセキュアブートのオン/オフは、「セキュアブート違反」の問題を引き起こす可能性があるため、ご注意ください。このような稀なケースが発生した場合は、
Secure Boot recovery media(セキュアブート回復メディア)を作成することで解決できます
UEFIに CA 2023証明書がインストールされている場合、Windowsは新しい CA 2023ブートファイルへの切り替えを試みます。今月のアップデート前にセキュアブートのアップデートを強制実行したユーザーは、変更を確認できません(ブートファイルは既に切り替え済みです)
1567
Windows Bootmgr SVN を手動で更新/修正する方法はありますか?
1568
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
1572
DBX v1.6.0 BIOSアップデートに含まれていましたか?
1573 ガーリン
新しいBIOSをインストールする主な目的は、CA 2023証明書をKEKとDBに追加すること ,,
1575
デフォルトでは、どのベンダーもDBXを証明書で更新しません。これは、準備ができていないシステムの起動をブロックしてしまうためです。すべてのベンダーがオプションROM証明書をデフォルトで含めるわけではありませんが、KEK CA 2023のインストール後にWindowsから追加できます
すべての DB または DBX 証明書は、認証のために KEK が必要です
PK のみが KEK 証明書を認証できるため、KEK CA 2023 が間違った場所に存在する場合、..
Act now: Secure Boot certificates expire in June 2026
Jun 26, 2025〜
ttps://www.elevenforum.com/t/act-now-secure-boot-certificates-expire-in-june-2026.37372/
#3
MSは、.. UEFI ファームウェア内の証明書を参照
#27
Windows UEFI CA 2023
Microsoft UEFI CA 2023
Microsoft Corporation UEFI CA 2011
Microsoft Windows Production PCA 2011
#34
なぜ Microsoft UEFI CA 2023を使用している人がいるのに、私にはそれがないのでしょうか
#44
24H2のクリーンインストールでは、CA 2011はDBXに追加されません
#54
Mosby
Releases · pbatard/UEFI-Shellから最新の UEFI-Shell ISO をダウンロードします。
この ISO の内容を FAT 形式の USB ドライブに抽出して、起動可能なドライブを作成します (注: Rufus を使用して ISO ダウンロード機能から UEFI シェルをダウンロードすると、最初の 2 つの手順を 1 回の操作で実行することもできます)。
そのドライブを更新したいプラットフォームに接続し、UEFI 設定に進み、セキュア ブートが有効になっていることを確認しますSetup Mode。
USB ドライブから起動し、Mosbyシェル プロンプトに入力して、指示に従います
Rufusの作者 ..
#64 UEFI ShellではなくWin11を選択しています。バージョンの選択にご注意
#56
Windows UEFI CA 2023(Windows セキュア ブート署名ブートローダ用)
Microsoft UEFI CA 2023(その他のセキュア ブート署名ブートローダ用)
#78
1. MSは昨年、これらの証明書を通常の月次アップデートで置き換える予定でしたが、一部のPCパートナーから、MSが自動展開する前に修正すべき深刻な問題があるとの報告があり
2. そのため、これは強制的な変更の前に、意識を高めるための早期勧告です。現在は、「オプトイン」して手動で更新プロセスを行うことができます
3. これまでの進捗状況に関するフィードバックに基づき、MSは更新されていないPCをお持ちのすべてのユーザーに強制的に更新を実施する時期(2026年)を決定します。PCが何度も再起動する以外は、特に影響は感じられないはずです
4. このプロセスは、予期せぬ問題が発生する一部のPCでは機能しなくなる可能性がありますが、
回避策としてセキュアブートを一時的に無効にすることができます。MSはPCメーカーと協力して、対応が遅れているPCの修正策を検討する必要があります
#133
Windows Production PCA 2011 証明書をセキュアブートUEFI禁止リスト(DBX)に追加しないでください。MSは、追加するとシステムの起動に失敗する可能性があるとユーザーに警告しています
現在、Win11は、DBにPCA2023が既に存在する場合でも、一部のデバイスで古いPCA2011証明書を使用
Windows Production PCA 2011 を禁止した場合、次回のWindowsのクリーンインストールでシステムの起動に失敗する可能性
#137
BIOSでDBXをクリア ..?
#140
有効期限が切れていない証明書を禁止すると、Windowsをクリーンインストールした後に起動しなくなります
#147
MSは、ユーザーが手動で行う必要はなく、これらの手順を自動的に実行します。証明書の有効期限が切れる前に禁止する必要はありません。MSは、これにより問題が発生する可能性があるとユーザーに警告しています
#151
Windowsは現時点では CA 2011を禁止しません。これは後日、月次アップデートで対応する予定です
#152
セキュアブートを一時的に無効にすると、..
#161 Mosby
#163
キーをインストールしようとしていますが、うまくいきません。Mosby はセットアップ モードではないと言っていますが、セットアップ モードにリセットするあらゆる手順を試しましたが、そのエラーを回避できません
#167
OEM に加えて、GIGABYTE、ASUS、MSI、ASRock などの多くのマザーボード メーカーも、ユーザーに追加の手順を要求することなく、最新の BIOS ファームウェアに新しい証明書を組み込んでいます
#169 ガーリン
セキュアブートを一時的に無効にするには、私のPSスクリプトのようなものを実行します。許可した証明書(DB)と禁止した証明書(DBX)を確認します
#172
Mosbyは公式の方法ではありません
#177
> bootmgfw_2023.efi を bootx64.efi に名前変更し、USB メモリ上の bootx64.efi ファイル「drive:\efi\boot\bootx64.efi」を更新済みのファイルに置き換えました
Windows ブータブルメディアを正しく更新すれば、「bootx64.efi」ファイルを置き換えるのではなく、boot.wim が適用されます
#179
MSは ..OSのインストールまたはリカバリに使用するWindowsディスクについて言及しており、Macriumやその他の起動ディスク(ディスク作成時に独自のboot.wimが作成される)については言及していません
#182
イベントビューアーのシステムタブには、タスクを実行するたびにTPMイベントが作成されます。ある時、DBを更新する前に再起動が必要だというメッセージが表示されました。
再起動しないと更新は失敗します
#184
自分はうまくいったので、うまくいった手順を説明しただけです
#185
レジストリ 1
#197
値が 1 の場合、CA 2023 証明書は既にあるが、新しいブート マネージャーを使用していないことを意味します
#198
EFIパーティション内のbootmgfw.efiファイルとbootmgr.efiファイルを手動で置き換え、システムを再起動すると、WindowsUEFICA2023Capableの値が2に変更されました
#201
ファームウェアにPCA 2023証明書が含まれていれば、それは有効です。WindowsUEFICA2023Capableが1と表示されていても、これは有効
ファームウェアに PCA 2023 証明書がインストールされていることを確認し、Microsoft の次の手順を待つだけです
#205
ASRockはかつて、ファームウェアのアップデートによって9800X3Dが故障するという問題に遭遇
#212
私のノートパソコンでは汎用の2023年版Microsoft証明書をインストールできませんが、..
#213
Nimoラップトップの UEFIファームウェアは完全には UEFIに準拠していない可能性あり
#216
BIOSアップデートで回復不能な問題が発生したことは一度もありません
特定のアップデートが全く失敗しなかったとは言えませんが、..
#217
特に昔のBIOSアップデートではよくありました
#218
MSI Center や Windows アップデーターによるアップデートは ..
#223 Windows ADK
#226
MSが公式ISOを更新しないのは、CA 2023証明書が適用されているかどうかがわからないため
(最終的には、CA 2023専用と明記されたバージョン .. ?)
..
(2025年11月 26200.7171 .. )
#234
MSが ..問題を修正するまで、..古いCA 2011証明書は禁止しません
#237
Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
#243 イベントID 1795
#247
MS 把握しているすべての製造元に連絡を取り、KEK 更新パッケージへの署名を依頼している
少なくとも、新しい CA-2023 KEK (および誰も悪用できない一意の PK) をインストールするMosby
Mosby の開発者
#258
C:\bootmgfw_2023.efi プロパティ- デジタル署名 (?)
#266 Microsoft Option ROM UEFI CA 2023
#274
現在、2025年7月8日 - KB5062553(OSビルド26100.4652)以降に更新されたUUPからビルドされたISOのみが、第2ステージで新しいWindowsブートマネージャーを正しく使用できます
#276
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#288
スクリプトを改良
try {
$kek_Certs = @((Get-SecureBootUEFI kek | Get-UefiDatabaseSignatures).SignatureList.SignatureData.Subject | where { $_ -match 'Microsoft' } | foreach { $null = $_ -match $CN_regex; $Matches[2] })
}
2) EFI KEK 証明書の Microsoft Corporation KEK 2K CA 2023 を取得するにはどうすればよいですか?
#290
原則として、マザーボードメーカーはKEK 2023キーをプッシュする最近のUEFIアップデートを提供しているはず
ただし、アップデートするには古すぎるとして放棄されている場合は除きます
#293
カスタムモードの有効化をオフにすると、Windows UEFI CA 2023証明書が削除され、セキュアモードをオフにしないとシステムが起動しなくなります
.. セキュア ブートが再び機能するようになりました
私のDellには、セットアップモードやユーザーモードはなく、展開モードと監査モードがあります
#300 bootx64.efi
#305
誰かが Redditで私の質問に答えてくれた そして
microsoft/ secureboot_objects
secureboot_objects/PostSignedObjects/Optional/DB/amd64/DBUpdateOROM2023.bin
ようやく Dell XPS 15 9570 で Mosby が動作するようになりました
Microsoft UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Option ROM UEFI CA 2023
#307
Mosby Generated PK 2025...
#310
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
True
#314
√ Microsoft Option ROM UEFI CA 2023 (失効: False) <<<以前は「X」、現在は「√」..
315
「reg add ...」コマンドはコマンドプロンプトで管理者として実行し、「start-ScheduledTask ..」コマンドはPowerShellで管理者として実行する必要があります。コマンドプロンプトを開いてreg addコマンドを実行した後は、コマンドプロンプトウィンドウを閉じないでください。「powershell」と入力してEnterキーを押すだけで、PowerShellが起動します
#316
c:\bootmgfw_2023.efi ファイルのプロパティで表示されるのは
Microsoft Windows、sha256、2025年10月8日 13:35:59 だけ
UEFICA2023Status NotStarted
WindowsUEFICA2023Capable 1 (hex)
ステップ 10 (BIOS で新しい証明書を確認):
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEKDefault).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbDefault).bytes) -match 'Windows UEFI CA 2023'
True
#318
Microsoft Windows、sha256、2025年10月8日 13:35:59
それを選択し、[詳細]> [証明書の表示]> [証明パス]タブをクリック
321
ほとんどのユーザーにとって、期限切れの証明書は Windows Update を通じて Microsoft によって自動的に更新されるため、これは問題ではありません。これは、結局は大騒ぎにならなかった Y2K をめぐるパニックに似ています
#322
MicrosoftとDellが私のマシンを自動アップデートしてくれた
#323
Macium Reflect は、2025年11月19日の最新アップデート (v 10.0.8731) で「リカバリ メディア」も更新
#325
今週初めにセキュアブートのアップデートをインストールするように促されたときはホッとしました。インストールはすぐに完了し、問題もありません
#329
2台お持ちのようですね 第9世代と第10世代Intelでしょうか ?
#330
2023年1月に購入したHPノートPCの 2011年CAが(DBXデータベースで)失効しています
Win11 Pro 25H2 26200.7171
#332
MokiChU URL
Option ROMを含むすべての証明書がインストールされました。
1週間前にHPノートパソコンのBIOSアップデートを実行しましたが、日付は2025年9月25日でした。これに2023 KEKが含まれていたかどうかはわかりません。HPはアップデートに含まれる内容について正確な情報を公開していません
2011CAの失効は、2つのインストールUSB(24H2と25H2)のブートファイルを2023の署名済み証明書で更新した後、自分で行いました
#337 Macrium Reflect
#340
Mosbyを実行し、すべての証明書をインストールして更新し、2011年のWindows証明書を失効させましたが、すべて正常です
#341
「Check UEFI KEK, DB and DBX.ps1」スクリプトを実行すると、DBXチェックで「失敗」と表示されるのはなぜか
#346
古いバージョンのスクリプトファイルをご利用になっている可能性
追伸:失効方法を教えていただけますか ?
#349
古いASUSマザーボード、最後のBIOSは2021年製 数週間前に MoKiChUスクリプトを実行して完了 デフォルトの2023 CAとKEKには赤いX
#352
私の懸念は、何がうまくいかないかということだけでなく、CA/PCA2011を実際に失効させた場合の影響についても
#353
MSが「強制」段階に入ったとしても、いずれにせよ問題が発生しないという確信は持てません
Windows CA 2011キーの失効を全員に強制する段階です
その頃にはMicrosoftは2023署名のインストーラーISOを提供 ?
私は2011キーを失効させておらず、Microsoftが失効させるまで失効させるつもりはありません
#354
起動可能なメディアを CA 2023 で動作するように修正する方法
#358
Check UEFIセキュアブートスクリプトの正確な使い方 を教えていただけますか ?
#360
赤い×印が付いた結果が表示 修正できますか
Adding CA Certificates to Mini PC with N150 processor
Jul 17, 2025〜
ttps://www.elevenforum.com/t/adding-ca-certificates-to-mini-pc-with-n150-processor.38021/
#2
このコマンドを管理者として実行すると何が起こりますか?
powershell -C "Get-SecureBootUEFI db"
Transition to the new Windows UEFI CA 2023 Certificate
Sep 25, 2025〜
ttps://www.elevenforum.com/t/transition-to-the-new-windows-uefi-ca-2023-certificate.40204/
Error 1801 Telling me to update my Secure Boot CA/Keys ?
Oct 14, 2025〜
ttps://www.elevenforum.com/t/error-1801-telling-me-to-update-my-secure-boot-ca-keys.40910/
#TPM-WMI イベント ID: 1801 について
2025-10-28 Microsoft Japan Windows Technology Support Blog
ttps://jpwinsup.github.io/blog/2025/10/28/UEFI/Secure%20Boot/about-tpm-wmi-1801/
[INFORMATION] Secure Boot : Windows UEFI CA 2023 Update
Oct 23, 2025〜
ttps://www.elevenforum.com/t/information-secure-boot-windows-uefi-ca-2023-update.41267/
Secure boot update HowTo
XxXxX Nov 13, 2025〜 2026.1.28〜
ttps://www.elevenforum.com/t/secure-boot-update-howto.41997/
#1
パート A
AvailableUpdates 0x40
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match "Windows UEFI CA 2023"
True
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\
Servicing
UEFICA2023Status updateing
WindowsUEFICA2023Capable 0x00000001
パート B
1. 管理者として CMD プロンプトで ..
2. PowerShell内で ..
AvailableUpdates 0x5944
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\
Servicing
UEFICA2023Status 更新済み
WindowsUEFICA2023Capable 0x00000002
#2
MSが 2023 KEKのアップデートを発表するまで待つ必要
#5
パート A はCMD 管理者権限で実行 PowerShell 管理者権限で実行
#12
Secure Boot playbook for certificates expiring in 2026
Ashis_Chatterjee Nov 13, 2025
ttps://techcommunity.microsoft.com/blog/windows-itpro-blog/secure-boot-playbook-for-certificates-expiring-in-2026/4469235
..
#19
すっかり最新情報をゲットしました
UEFICA2023Status Updated
WindowsUEFICA2023Capable 0x00000002(2)
#446
1番目のコマンドは管理者コマンドプロンプトで、
2番目のコマンドは管理者PowerShellで 実行してください
AvailableUpdates 0x5944
Servicing UEFICA2023Status WindowsUEFICA2023Capable 0x00000002
#447
赤い「X」には変化がありません。CA2011はまだデフォルトのままで、CA2023はデフォルトではない ..
#450
ここで提案されていること ..うまくいき.. パート A 管理者として PowerShell を開き、..
#451
cjee21のダウンロードには 8つのツールと、それらの使用方法を示す README ..
#455
cjee21のREADMEには、MSの更新サーバーが処理を完了するまでに12時間かかることがあると..
#461
「true」ではなく「false」が返されたので、どうすればよいかを判断する必要
#462
再開時には、 パート 1 をもう一度実行する必要があります。再開の間隔は、各再開の間に 5 分から 15 分程度空けてください
#466
セキュア ブートのアップデートを実行しようとすると、依然として「誤った」通知が表示されます。
#468
HP レガシー サポートを無効にし、セキュア ブートを有効に
セキュア ブート構成が見つからない場合 BIOS ファームウェア更新
GPTパーティション スタイル を使用
UEFIと互換性のあるTPM 1.2 .. TPM 2.0要件を満たしていません
#476
セキュア ブートが無効になっている場合、コンピューターは 6 月以降も起動できるかどうか
#478
(証明書を更新するには)UEFIで起動する必要
#479
コンピューターは2012年製のHP Windows UEFI CA 2023 証明書をファームウェアの内部データベース(セキュアブート署名データベース)に正しく取り込み、保存するための必要なメカニズムが欠けている
HPは新しいWindows CA 2023証明書について、2017年以降に発売されたシステムのみをサポート
#480
T-430 は、新しい CA 2023 証明書を取得するコンピューターのリストに、Lenovo に掲載されていません
2011 Microsoft セキュアブート証明書の期限切れについて – Lenovo 法人向けPC
https://support.lenovo.com/jp/ja/solutions/HT51812...
#Lenovo 法人向けPC
#481
新しいCA 2023証明書がないと、セキュアブートUEFIもWindowsブートも、2026年6月以降、必要なWindowsセキュリティ更新プログラムを取得できません。UEFIは引き続きCA 2011証明書を使用します。
コンピューターで金融取引を行う場合は、必ずCA 2023証明書を取得する必要があります
#486
新しい証明書の取得をサポートするUEFIファームウェアが必要です。一部のコンピューターには古いUEFIが搭載されており、これらのCA 2023証明書を取り込むことができません
#488
グループ ポリシー セキュア ブート
の設定/機能は一般ユーザーにとって役立つでしょうか
#490
Lenovo T490 すべて「未構成」
garlinのスクリプトを使って証明書を手動で更新
#491
私のものはすべて未構成
#493
3つのうちの1つ .. 有効にすると自動展開がブロックされます。以下の説明は分かりにくい
#495
3つすべてを構成済みに設定してみました。そして再起動。イベントビューアでエラーメッセージを確認していたところ、nvlddmkm 153、つまりGPUドライバーエラーが表示 ..
#500
今朝、コンピュータの電源を入れ、数時間待ってからWindowsUEFICA2023Capableをチェックしたところ、値は(2)になりました
#501
GPO の方法は、 AvailableUpdateを操作するのと同じです。この場合、ポリシーは値を0x5944に設定します(CA 2023 証明書を追加しますが、CA 2011 証明書は失効しません)。GPOは、以下を実行するのと同じ
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
powershell -C Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
(AvailableUpdates REG_DWORD 0x5944 )
#507
SecureBoot.admx (ポリシー テンプレート) は、2025年10月以降の月次更新プログラムに含まれています
#512
レジストリ UEFICA2023Status NotStarted
#514
パート Aの再起動の間隔を 5〜15分ほど空けて、HowToの両方の部分を再度実行してください
パート Aの開始後、システムの 2回目の再起動後にパート Bが開始されます
パート B が完了すると、「更新済み」ステータスに達するまでに複数回の試行または数時間/数日かかる場合があります
これはまったく制御不能であり、更新がすぐに行われることもあれば、時間がかかることもあります
#517
今は「更新済み」と表示されています。ありがとうございます
#520
ほとんどのシステムは、最終的には Windows Updateを通じて自動的にアップデートされるはずです。ただし、古いシステムではアップデートされない可能性があります
#522
Microsoftは「今後数か月以内に、証明書の更新状況に関するメッセージがWindowsセキュリティアプリで利用可能になり、ユーザーが証明書の更新をより詳細に追跡できるようになります」と記載しています
場合によっては事前に「ファームウェアのアップデート」が必要になる場合もあると記載されています。特に古いコンピューターの場合は、この点が問題になるかもしれません
#523
regedit のステータスは「進行中」です。REG SZ の信頼レベルは「観察中 - 追加データが必要」です
#526
専用のスクリプトを実行して、PCが更新可能かどうかをより正確に判断する必要
#527
ハウツーのパート 1、ページ 1の投稿 #1をお試しください。
ただし、2回の再起動の間に 10 〜 15分ほど時間を置き、ハウツーのパート 2に進む前にレジストリをチェックして変更があるかどうかを確認してください
#528
昨日、何らかの理由で全てを台無しに
現在、私のDell Latitude E5440(Win10 Pro)はセキュアモードでは起動しませんが、非セキュアモードでは起動
#529
UEFIを工場出荷時の設定にリセットしたため、UEFI CA 2023証明書がデータベースに存在しないと思われます
1. 古いブートファイルをコピーし直す
mountvol S: /s
copy C:\Windows\Boot\EFI\bootmgfw.efi S:\EFI\Microsoft\Boot\bootmgfw.efi
2. Windowsをシャットダウンし .. セキュアブートを有効にし
3. Windowsを再起動
このDellのBIOSの最終更新は2019年12月で、CA 2023証明書をサポートするには古すぎます。セットアップモード(証明書がインストールされていない状態)で、新しいMS証明書セットに置き換えることができる可能性あり
#530
すぐにセキュアモードで再び起動することができました
パートAを2回再起動した後のステータス True
レジストリ UEFICA2023Status InProgress
ここ数か月で、古いDellノートPCシリーズで完全にランダムなクラッシュが大量に発生
ランダムにクラッシュするたびに、イベントビューアは 1801
重要かどうかはわかりませんが、KEK 2K CA 2023 (.der & .crt) は BIOS→ EFI→ キー管理→ 証明書フォルダにあり
#532
Check_UEFI-CA2023.ps1 -Verbose
Windows PowerShell
PS C:\Windows\system32> cd C:\SB
PS C:\SB> .\Check_UEFI-CA2023.ps1 -Verbose
Win10 22H2 19045.6466
セキュア ブート: ON
仮想化ベースのセキュリティ: OFF
BitLocker オン (C:) OFF
BIOS ファームウェア
Dell Inc. Latitude E5440 ver A24 2019-06-13
UEFI PK 証明書
Dell Inc. UEFI プラットフォーム キー
[KEK CA 2023] の手動更新が必要です。
UEFI KEK 証明書
Microsoft Corporation KEK CA 2011
UEFI DB 証明書
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation UEFI CA 2011
Microsoft Windows Production PCA 2011
工場出荷時のデフォルト UEFI DBX 証明書 なし
Get-SecureBootUEFI : 変数が現在未定義です
Microsoft.SecureBoot.Commands.GetSecureBootUefiCommand UEFI DBX 証明書
Microsoft Windows PCA 2010
Windows BootMgr SVN が見つかりません
bootmgfw.efi ファイル バージョン: 26100.1004
レジストリ WindowsUEFICA2023Capable = 1 [Windows UEFI UEFI DB に CA 2023] が存在しません
必要な操作 .. [KEK CA 2023] 証明書を手動で追加します。
PS C:\SB>
#533
重要なKEK CA 2023が不足しています
1. UEFIがカスタムモードになっていることを確認
2. 同じUEFIメニューから、「ファイルから追加」(グレー表示)が表示されます。このサブメニューを使用して、2つの「KEK CA 2023」証明書ファイルのうちの1つを追加します。どちらのファイルも同じですが、BIOSによってはファイル名の拡張子に制約がある場合があります
#534
BIOSモード セキュア ブート→ エキスパート キー管理有効→ カスタム モード
選択: KEK -> ファイルから追加
DIR: EFI/CERTS/
a) ファイル名: Microsoft Corporation KEK 2K CA 2003.der
b) ファイル名: Microsoft Corporation KEK 2K CA 2003.cer
両方試しましたが、次のエラーが表示されました キーの追加中にエラーが発生しました。新しいキーが正しく署名され、フォーマットされていることを確認してください
#535
DellのBIOSの中には、署名に関する特殊な要件があり、.DERや.CRT形式のファイルを受け付けないものがあります「すべてのキーをリセット」を試してみてください
すべてのキーが消去され、UEFIがセットアップモードになります
アップデートスクリプトで Windows OEMデバイス証明書を書き込めるかもしれません。Windows OEMデバイスは、このような状況に対応するために設計された、そのまま使用できる代替手段です
powershell -ep bypass -f Update_UEFI-CA2023.ps1
#536
手順が正しいかどうか確認させてください。
1. BIOS モード Secure Boot→ Expert Key Management Enabled→ Custom Mode
A. すべてのキーを削除します。
B. 次に、すべてのキーをリセットします。
2. BIOS .. 再起動し、Secure Boot を無効に
3. Win10を起動し、以前のブート ファイルをコピーします (以前に指示されたとおり)。
4. BIOSに再起動し、Secure Boot を再度有効に
5A. パート 1とパート 2 を適用またはスキップ (?)
5B. PowerShellを管理者として実行 "powershell -ep bypass -f Update_UEFI-CA2023.ps1"
これでよろしいでしょうか?
#537
はい。その後、チェックスクリプトを再度実行して KEK CA 2023がインストールされているかどうかを確認
#539
オプション1または2の手順は実行しないでください。これらの手順は、サポートされているBIOSを使用していることを前提としています
UEFIがセットアップモードのときにチェックスクリプトを実行すると、アップグレードスクリプトを使用するように指示されます
#541
すべてのキーをリセット→ 工場出荷時の設定に戻します
使用できません。既存の証明書がある場合、Windows OEMデバイス証明書を追加することはできません
すべてのキーを削除-> UEFI にキーは存在しません
アップグレードスクリプトを実行すると、セットアップモード(証明書なし)であることが検出されます
この Dell BIOSは、私たちが対応できない奇妙な署名形式を要求するため、手動キー登録は使用できません ..
#542
必要な操作
BIOSから PK証明書をインストールするには、README_UEFI.TXT の手順に従ってください ..
#543
KEK CA 2023が表示されるはずです
#545
セキュアブートを再度有効にしても安全です PCA2011証明書を今すぐ失効させるか、今年後半(夏頃?)にマイクロソフトに失効させるかを選択できます
I cannot put some old CA 2011 certificates under DBX list
Nov 23, 2025〜 2026.2.2〜
#12
DBX ではまだ " Microsoft Windows Production PCA 2011" がありません。しかし、それらのエラーはなくなった
#13
DBXUpdate署名が「欠落」しているのは、失効手順とみなされるため
How to check if your Secure Boot certs are updated. (three methods)
Nov 24, 2025〜 Jan 14, 2026〜
ttps://www.elevenforum.com/t/how-to-check-if-your-secure-boot-certs-are-updated-three-methods.42366/page-15
#1
方法1 右クリック: Check UEFI PK, KEK, DB and DBX.cmd ...そして「 管理者として実行」
#181
Powershellで管理者として
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#311
2023 証明書用の BIOS を搭載していないコンピューターでは、回復ドライブを作成する必要があります
コンピューターは起動しなくなります
2025年7月8日の更新プログラム、またはそれ以降の更新プログラムと、最初の緩和策(セキュアブート DB の更新)が適用されたデバイスから回復ドライブを作成
完了したら、管理者としてコマンドプロンプトを開き、以下の行を入力(ドライブ文字は回復ドライブに対応するものに置き換えてください)
#回復ドライブがDドライブの場合
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi D:\efi\boot\bootx64.efi
このUSB回復ドライブから起動すると、起動時に証明書の再インストールが不要(既に証明書が存在する)か、再インストール済みかを示す4〜5行のメッセージが表示されます
この回復ドライブは、BIOSが2023証明書をサポートしていないコンピューターをお持ちの場合に便利
回復アプリ securebootrecovery.efi
#312
最初のコマンドの応答で「パスは既に存在します」のようなメッセージが表示されても心配しないでください。2 番目のコマンドを実行すれば機能します
#313
securebootrecovery.efi は、UEFI に一時的な Production CA 2023 をインストールし、起動を続行できるようにします
通常、CA 2023 DB 証明書は KEK CA 2023 証明書によって署名されています。このリカバリ Production CA 2023 は KEK CA 2011 によって署名されているため、KEK CA 2023 がなくても CA 2023 ブートファイルが許可されます。
ただし、これは緊急時のハックであり、緊急時のブートを許可すること以外は何も行いません ..
#314
2023証明書なしでBIOSを起動してみましたが、2023証明書なしでは起動できず、リカバリディスクから起動する必要がありました
セキュアブートを有効にせずに証明書の更新も試してみましたが、セキュアブートが有効になっていなかったため、tpm-wmiエラーが発生しました
#317
これらを有効にすると自動更新が防止されるようです
#318 ガーリン
AvailableUpdates = 0x5944(CA 2023を追加しますが、CA 2011は失効しません)
スケジュールされたタスクは定期的に実行されるため、ある時点でバックグラウンドで「add CA 2023 certs」プロセスが呼び出されます。
オンラインガイドからコマンドをコピー&ペーストするのが面倒な人でない限り、GPOを使用するメリットは見当たりません
(グループ ポリシー セキュア ブート)
#320
MSが強制アップデートのソリューションとして4つの異なるもの(リリース日順)を提供
AvailableUpdatesレジストリ値を操作する ..
これらはおそらくすべて同じことを行うでしょう。つまり、「\Microsoft\Windows\PI\Secure-Boot-Update」に実際の処理を実行させるということ
違いは、AvailableUpdatesをバックグラウンドでどのように送信するか(直接送信するか、何らかのしきい値によってリモートで送信するか)
#321
デスクトップPCのデフォルトのデータベースに2023年の証明書がいくつかなくなっていることがわかりました。これはBIOS自体に由来するものだと思います
マザーボードは MSI B550M-Pro-VDH-Wifiで、BIOSは.2D
#323
(工場出荷時の)デフォルト エントリは、BIOS ファームウェアに埋め込まれているものです。そのリストを更新できるツールやスクリプトはなく、OEM から提供される必要
UEFI をリセットしたり、手動キー登録を試したりしない限り、書き込まれた既存の証明書が失われる理由はありません
Windows から UEFI 変数を削除またはクリアすることはできません。 UEFI 仕様では、(重複しない)エントリのみを追加できる
MSI は 2022 年にセキュア ブート証明書を追加したようです
AMI BIOS7C95v2C2022-08-0817.40 MB
#325
X Microsoft Corporation KEK 2K CA 2023
√ MSI SHIP KEK (revoked: False)
..
BIOSリセット(時に)2011年の証明書を失効させてしまったら起動できなくなる ..
#326
BIOSに関しては、..最新バージョンにしておくのが賢明でしょう
#330
マザーボードの最新のMSIアップデートに証明書が含まれているかどうかを調べていた
#331 ガーリン
私がこのスクリプトを書いた理由は、cjee21さんのスクリプトが読みにくいからです。誤解を招く余地が大きすぎます
#341
Check UEFI PK、KEK、DB、and DBX
EFI File Info
#342
より安全な方法(他の機能によってファイルがそこに保存されている可能性があるため、EFI の内容を消去しない)
mountvol S: /s
copy \Windows\Boot\EFI\bootmgfw.efi S:\EFI\Microsoft\Boot\bootmgfw.efi
mountvol S: /d
#346
W1022H2、W11 24H2/25H2 をそのまま使用するか、26H2に移行すると仮定すると、すべてのベースがカバーされています
#348
3回目の再起動後も失敗しました。同じエラーメッセージです。諦めました…今のところは
#349
ドイツ語圏のフォーラムではこのトピックに関する深い知識が不足しているように思え..
Microsoft UEFI CA 2023、Microsoft Option ROM UEFI CA 2023、および Current UEFI DBXの none出力
Gigabyte x64 UEFI アーキテクチャ
KEK
√ Microsoft Corporation KEK 2K CA 2023 (失効: False)
√ GIGABYTE (失効: False)
√ Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
√ Microsoft Windows Production PCA 2011
Windows Bootmgr SVN : なし
Windows cdboot SVN : なし
Windows wdsmgfw SVN : なし
イベント マネージャー 1801エラー
#350
Microsoft UEFI CA 2023 が不足 これは Linuxでのみ必要
Option ROM も不足 一部の GPU で必要になる場合 あり
PCA 2011はまだ廃止されていません。この手順は今のところ任意ですが、Windowsは今年後半に廃止する予定です
(2026.10 ? )
#352
ターミナル(管理者権限)を開き、以下の2つのコマンドを1つずつ実行 (?)
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#353
0x1800-> MS UEFI CA 2023とオプション ROM 証明書の両方を追加
#354
1801 TPM エラーを解消するには、..
管理者として PowerShell を実行 (?)
None値を削除するには、..
7.0、3.0、3.0 でない場合は、Windowsを最新バージョンに更新していないことを意味します
#356 Surface Pro 7
#357 ガーリン
私のチェックスクリプト 多くのエラーでユーザーを混乱させない
#359
修正版をお試しください(まだリリースされていません) up
#360 残念ながら、出力は同じでした
#361
-Verbose オプションを付けてスクリプトを実行できますか ? UEFI変数のいずれかが破損している可能性があり、PowerShellが読み取れない状態になっているかもしれません
#362
PS C:\Downloads\SecureBoot-CA-2023-Updates> .\Check_UEFI-CA2023.ps1 -Verbose
Win11 25H2 26200.7840
エラー: UEFI セキュア ブート設定の読み取りに失敗しました。
変数の定義は次のとおりです: 0xC0000100
#363
AMD デスクトップ
MSI Pro B650 VC Wifi Rev 1.0
Ryzen 7 7700X Radeon 7800XT
Samsung 990 Pro 1TB NVMe
25H2 26200.8039
√ MSI SHIP PK
√ Microsoft Corporation KEK 2K CA 2023 (取り消し: False)
√ MSI SHIP KEK (取り消し: False) デフォルト UEFI KEK
√ Microsoft Corporation KEK 2K CA 2023 (取り消し: False)
√ Windows UEFI CA 2023 (取り消し: False)
√ Microsoft UEFI CA 2023 (取り消し: False)
√ Microsoft Option ROM UEFI CA 2023 (取り消し: False)
√ Microsoft Windows Production PCA 2011 (取り消し: False)
デフォルト UEFI DB
√ Windows UEFI CA 2023 (失効: False)
√ Microsoft UEFI CA 2023 (失効: False)
√ Microsoft Option ROM UEFI CA 2023 (失効: False)
√ Microsoft Corporation UEFI CA 2011 (失効: False)
√ Microsoft Windows Production PCA 2011 (失効: False)
#364
MSがCA 2011の失効処理を行うまで待つのであれば、今のところ問題ありません
#365
Microsoft が取り消しを実行するのを待つ方が簡単でしょう。今のところ、Macrium Reflect Rescueフラッシュ ドライブで問題が発生すると思います
#367
PowerShell で管理者として以下の行を追加した際に、次のエラーが発生しました
PS C:\> Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Start-ScheduledTask 指定されたファイルが見つかりません
#369
>Start-ScheduledTask: 指定されたファイルが見つかりません
Start-ScheduledTask -TaskPath \Microsoft\Windows\PI\ -TaskName Secure-Boot-Update
#370
>Start-ScheduledTask: 指定されたファイルが見つかりません
このコマンドを自分で今使って、見つかるかどうか確認しました。問題はありません。タスクを完了するとすぐに戻ってきます
つまり... 誰かがそのタスクを削除したということですか ?
#372 Surface Pro 7 Drivers and Firmware
#373 Surface
#376
スケジュールされたタスクが見当たらなかったようです。今は表示され ..
タスクは正常に動作しました。すべてにチェックマークが付いており (既定と現在)、すべての SVNも正常です
#378
スケジュールされたタスクが見つからなかったのは単なる偶然の事故だったと思います
#380
投稿番号369を参照してください
#381 Surface
#384 ガーリン
私のスクリプトはさまざまなPCで動作しますが、返される「予期しないエラー」は、仕様から異なるBIOSの問題が原因です
#392
セキュアブート 無効になっています
#394 ガーリン
証明書が何らかの原因で破損してしまったようですね。最近ファームウェアをアップデートしましたか ?
工場出荷時の設定に戻す を試して、スクリプトを再実行してみてください
#396
Windowsのロケール設定が英語でない場合に発生する問題が解決されるはずです (upあり)
#397
garlin氏の PowerShell スクリプトを使ってSecure Boot CA 2023を更新したところ、
(cjee21のスクリプトの ?)結果は依然として X が 2つ表示 これは正常な状態なのでしょうか ?
#398 ガーリン
私のスクリプト 一部の条件をエラーとして誤って報告していない
MSは OEMに対し、Microsoft UEFI CA 2023(主にLinuxで使用)とオプションROMはオプションであると通知しています しかし、これらの2つの証明書はいつでもUEFIに適用できます
デフォルトにこれらの証明書がないことは変更できません(ファームウェアの一部です)し、実際には問題ではありません ..
#405
>Minisforum NAB 9ミニPC
何らかの理由で、CA 2023 DB証明書が追加されませんでした
まず、以下のコマンドを実行してください
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x1840 /f
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#408
>#405 Minisforum NAB 9ミニPC
>reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x1840 /f
訂正:0x1940が正しい値です
0x1940
0x1000 MS UEFI CA 2023
0x0800 Option ROM
0x0100 update boot manager
0x0040 Windows UEFI CA 2023
#413
私の知る限り、.. 0x4000 ビットを省略すると、タスクが NVRAM に更新を書き込まなくなる可能性があり、0x0004 ビットを省略すると、KEK が既に存在しているにもかかわらずファームウェアが更新を拒否する可能性があります。また、私の知る限り、0x0004 ビットを省略しても更新の完了が早まることはありません。
サービスはタスクの開始時に既に NVRAM をスキャンしているため、KEK を検出して AvailableUpdates DWORD 値で指定した次の更新に進むまでほんの一瞬しかかかりません。
いずれにせよ、現在、この特定の目的に使用するために (Microsoft によって) 公式に文書化されている値は 0x5944 のみです。
あなたがIT管理者ではなく、WindowsのMeasured BootやDHA(デバイスヘルスアテステーション)に依存しておらず、BitLockerが回復モードに入るのを防いでいないとしても、少なくとも私が読んだ限りでは、0x1940を使用することは多少リスクがあります
#414 ガーリン
.. 0x5944より前は、手順では一度に 1つのビットマスク値を切り替えるようにユーザーに指示していたため、プロセス全体が面倒でした。私はその頃のことを覚えており、更新スクリプトを作成するきっかけとなりました (私のバージョンでは SecureBootUpdates .binファイルを使用してすべての追加を行うため、実際には PIタスクは呼び出されません)
0x0004 0x0040 0x0100 0x0800 0x1000 0x4000
#415
ありがとうございます!コマンドを実行して、イベントビューアーを再確認してみます
#416 ガーリン
TPM-WMIログを閲覧することもできますが、イベントログに基づいて何が起こったかを推測するよりも、証明書を実際にチェックするスクリプトを実行する方がはるかに簡単です
#417
おっしゃる通りです、ありがとうございます。今は大丈夫そうですね (Screen shot)
#418 ガーリン
更新と取り消しの手続きは完了しました
#420
garlin's PowerShell scripts でエラーが発生
TPM -WMI イベントID 1796 セキュアブートの更新で SBATの更新に失敗しました。エラー 不明な HResult エラー コード: 0x800700c1
#421 ガーリン
SBATは、古い Linuxブートローダーを失効させるために使用される SVN番号の Linux版
Linuxシステムでは関係あり エラー コード 0x800700c1は ERROR_BAD_EXE_FORMAT に相当
通常、修正方法は、..
#424
スクリプトの出力は問題なさそうです。このままにしておいた方が良さそうですね
#425
MSはこれらのアップデートが適用された際に内部で実際に何が起こるかについて、いくつかの変更を加えました。これが、現在0x5944が唯一公式に推奨されている値である主な理由です
#426
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#427 ガーリン
PowerShellを使用している場合は、2行目は次のようになります
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#429
>#428
CA 2023 証明書の追加は完了しましたが、失効はまだ行われていません
MSがCA 2011を失効させるのを待たずにタスクを再度実行するには、..
#431
CA 2023 証明書が組み込まれた更新済み BIOSを提供する OEMもあり
更新済み BIOSを提供しないが、MSと協力して BIOS用の KEK CA 2023 に署名している OEMも、
上記のいずれも提供しないが、手動でキー登録が可能な BIOSを提供する OEMもあり
一部の古い BIOSではキー登録に問題があり、セットアップモード (証明書のクリア) が唯一の有効なオプションです
#432
Virtualization Based Security: ON
BitLocker on (C:) ON
C:\Downloads\SecureBoot-CA-2023-Updates fixed\2\Check_UEFI-CA2023.ps1
エラー: UEFI セキュア ブート設定の読み取りに失敗しました。
これは、NULL 配列のインデックスを作成するためのものです
#433 ガーリン
スクリプト内の様々な箇所に分散していたエラー処理コードを単一の関数に置き換えようと試みましたが、うまくいきませんでした
より従来型の修正方法に戻ります
#435 ガーリン
OEM向けの公式ガイダンスでは、Microsoft UEFI CA 2023 (Linux で使用) とオプション ROM はオプションであるとされています
工場出荷時のデフォルトにリセットしたり、BIOSのフラッシュで重大な事故が発生した場合は、セキュアブートを一時的に無効にして、Windowsからこれらの 2つの証明書を再度適用することができます。これらの証明書は、更新されたWindowsのすべてのコピーに同梱されています
#436
Secure boot
Secure Boot is on and all required certificate updates have been applied. No further certificate chanes are needed.
セキュアブート
セキュアブートは有効になっており、必要な証明書の更新はすべて適用済みです。これ以上の証明書の変更は不要です。 (Web訳)
#441--
Finding the UEFI's DBX SVN number using PowerShell
Dec 3, 2025〜
ttps://www.elevenforum.com/t/finding-the-uefis-dbx-svn-number-using-powershell.42594/
#1
UEFI の DBX 変数にセキュア バージョン番号 (SVN)が書き込まれます
このガイドは、セキュアブートの移行が完了しているかどうかを確認する必要がある上級ユーザーを対象としています
#72 ガーリン
良い点は、MS が UEFI コミュニティを尊重し、同じ証明書を一般に公開し、セキュリティのアップグレードを「Windows 専用」の道にしないことです。公開できないのは、明らかな理由からオリジナルの PK キーだけです。しかし、GitHub では、事前署名済みの証明書と事後署名済みのバイナリ オブジェクトを提供しています。Mosby と Linux の fwupd ツールは、公開されたオブジェクトを使用することで、MS と相互運用できます
#73
私は全くの素人で、ただ学びながら安全に過ごそうとしているだけです
#74
新しいバックアップがあれば、..
ASUS, Microsoft and Macrium bootable Media... story. "Info"
Dec 7, 2025〜
ttps://www.elevenforum.com/t/asus-microsoft-and-macrium-bootable-media-story-info.42745/
#5 ガーリン
古いブートファイルを使用しているため、MacriumのADKまたはWinREの問題に起因しています..
I am getting an error about the secure boot
Dec 14, 2025〜
ttps://www.elevenforum.com/t/i-am-getting-an-error-about-the-secure-boot.42964/
#1
セキュアブート証明書は更新されていますが、デバイスのファームウェアにはまだ適用されていません
#16
cjee21のCheck-UEFISecureBootVariables github投稿で示されていた通りです。タスクが完了したため、0に戻りました
#18
第7世代CPU搭載のIdeaPadノートパソコンは2023年版の証明書をすべて取得済みで最新の状態
2020年製のCoffee Lakeマシン エラー1801が繰り返し発生します。Fedoraでfwupdmgrを試してみましたが、KEK CAにアップデートがないと表示
(Coffee Lake 第8世代 ? )
#19
MOSBYは試しましたか? MOSBYの作者によると、KEKのアップデート/追加が全くできないBIOSがいくつか見つかったそうです
OEM/メーカーがBIOSアップデートを放棄した場合、ユーザーにとって明らかに問題となります。MOSBYはバージョン2.8で回避策を実装しており、場合によっては解決する可能性
Another Macrium Secure Boot Question
Dec 19, 2025
ttps://www.elevenforum.com/t/another-macrium-secure-boot-question.43151/
Trying to Creaate Mosby Boot Disk with Rufus
Dec 28, 2025〜
ttps://www.elevenforum.com/t/trying-to-creaate-mosby-boot-disk-with-rufus.43359/
#5
最終的にうまくいったのは、Mosbyファイルをフォルダに解凍してからRufusで作成したブートフラッシュドライブにコピーするのではなく、フラッシュドライブ自体に直接解凍したことです。つまり、これは愚かな質問が存在することを証明しており、この質問に誰も回答しなかったのは間違いなくそのためです
それは、Mosby と Rufus の著者が推奨した方法でした
#6
セキュアブートを無効にした状態でしか起動できないとはいえ、少なくとも正常に動作するマシンを手に入れました
参考) Netより (Mosby 現在 ver 3.0 .. )
RufusでISOダウンロードにして実行すると「UEFI Shell 2.2」が選択肢に表示されます
そうするとUEFI-Shell-2.2-25H2-RELEASE.isoがダウンロードされます
これをブータブルメディアとしてUSBメモリにISOを展開した中身をコピーします
注意点としてセキュアブートを無効にしていないとブートしません
Mosbyで現在のDBにCA2023を追加する方法
Defaultの方じゃなくてCurrentの方に追加する方法です まあ、Defaultの方でもいいですか
その上でファクトリーリセットを実行したらいいのかなと思います
これが可能であったらBIOSを操作してDBテーブルのバックアップを作成していなくても
セキュアブート時の起動不能を回避出来ますよね (?)
..
Secure Boot certificates targetting data
Improvements [Secure Boot]
a subset of high confidence device targeting data
Microsoft Windows Production PCA 2011 2026年10月
不足 - ? Microsoft Corporation UEFI CA 2023
Mosby
本ページおよび本Wikiの内容は無保証です。
Updating Microsoft Secure Boot keys before expiration in June 2026
Feb 13, 2024〜 2026.1.14〜
ttps://www.elevenforum.com/t/updating-microsoft-secure-boot-keys-before-expiration-in-june-2026.22477/page-21#posts
Step 1: Inventory and prepare your environment
Step 2: Monitor and check your devices for Secure Boot status
Step 3: Apply OEM firmware updates before Microsoft updates
Step 4: Plan and pilot Secure Boot certificate deployments
Step 5: Troubleshoot and remediate common issues
#3
セキュア ブート DB と DBX 変数の更新イベント
元の発行日: 2022年6月15日 KB ID: 5016061
https://support.microsoft.com/ja-jp/topic/%E3%82%B...
KB5036210: セキュア ブート許可署名データベース (DB) への Windows UEFI CA 2023 証明書の展開
https://support.microsoft.com/ja-jp/topic/kb503621...
(どちらも元投稿は米国英語記事、便宜上日本語記事)
#165 2025年11月4日
セキュア ブート許可署名データベース (DB) の更新を取得しました
#167 2025年11月4日
これは新しいセキュア ブート キー用でした
KB5036210: セキュア ブート許可署名データベース (DB) への Windows UEFI CA 2023 証明書の展開
https://support.microsoft.com/ja-jp/topic/kb503621...
(元投稿は米国英語記事、便宜上日本語記事)
#168
それはよかったですね
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
True
#200
Secure Boot Allowed Key Exchange Key (KEK) Update
#KEK 2K CA 2023 ?
#201
AvailableUpdates 0x5944 グループポリシー設定の「セキュアブート証明書の展開を有効にする」に対応
イベントビューアー
#236
ADK
#240
Make2023BootableMedia.ps1は、USBブートドライブをアップデートするためのMS公式ソリューション
この方法は複雑で、多くの場合、..
2.copy C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi K:\EFI\Boot\bootx64.efi
このドライブがブート可能でない場合は、..
copy C:\Windows\Boot\EFI\bootmgfw.efi K:\EFI\Boot\bootx64.efi
..
#248
Ask Microsoft Anything: Secure Boot
Thursday, Feb 05, 2026, 8:00 AM PST
ttps://techcommunity.microsoft.com/event/windowsevents/ask-microsoft-anything-secure-boot/4486023
#265
PSスクリプトがうまく動作しないので、BIOSをアップデートし、Rufusと2023証明書を使って11をインストール
その後、「Windows UEFI CA 2023」を自分でダウンロードしてインストール ..
#294
2011を失効させると、現在利用可能なインストールメディアからの起動ができなくなりますか?
#295
現時点では、CA 2011を失効させていないため、USBメモリのCA 2011ブートファイルは許可されています
#305
セキュア ブート用の DBX やその他の更新がある場合にシステムがそれを受信できるように設定されていることを確認するために .. 使用しています
#グループ ポリシー セキュア ブート
#309
WindowsUEFICA2023Capable = 2
前回の再起動時に新しい CA 2023 ブートファイルが使用されたか、次回の再起動から同じファイルが使用されるかのいずれかを意味
#310
TPM WMI 1808 は、2023 証明書が BIOS にインストールされ、 Win11の起動時に 2023 証明書が適用された際に表示される
#331
Lenovo ThinkStation P360 Ultraで問題が発生
BIOSを最新バージョンにアップデート キーの復元 PSコマンド False
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes)
Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Lenovo ThinkCenterでも同じBIOSアップデートとキーの復元 .. 問題なく動作
#334
ThinkStation セキュアブートDBデータのリストに Microsoft UEFI CA 2023 と表示
ThinkCenter Microsoft Corporation Windows UEFI CA 2023 と表示
#336
BIOSまたはアップデートプロセスが正しく実行されていれば、両方の証明書が表示されるはず
#337
Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
レジストリ WindowsUEFICA2023Capable = 0
Windows UEFI CA 2023 がありません
#338 ガーリン
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#339
約5年前購入 Lenovo ThinkPad BIOSアップデートがあった
WindowsUEFICA2023Capable が2ではなく 1
#340
1 Windows UEFI CA 2023 証明書が DBにインストールされています
2 新しいブート マネージャーをインストールする必要があります
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#341
HP ProDesk 400 G5 Mini BIOSを更新し、キーの復元を実行
#342
BIOSのリセットはうまくいかなかったようです
スクリプトでエラーが発生しています
#344
SBKPFV3というラベルの付いたHPファームウェアは、CA 2023証明書の工場出荷時サポートを備えています。これは、完全準拠であることを皆様にお知らせするためのHP独自の特別なタグです。
ファームウェアは正しいですが、証明書キーをバックフィルするためのリセットプロセスが正しく機能したかどうかは不明です
AvailableUpdates 0x400 は有効なビットマスク値にマッピングされていません
#346
ThinkStation向けにリリースされた不具合のあるBIOSアップデート 返信を受け取りました
新しいセキュアブート証明書データが含まれているはずでしたが、コーディングに誤りがあり、正しい証明書情報が含まれていませんでした。Lenovoはこの問題を認識しており、まもなく修正されたBIOSアップデートをリリースする予定です
#347
すべてのPCベンダーに求められる最低限の要件は、動作するKEK CA 2023を提供することです。残りはベンダーの支援なしにMicrosoftがインストールできます
#348
セキュアブート証明書の有効期限は2026年に切れます。準備や導入についてご質問がありますか?このAMAで回答、洞察、ヒントをご確認ください
#350
MSの人曰く、一部のUEFIではセキュアブートが無効になっているとセキュアブートのアップデートができないそうです
#351
PowerShell 2026年2月のプレビュー/2026年3月の月次アップデートで更新
進行中のセキュアブートキーのロールアウト管理に役立つ2つの新しいPowerShell機能 導入
Get-SecureBootUEFIコマンドレットは、セキュアブートキーと証明書を読み取り可能な形式で表示する-Decodedオプションをサポートするようになりました
Get-SecureBootSVNコマンドレットを使用すると、デバイスのUEFIファームウェアとブートローダーのセキュアブートセキュリティバージョン番号(SVN)を確認し、デバイスが最新のセキュアブートポリシーに準拠しているかどうかを報告
1. Get-SecureBootUEFI -Name DB -Decoded
2. Get-SecureBootSVN
PS C:\Windows\System32> Get-SecureBootSVN
#356
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023 Microsoft
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
..
成功 更新は不要です
#358 ガーリン
スケジュールされたタスクは動作が遅いことで知られており、呼び出されてもすぐに一部の処理が実行されません。そこで、遅延なくすべての変更を一度に適用できる独自の更新スクリプトを作成しました
ただし、不足しているのはオプションROMだけなので、不足している証明書がなくてもシステムは正常に動作しているため、少し待つのは許容範囲でしょう
#359
動作しません。3時間経過し、5回再起動しても変化なし
#364
お使いのBIOSは2019年12月版なので、CA 2023証明書はサポートされていません。UEFIセットアップメニューを使用して、KEK CA 2023証明書を追加できる可能性 あり
#366 ブリンク
Windows セキュリティ アプリのセキュア ブート証明書の更新状態
元の発行日: 2026年4月2日 KB ID: 5087130
https://support.microsoft.com/ja-jp/topic/windows-...
(日本語ページ)
#367 ガーリン
MSが新しいセキュアブートの状態アイコンを表示するには、Windows UpdateがKB5007651(SecurityHealthUI)の新しいバージョンを必須のセキュリティ更新プログラムとして配信する必要があります
#368
PowerShell スクリプトの実行に問題があります cmdが認識されません
#369 ガーリン
PowerShell の実行ポリシー権限が適切でない可能性がありますが、このスクリプトセットをダウンロードできます garlinの PowerShellスクリプトを使用して Secure Boot CA 2023を更新し、Check-UEFI.bat を実行すれば、すべての場合に動作するはずです
#370
チェックの結果、データベースのエントリはすべて2011年のままでした 残念です
#374
C:\Temp_SecureBootCheck>Check-UEFI.bat -verbose
PowerShell 7.6.0 Win11 25H2 26200.8117
ASUSTeK マザーボード PK 証明書
.. (\Temp_SecureBootCheck> は任意 )
#375 ガーリン
>#374
BIOSには工場出荷時のデフォルト設定でKEK CA 2023認証が含まれていますが、現在は適用されていません
私も同じ問題に直面しています。工場出荷時のデフォルト設定にはCA 2023証明書が多数含まれていますが、ライブ変数には含まれていません
すごい。これは新しく書き直されたBIOSだ
工場出荷時にKEK CA 2023が搭載されているので、アップデートスクリプトは問題なく動作するだろう。まずはこれを試して
Update-UEFI.bat
スクリプトはKEK CA 2023を追加できないとエラーを出すかもしれませんが、ファームウェアが最新なのでUEFIセキュアブートメニューに入り、..
#380
はい、BIOSで証明書の削除と追加を行いました ..
#383
やったー!
デスクトップ PC のタスクは完了しました。残りは DELL のラップトップだけです
#385
「PCA 2011は取り消されていない」という表示は、今年後半に自動的に適用されるのでしょうか ?
#386 ガーリン
後で取り消すことも、今すぐ取り消すこともできます。どちらを選ぶかは、ご自身の判断によります ..
#389 #390
Secure boot
Secure Boot is on and all required certificate updates have been applied. No further certificate chanes are needed.
Secure boot
Secure Boot is on, preventing malicious software from loading when your device starts up.
#396
開発ビルド26300.8142と Canary 28020.1797で新しいテキストを確認しました
#397
フェーズ1
セキュアブート証明書の更新状況が、デバイスのセキュリティページに表示されます
フェーズ2
実行可能なセキュアブート状態と実行不可能なセキュアブート状態に関するアプリ通知
黄色(注意)の状態では、ユーザーは通知を非表示にするオプションを選択して、この状態に関する新しい通知を抑制できます
ユーザーが赤色(重大)の状態に対して「リスクを承知しました。通知は不要です」を選択できるオプション
2026年5月16日(予定) Win11 ..24H2、25H2、.. および Windows Server 2025 2026年5月16日 アプリアップデート
#402
今朝確認したところ、私の2台のPCの「デバイスセキュリティ」に新しいテキストが表示
Secure boot
Secure Boot is on and all required certificate updates have been applied. No further certificate chanes are needed.
#403
Windows セキュリティ プラットフォームの更新プログラム - KB5007651 (バージョン 10.0.29554.1001)
セキュア ブート 緑
「セキュア ブートは有効になっていますが、古いブート トラスト構成を使用しているため、更新する必要があります。
自動更新のためにデバイスを分類するのに十分なデータがありません。詳細については、以下のリンクを参照してください」と表示
#405
私の2台のPCのどちらにもKB5007651アップデートが適用されませんでした
#417
#418 ガーリン
セキュリティセンターは、セキュアブートモードが有効になっているかどうかだけを気にしているわけではありません
#422
(緑-2)父のPCにこのメッセージ
セキュアブートは有効になっていますが、古いブート トラスト構成を使用しているため、更新する必要があります。
自動更新のためにデバイスを分類するのに十分なデータがありません。詳細については、以下のリンクを参照してください
私のPC(緑-1) Garlinのスクリプトを使ってキーを更新し、
「セキュアブートが有効になり、必要な証明書の更新がすべて適用されました」というメッセージ 表示
#424 ガーリン
KEK CA 2023 と Windows UEFI CA 2023 の両方が存在することを確認する必要があります。そうでない場合、証明書を認証するための対応する KEK CA 2023がない状態で Windows UEFI CA 2023が存在すると、誤検出となります..
このレジストリ キーは、更新の成功を示すより良い指標です
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\
UEFICA2023Status 未開始 進行中 更新
#425
本日の更新後、イベント ID 1808 メッセージのテキスト
BucketConfidenceLevel: Under Observation - More Data Needed から
BucketConfidenceLevel: High Confidence に変わりました
#426 ガーリン
MSは、すべてのユーザーの PCを信頼度バケットに割り当てます。信頼度バケットでは、同じ PCマザーボード/モデルと BIOSバージョンを共有するすべてのユーザーがグループ化されます。他のユーザーの更新が正常に完了したことが検出されると、信頼度バケットは高信頼度に変更されます
今日の更新により、MSは信頼度バケット内のすべてのユーザーに更新プログラムをプッシュしても安全であると判断しました。つまり、WindowsはそのグループのPC を処理し、セキュアブートの更新を完了します
一部のユーザーの PCには十分なデータが存在しないため、しばらくの間「データが不足しています」のままになります
#428 ガーリン
MSは セキュアブート有効化+KEK+Windows UEFI の組み合わせを「安全」とみなしています
Tutorials >
Check if Secure Boot is Enabled, Disabled, or Unsupported in Windows 11
Apr 10, 2024〜
ttps://www.elevenforum.com/t/check-if-secure-boot-is-enabled-disabled-or-unsupported-in-windows-11.24248/
Tutorials >
Enable or Disable Secure Boot in Windows 11
Apr 24, 2024〜
ttps://www.elevenforum.com/t/enable-or-disable-secure-boot-in-windows-11.24620/
Did you manually update your Secure Boot Keys ?
May 26, 2025〜 2026.1.15〜
ttps://www.elevenforum.com/t/did-you-manually-update-your-secure-boot-keys.36443/page-78
#1
"HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name “AvailableUpdates” -Value 0x40
Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
#967
microsoft corporation kek 2k ca 2023.crt
#968
1) Microsoft Corporation KEK 2K CA 2023 (KEK)
microsoft/ secureboot_objects
ttps://github.com/microsoft/secureboot_objects/blob/main/PreSignedObjects/KEK/Certificates/microsoft%20corporation%20kek%202k%20ca%202023.der
secureboot_objects/PreSignedObjects/KEK/Certificates/microsoft corporation kek 2k ca 2023.der
#1,436
定期的に Check Windows state.cmd を実行して、ステータス Updated が表示されるかどうかを確認してください。Updated と表示されたら、Check UEFI PK, KEK, DB and DBX.cmd を実行してください
1541
msinfo32 セキュアブートはオン Confirm-SecureBootUEFI True
1544
Secure Boot Allowed Key Exchange Key(KEK)Update
1545
他のデバイスは古いので、アップデートされるかどうかはわかりません
1546
Mosby を使用していましたが、どのマシンでもこれらの更新は確認されていません
1547
Mosbyは異なる手順を採用しています。OEMが生成したKEKを必要としません
OEMサポートのない古いコンピューターのセキュアブートを更新するためにMosbyを使用できる
1548 Mosbyを使う理由は、メーカーの数千台規模のマシンにしか存在しないクローンではなく、各マシンに固有のPKを生成するという点
#PK プラットフォームキー
1549 セキュア ブートの状態: 有効
現在の UEFI PK
√ HP UEFI セキュア ブート PK 2017
デフォルトの UEFI PK
√ HP UEFI セキュア ブート PK 2017
現在の UEFI KEK √ Microsoft Corporation KEK CA 2011 (失効: False) √ Microsoft Corporation KEK 2K CA 2023 (失効: False) √ HP UEFI セキュア ブート KEK 2017 (失効: False) デフォルトの UEFI KEK √ Microsoft Corporation KEK CA 2011 (失効: False) X Microsoft Corporation KEK 2K CA 2023
√ HP UEFI セキュア ブート KEK 2017 (失効: False)
現在の UEFI DB
√ Microsoft Windows Production PCA 2011 (失効: False)
√ Microsoft Corporation UEFI CA 2011 (失効: False)
√ Windows UEFI CA 2023 (失効: False)
√ Microsoft UEFI CA 2023 (失効: False)
√ Microsoft Option ROM UEFI CA 2023 (失効: False)
√ HP UEFI セキュア ブート DB 2017 (失効: False)
デフォルトの UEFI DB
√ Microsoft Windows Production PCA 2011 (失効: False)
√ Microsoft Corporation UEFI CA 2011 (失効: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
√ HP UEFI セキュア ブート DB 2017 (失効: False)
現在の UEFI DBX (安全を保つには最新のものだけが必要です)
2025-06-11 (v1.5.1): 成功: 430 件の成功を検出
2025-10-14 (v1.6.0): 成功: 431 件の成功を検出
続行するには . .
#1,552
Option ROM UEFI CA 2023だけが足りない
(Microsoft Option ROM UEFI CA 2023)
#1,553
OEM以外では修正できません
#1,557
OROM証明書
1561
ASUS 最近、古いTuf Z590ボード(System 2)用の新しいBIOSをリリース
1566
2026年2月の月次アップデート
24H2の今回のリリースでは、セキュアブート署名データベース (DB) に Windows UEFI CA 2023 証明書が既に存在するデバイスにおいて、ブートマネージャーで更新が実行されます
これにより、2011署名の bootmgfw.efi が 2023署名の bootmgfw.efi に置き換えられます。DB のリセットやセキュアブートのオン/オフは、「セキュアブート違反」の問題を引き起こす可能性があるため、ご注意ください。このような稀なケースが発生した場合は、
Secure Boot recovery media(セキュアブート回復メディア)を作成することで解決できます
UEFIに CA 2023証明書がインストールされている場合、Windowsは新しい CA 2023ブートファイルへの切り替えを試みます。今月のアップデート前にセキュアブートのアップデートを強制実行したユーザーは、変更を確認できません(ブートファイルは既に切り替え済みです)
1567
Windows Bootmgr SVN を手動で更新/修正する方法はありますか?
1568
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
1572
DBX v1.6.0 BIOSアップデートに含まれていましたか?
1573 ガーリン
新しいBIOSをインストールする主な目的は、CA 2023証明書をKEKとDBに追加すること ,,
1575
デフォルトでは、どのベンダーもDBXを証明書で更新しません。これは、準備ができていないシステムの起動をブロックしてしまうためです。すべてのベンダーがオプションROM証明書をデフォルトで含めるわけではありませんが、KEK CA 2023のインストール後にWindowsから追加できます
すべての DB または DBX 証明書は、認証のために KEK が必要です
PK のみが KEK 証明書を認証できるため、KEK CA 2023 が間違った場所に存在する場合、..
Act now: Secure Boot certificates expire in June 2026
Jun 26, 2025〜
ttps://www.elevenforum.com/t/act-now-secure-boot-certificates-expire-in-june-2026.37372/
#3
MSは、.. UEFI ファームウェア内の証明書を参照
#27
Windows UEFI CA 2023
Microsoft UEFI CA 2023
Microsoft Corporation UEFI CA 2011
Microsoft Windows Production PCA 2011
#34
なぜ Microsoft UEFI CA 2023を使用している人がいるのに、私にはそれがないのでしょうか
#44
24H2のクリーンインストールでは、CA 2011はDBXに追加されません
#54
Mosby
Releases · pbatard/UEFI-Shellから最新の UEFI-Shell ISO をダウンロードします。
この ISO の内容を FAT 形式の USB ドライブに抽出して、起動可能なドライブを作成します (注: Rufus を使用して ISO ダウンロード機能から UEFI シェルをダウンロードすると、最初の 2 つの手順を 1 回の操作で実行することもできます)。
そのドライブを更新したいプラットフォームに接続し、UEFI 設定に進み、セキュア ブートが有効になっていることを確認しますSetup Mode。
USB ドライブから起動し、Mosbyシェル プロンプトに入力して、指示に従います
Rufusの作者 ..
#64 UEFI ShellではなくWin11を選択しています。バージョンの選択にご注意
#56
Windows UEFI CA 2023(Windows セキュア ブート署名ブートローダ用)
Microsoft UEFI CA 2023(その他のセキュア ブート署名ブートローダ用)
#78
1. MSは昨年、これらの証明書を通常の月次アップデートで置き換える予定でしたが、一部のPCパートナーから、MSが自動展開する前に修正すべき深刻な問題があるとの報告があり
2. そのため、これは強制的な変更の前に、意識を高めるための早期勧告です。現在は、「オプトイン」して手動で更新プロセスを行うことができます
3. これまでの進捗状況に関するフィードバックに基づき、MSは更新されていないPCをお持ちのすべてのユーザーに強制的に更新を実施する時期(2026年)を決定します。PCが何度も再起動する以外は、特に影響は感じられないはずです
4. このプロセスは、予期せぬ問題が発生する一部のPCでは機能しなくなる可能性がありますが、
回避策としてセキュアブートを一時的に無効にすることができます。MSはPCメーカーと協力して、対応が遅れているPCの修正策を検討する必要があります
#133
Windows Production PCA 2011 証明書をセキュアブートUEFI禁止リスト(DBX)に追加しないでください。MSは、追加するとシステムの起動に失敗する可能性があるとユーザーに警告しています
現在、Win11は、DBにPCA2023が既に存在する場合でも、一部のデバイスで古いPCA2011証明書を使用
Windows Production PCA 2011 を禁止した場合、次回のWindowsのクリーンインストールでシステムの起動に失敗する可能性
#137
BIOSでDBXをクリア ..?
#140
有効期限が切れていない証明書を禁止すると、Windowsをクリーンインストールした後に起動しなくなります
#147
MSは、ユーザーが手動で行う必要はなく、これらの手順を自動的に実行します。証明書の有効期限が切れる前に禁止する必要はありません。MSは、これにより問題が発生する可能性があるとユーザーに警告しています
#151
Windowsは現時点では CA 2011を禁止しません。これは後日、月次アップデートで対応する予定です
#152
セキュアブートを一時的に無効にすると、..
#161 Mosby
#163
キーをインストールしようとしていますが、うまくいきません。Mosby はセットアップ モードではないと言っていますが、セットアップ モードにリセットするあらゆる手順を試しましたが、そのエラーを回避できません
#167
OEM に加えて、GIGABYTE、ASUS、MSI、ASRock などの多くのマザーボード メーカーも、ユーザーに追加の手順を要求することなく、最新の BIOS ファームウェアに新しい証明書を組み込んでいます
#169 ガーリン
セキュアブートを一時的に無効にするには、私のPSスクリプトのようなものを実行します。許可した証明書(DB)と禁止した証明書(DBX)を確認します
#172
Mosbyは公式の方法ではありません
#177
> bootmgfw_2023.efi を bootx64.efi に名前変更し、USB メモリ上の bootx64.efi ファイル「drive:\efi\boot\bootx64.efi」を更新済みのファイルに置き換えました
Windows ブータブルメディアを正しく更新すれば、「bootx64.efi」ファイルを置き換えるのではなく、boot.wim が適用されます
#179
MSは ..OSのインストールまたはリカバリに使用するWindowsディスクについて言及しており、Macriumやその他の起動ディスク(ディスク作成時に独自のboot.wimが作成される)については言及していません
#182
イベントビューアーのシステムタブには、タスクを実行するたびにTPMイベントが作成されます。ある時、DBを更新する前に再起動が必要だというメッセージが表示されました。
再起動しないと更新は失敗します
#184
自分はうまくいったので、うまくいった手順を説明しただけです
#185
レジストリ 1
#197
値が 1 の場合、CA 2023 証明書は既にあるが、新しいブート マネージャーを使用していないことを意味します
#198
EFIパーティション内のbootmgfw.efiファイルとbootmgr.efiファイルを手動で置き換え、システムを再起動すると、WindowsUEFICA2023Capableの値が2に変更されました
#201
ファームウェアにPCA 2023証明書が含まれていれば、それは有効です。WindowsUEFICA2023Capableが1と表示されていても、これは有効
ファームウェアに PCA 2023 証明書がインストールされていることを確認し、Microsoft の次の手順を待つだけです
#205
ASRockはかつて、ファームウェアのアップデートによって9800X3Dが故障するという問題に遭遇
#212
私のノートパソコンでは汎用の2023年版Microsoft証明書をインストールできませんが、..
#213
Nimoラップトップの UEFIファームウェアは完全には UEFIに準拠していない可能性あり
#216
BIOSアップデートで回復不能な問題が発生したことは一度もありません
特定のアップデートが全く失敗しなかったとは言えませんが、..
#217
特に昔のBIOSアップデートではよくありました
#218
MSI Center や Windows アップデーターによるアップデートは ..
#223 Windows ADK
#226
MSが公式ISOを更新しないのは、CA 2023証明書が適用されているかどうかがわからないため
(最終的には、CA 2023専用と明記されたバージョン .. ?)
..
(2025年11月 26200.7171 .. )
#234
MSが ..問題を修正するまで、..古いCA 2011証明書は禁止しません
#237
Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
#243 イベントID 1795
#247
MS 把握しているすべての製造元に連絡を取り、KEK 更新パッケージへの署名を依頼している
少なくとも、新しい CA-2023 KEK (および誰も悪用できない一意の PK) をインストールするMosby
Mosby の開発者
#258
C:\bootmgfw_2023.efi プロパティ- デジタル署名 (?)
#266 Microsoft Option ROM UEFI CA 2023
#274
現在、2025年7月8日 - KB5062553(OSビルド26100.4652)以降に更新されたUUPからビルドされたISOのみが、第2ステージで新しいWindowsブートマネージャーを正しく使用できます
#276
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#288
スクリプトを改良
try {
$kek_Certs = @((Get-SecureBootUEFI kek | Get-UefiDatabaseSignatures).SignatureList.SignatureData.Subject | where { $_ -match 'Microsoft' } | foreach { $null = $_ -match $CN_regex; $Matches[2] })
}
2) EFI KEK 証明書の Microsoft Corporation KEK 2K CA 2023 を取得するにはどうすればよいですか?
#290
原則として、マザーボードメーカーはKEK 2023キーをプッシュする最近のUEFIアップデートを提供しているはず
ただし、アップデートするには古すぎるとして放棄されている場合は除きます
#293
カスタムモードの有効化をオフにすると、Windows UEFI CA 2023証明書が削除され、セキュアモードをオフにしないとシステムが起動しなくなります
.. セキュア ブートが再び機能するようになりました
私のDellには、セットアップモードやユーザーモードはなく、展開モードと監査モードがあります
#300 bootx64.efi
#305
誰かが Redditで私の質問に答えてくれた そして
microsoft/ secureboot_objects
secureboot_objects/PostSignedObjects/Optional/DB/amd64/DBUpdateOROM2023.bin
ようやく Dell XPS 15 9570 で Mosby が動作するようになりました
Microsoft UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Option ROM UEFI CA 2023
#307
Mosby Generated PK 2025...
#310
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
True
#314
√ Microsoft Option ROM UEFI CA 2023 (失効: False) <<<以前は「X」、現在は「√」..
315
「reg add ...」コマンドはコマンドプロンプトで管理者として実行し、「start-ScheduledTask ..」コマンドはPowerShellで管理者として実行する必要があります。コマンドプロンプトを開いてreg addコマンドを実行した後は、コマンドプロンプトウィンドウを閉じないでください。「powershell」と入力してEnterキーを押すだけで、PowerShellが起動します
#316
c:\bootmgfw_2023.efi ファイルのプロパティで表示されるのは
Microsoft Windows、sha256、2025年10月8日 13:35:59 だけ
UEFICA2023Status NotStarted
WindowsUEFICA2023Capable 1 (hex)
ステップ 10 (BIOS で新しい証明書を確認):
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEKDefault).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbDefault).bytes) -match 'Windows UEFI CA 2023'
True
#318
Microsoft Windows、sha256、2025年10月8日 13:35:59
それを選択し、[詳細]> [証明書の表示]> [証明パス]タブをクリック
321
ほとんどのユーザーにとって、期限切れの証明書は Windows Update を通じて Microsoft によって自動的に更新されるため、これは問題ではありません。これは、結局は大騒ぎにならなかった Y2K をめぐるパニックに似ています
#322
MicrosoftとDellが私のマシンを自動アップデートしてくれた
#323
Macium Reflect は、2025年11月19日の最新アップデート (v 10.0.8731) で「リカバリ メディア」も更新
#325
今週初めにセキュアブートのアップデートをインストールするように促されたときはホッとしました。インストールはすぐに完了し、問題もありません
#329
2台お持ちのようですね 第9世代と第10世代Intelでしょうか ?
#330
2023年1月に購入したHPノートPCの 2011年CAが(DBXデータベースで)失効しています
Win11 Pro 25H2 26200.7171
#332
MokiChU URL
Option ROMを含むすべての証明書がインストールされました。
1週間前にHPノートパソコンのBIOSアップデートを実行しましたが、日付は2025年9月25日でした。これに2023 KEKが含まれていたかどうかはわかりません。HPはアップデートに含まれる内容について正確な情報を公開していません
2011CAの失効は、2つのインストールUSB(24H2と25H2)のブートファイルを2023の署名済み証明書で更新した後、自分で行いました
#337 Macrium Reflect
#340
Mosbyを実行し、すべての証明書をインストールして更新し、2011年のWindows証明書を失効させましたが、すべて正常です
#341
「Check UEFI KEK, DB and DBX.ps1」スクリプトを実行すると、DBXチェックで「失敗」と表示されるのはなぜか
#346
古いバージョンのスクリプトファイルをご利用になっている可能性
追伸:失効方法を教えていただけますか ?
#349
古いASUSマザーボード、最後のBIOSは2021年製 数週間前に MoKiChUスクリプトを実行して完了 デフォルトの2023 CAとKEKには赤いX
#352
私の懸念は、何がうまくいかないかということだけでなく、CA/PCA2011を実際に失効させた場合の影響についても
#353
MSが「強制」段階に入ったとしても、いずれにせよ問題が発生しないという確信は持てません
Windows CA 2011キーの失効を全員に強制する段階です
その頃にはMicrosoftは2023署名のインストーラーISOを提供 ?
私は2011キーを失効させておらず、Microsoftが失効させるまで失効させるつもりはありません
#354
起動可能なメディアを CA 2023 で動作するように修正する方法
#358
Check UEFIセキュアブートスクリプトの正確な使い方 を教えていただけますか ?
#360
赤い×印が付いた結果が表示 修正できますか
Adding CA Certificates to Mini PC with N150 processor
Jul 17, 2025〜
ttps://www.elevenforum.com/t/adding-ca-certificates-to-mini-pc-with-n150-processor.38021/
#2
このコマンドを管理者として実行すると何が起こりますか?
powershell -C "Get-SecureBootUEFI db"
Transition to the new Windows UEFI CA 2023 Certificate
Sep 25, 2025〜
ttps://www.elevenforum.com/t/transition-to-the-new-windows-uefi-ca-2023-certificate.40204/
Error 1801 Telling me to update my Secure Boot CA/Keys ?
Oct 14, 2025〜
ttps://www.elevenforum.com/t/error-1801-telling-me-to-update-my-secure-boot-ca-keys.40910/
#TPM-WMI イベント ID: 1801 について
2025-10-28 Microsoft Japan Windows Technology Support Blog
ttps://jpwinsup.github.io/blog/2025/10/28/UEFI/Secure%20Boot/about-tpm-wmi-1801/
[INFORMATION] Secure Boot : Windows UEFI CA 2023 Update
Oct 23, 2025〜
ttps://www.elevenforum.com/t/information-secure-boot-windows-uefi-ca-2023-update.41267/
Secure boot update HowTo
XxXxX Nov 13, 2025〜 2026.1.28〜
ttps://www.elevenforum.com/t/secure-boot-update-howto.41997/
#1
パート A
AvailableUpdates 0x40
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match "Windows UEFI CA 2023"
True
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\
Servicing
UEFICA2023Status updateing
WindowsUEFICA2023Capable 0x00000001
パート B
1. 管理者として CMD プロンプトで ..
2. PowerShell内で ..
AvailableUpdates 0x5944
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\
Servicing
UEFICA2023Status 更新済み
WindowsUEFICA2023Capable 0x00000002
#2
MSが 2023 KEKのアップデートを発表するまで待つ必要
#5
パート A はCMD 管理者権限で実行 PowerShell 管理者権限で実行
#12
Secure Boot playbook for certificates expiring in 2026
Ashis_Chatterjee Nov 13, 2025
ttps://techcommunity.microsoft.com/blog/windows-itpro-blog/secure-boot-playbook-for-certificates-expiring-in-2026/4469235
..
#19
すっかり最新情報をゲットしました
UEFICA2023Status Updated
WindowsUEFICA2023Capable 0x00000002(2)
#446
1番目のコマンドは管理者コマンドプロンプトで、
2番目のコマンドは管理者PowerShellで 実行してください
AvailableUpdates 0x5944
Servicing UEFICA2023Status WindowsUEFICA2023Capable 0x00000002
#447
赤い「X」には変化がありません。CA2011はまだデフォルトのままで、CA2023はデフォルトではない ..
#450
ここで提案されていること ..うまくいき.. パート A 管理者として PowerShell を開き、..
#451
cjee21のダウンロードには 8つのツールと、それらの使用方法を示す README ..
#455
cjee21のREADMEには、MSの更新サーバーが処理を完了するまでに12時間かかることがあると..
#461
「true」ではなく「false」が返されたので、どうすればよいかを判断する必要
#462
再開時には、 パート 1 をもう一度実行する必要があります。再開の間隔は、各再開の間に 5 分から 15 分程度空けてください
#466
セキュア ブートのアップデートを実行しようとすると、依然として「誤った」通知が表示されます。
#468
HP レガシー サポートを無効にし、セキュア ブートを有効に
セキュア ブート構成が見つからない場合 BIOS ファームウェア更新
GPTパーティション スタイル を使用
UEFIと互換性のあるTPM 1.2 .. TPM 2.0要件を満たしていません
#476
セキュア ブートが無効になっている場合、コンピューターは 6 月以降も起動できるかどうか
#478
(証明書を更新するには)UEFIで起動する必要
#479
コンピューターは2012年製のHP Windows UEFI CA 2023 証明書をファームウェアの内部データベース(セキュアブート署名データベース)に正しく取り込み、保存するための必要なメカニズムが欠けている
HPは新しいWindows CA 2023証明書について、2017年以降に発売されたシステムのみをサポート
#480
T-430 は、新しい CA 2023 証明書を取得するコンピューターのリストに、Lenovo に掲載されていません
2011 Microsoft セキュアブート証明書の期限切れについて – Lenovo 法人向けPC
https://support.lenovo.com/jp/ja/solutions/HT51812...
#Lenovo 法人向けPC
#481
新しいCA 2023証明書がないと、セキュアブートUEFIもWindowsブートも、2026年6月以降、必要なWindowsセキュリティ更新プログラムを取得できません。UEFIは引き続きCA 2011証明書を使用します。
コンピューターで金融取引を行う場合は、必ずCA 2023証明書を取得する必要があります
#486
新しい証明書の取得をサポートするUEFIファームウェアが必要です。一部のコンピューターには古いUEFIが搭載されており、これらのCA 2023証明書を取り込むことができません
#488
グループ ポリシー セキュア ブート
の設定/機能は一般ユーザーにとって役立つでしょうか
#490
Lenovo T490 すべて「未構成」
garlinのスクリプトを使って証明書を手動で更新
#491
私のものはすべて未構成
#493
3つのうちの1つ .. 有効にすると自動展開がブロックされます。以下の説明は分かりにくい
#495
3つすべてを構成済みに設定してみました。そして再起動。イベントビューアでエラーメッセージを確認していたところ、nvlddmkm 153、つまりGPUドライバーエラーが表示 ..
#500
今朝、コンピュータの電源を入れ、数時間待ってからWindowsUEFICA2023Capableをチェックしたところ、値は(2)になりました
#501
GPO の方法は、 AvailableUpdateを操作するのと同じです。この場合、ポリシーは値を0x5944に設定します(CA 2023 証明書を追加しますが、CA 2011 証明書は失効しません)。GPOは、以下を実行するのと同じ
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
powershell -C Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
(AvailableUpdates REG_DWORD 0x5944 )
#507
SecureBoot.admx (ポリシー テンプレート) は、2025年10月以降の月次更新プログラムに含まれています
#512
レジストリ UEFICA2023Status NotStarted
#514
パート Aの再起動の間隔を 5〜15分ほど空けて、HowToの両方の部分を再度実行してください
パート Aの開始後、システムの 2回目の再起動後にパート Bが開始されます
パート B が完了すると、「更新済み」ステータスに達するまでに複数回の試行または数時間/数日かかる場合があります
これはまったく制御不能であり、更新がすぐに行われることもあれば、時間がかかることもあります
#517
今は「更新済み」と表示されています。ありがとうございます
#520
ほとんどのシステムは、最終的には Windows Updateを通じて自動的にアップデートされるはずです。ただし、古いシステムではアップデートされない可能性があります
#522
Microsoftは「今後数か月以内に、証明書の更新状況に関するメッセージがWindowsセキュリティアプリで利用可能になり、ユーザーが証明書の更新をより詳細に追跡できるようになります」と記載しています
場合によっては事前に「ファームウェアのアップデート」が必要になる場合もあると記載されています。特に古いコンピューターの場合は、この点が問題になるかもしれません
#523
regedit のステータスは「進行中」です。REG SZ の信頼レベルは「観察中 - 追加データが必要」です
#526
専用のスクリプトを実行して、PCが更新可能かどうかをより正確に判断する必要
#527
ハウツーのパート 1、ページ 1の投稿 #1をお試しください。
ただし、2回の再起動の間に 10 〜 15分ほど時間を置き、ハウツーのパート 2に進む前にレジストリをチェックして変更があるかどうかを確認してください
#528
昨日、何らかの理由で全てを台無しに
現在、私のDell Latitude E5440(Win10 Pro)はセキュアモードでは起動しませんが、非セキュアモードでは起動
#529
UEFIを工場出荷時の設定にリセットしたため、UEFI CA 2023証明書がデータベースに存在しないと思われます
1. 古いブートファイルをコピーし直す
mountvol S: /s
copy C:\Windows\Boot\EFI\bootmgfw.efi S:\EFI\Microsoft\Boot\bootmgfw.efi
2. Windowsをシャットダウンし .. セキュアブートを有効にし
3. Windowsを再起動
このDellのBIOSの最終更新は2019年12月で、CA 2023証明書をサポートするには古すぎます。セットアップモード(証明書がインストールされていない状態)で、新しいMS証明書セットに置き換えることができる可能性あり
#530
すぐにセキュアモードで再び起動することができました
パートAを2回再起動した後のステータス True
レジストリ UEFICA2023Status InProgress
ここ数か月で、古いDellノートPCシリーズで完全にランダムなクラッシュが大量に発生
ランダムにクラッシュするたびに、イベントビューアは 1801
重要かどうかはわかりませんが、KEK 2K CA 2023 (.der & .crt) は BIOS→ EFI→ キー管理→ 証明書フォルダにあり
#532
Check_UEFI-CA2023.ps1 -Verbose
Windows PowerShell
PS C:\Windows\system32> cd C:\SB
PS C:\SB> .\Check_UEFI-CA2023.ps1 -Verbose
Win10 22H2 19045.6466
セキュア ブート: ON
仮想化ベースのセキュリティ: OFF
BitLocker オン (C:) OFF
BIOS ファームウェア
Dell Inc. Latitude E5440 ver A24 2019-06-13
UEFI PK 証明書
Dell Inc. UEFI プラットフォーム キー
[KEK CA 2023] の手動更新が必要です。
UEFI KEK 証明書
Microsoft Corporation KEK CA 2011
UEFI DB 証明書
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation UEFI CA 2011
Microsoft Windows Production PCA 2011
工場出荷時のデフォルト UEFI DBX 証明書 なし
Get-SecureBootUEFI : 変数が現在未定義です
Microsoft.SecureBoot.Commands.GetSecureBootUefiCommand UEFI DBX 証明書
Microsoft Windows PCA 2010
Windows BootMgr SVN が見つかりません
bootmgfw.efi ファイル バージョン: 26100.1004
レジストリ WindowsUEFICA2023Capable = 1 [Windows UEFI UEFI DB に CA 2023] が存在しません
必要な操作 .. [KEK CA 2023] 証明書を手動で追加します。
PS C:\SB>
#533
重要なKEK CA 2023が不足しています
1. UEFIがカスタムモードになっていることを確認
2. 同じUEFIメニューから、「ファイルから追加」(グレー表示)が表示されます。このサブメニューを使用して、2つの「KEK CA 2023」証明書ファイルのうちの1つを追加します。どちらのファイルも同じですが、BIOSによってはファイル名の拡張子に制約がある場合があります
#534
BIOSモード セキュア ブート→ エキスパート キー管理有効→ カスタム モード
選択: KEK -> ファイルから追加
DIR: EFI/CERTS/
a) ファイル名: Microsoft Corporation KEK 2K CA 2003.der
b) ファイル名: Microsoft Corporation KEK 2K CA 2003.cer
両方試しましたが、次のエラーが表示されました キーの追加中にエラーが発生しました。新しいキーが正しく署名され、フォーマットされていることを確認してください
#535
DellのBIOSの中には、署名に関する特殊な要件があり、.DERや.CRT形式のファイルを受け付けないものがあります「すべてのキーをリセット」を試してみてください
すべてのキーが消去され、UEFIがセットアップモードになります
アップデートスクリプトで Windows OEMデバイス証明書を書き込めるかもしれません。Windows OEMデバイスは、このような状況に対応するために設計された、そのまま使用できる代替手段です
powershell -ep bypass -f Update_UEFI-CA2023.ps1
#536
手順が正しいかどうか確認させてください。
1. BIOS モード Secure Boot→ Expert Key Management Enabled→ Custom Mode
A. すべてのキーを削除します。
B. 次に、すべてのキーをリセットします。
2. BIOS .. 再起動し、Secure Boot を無効に
3. Win10を起動し、以前のブート ファイルをコピーします (以前に指示されたとおり)。
4. BIOSに再起動し、Secure Boot を再度有効に
5A. パート 1とパート 2 を適用またはスキップ (?)
5B. PowerShellを管理者として実行 "powershell -ep bypass -f Update_UEFI-CA2023.ps1"
これでよろしいでしょうか?
#537
はい。その後、チェックスクリプトを再度実行して KEK CA 2023がインストールされているかどうかを確認
#539
オプション1または2の手順は実行しないでください。これらの手順は、サポートされているBIOSを使用していることを前提としています
UEFIがセットアップモードのときにチェックスクリプトを実行すると、アップグレードスクリプトを使用するように指示されます
#541
すべてのキーをリセット→ 工場出荷時の設定に戻します
使用できません。既存の証明書がある場合、Windows OEMデバイス証明書を追加することはできません
すべてのキーを削除-> UEFI にキーは存在しません
アップグレードスクリプトを実行すると、セットアップモード(証明書なし)であることが検出されます
この Dell BIOSは、私たちが対応できない奇妙な署名形式を要求するため、手動キー登録は使用できません ..
#542
必要な操作
BIOSから PK証明書をインストールするには、README_UEFI.TXT の手順に従ってください ..
#543
KEK CA 2023が表示されるはずです
#545
セキュアブートを再度有効にしても安全です PCA2011証明書を今すぐ失効させるか、今年後半(夏頃?)にマイクロソフトに失効させるかを選択できます
I cannot put some old CA 2011 certificates under DBX list
Nov 23, 2025〜 2026.2.2〜
#12
DBX ではまだ " Microsoft Windows Production PCA 2011" がありません。しかし、それらのエラーはなくなった
#13
DBXUpdate署名が「欠落」しているのは、失効手順とみなされるため
How to check if your Secure Boot certs are updated. (three methods)
Nov 24, 2025〜 Jan 14, 2026〜
ttps://www.elevenforum.com/t/how-to-check-if-your-secure-boot-certs-are-updated-three-methods.42366/page-15
#1
方法1 右クリック: Check UEFI PK, KEK, DB and DBX.cmd ...そして「 管理者として実行」
#181
Powershellで管理者として
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#311
2023 証明書用の BIOS を搭載していないコンピューターでは、回復ドライブを作成する必要があります
コンピューターは起動しなくなります
2025年7月8日の更新プログラム、またはそれ以降の更新プログラムと、最初の緩和策(セキュアブート DB の更新)が適用されたデバイスから回復ドライブを作成
完了したら、管理者としてコマンドプロンプトを開き、以下の行を入力(ドライブ文字は回復ドライブに対応するものに置き換えてください)
#回復ドライブがDドライブの場合
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi D:\efi\boot\bootx64.efi
このUSB回復ドライブから起動すると、起動時に証明書の再インストールが不要(既に証明書が存在する)か、再インストール済みかを示す4〜5行のメッセージが表示されます
この回復ドライブは、BIOSが2023証明書をサポートしていないコンピューターをお持ちの場合に便利
回復アプリ securebootrecovery.efi
#312
最初のコマンドの応答で「パスは既に存在します」のようなメッセージが表示されても心配しないでください。2 番目のコマンドを実行すれば機能します
#313
securebootrecovery.efi は、UEFI に一時的な Production CA 2023 をインストールし、起動を続行できるようにします
通常、CA 2023 DB 証明書は KEK CA 2023 証明書によって署名されています。このリカバリ Production CA 2023 は KEK CA 2011 によって署名されているため、KEK CA 2023 がなくても CA 2023 ブートファイルが許可されます。
ただし、これは緊急時のハックであり、緊急時のブートを許可すること以外は何も行いません ..
#314
2023証明書なしでBIOSを起動してみましたが、2023証明書なしでは起動できず、リカバリディスクから起動する必要がありました
セキュアブートを有効にせずに証明書の更新も試してみましたが、セキュアブートが有効になっていなかったため、tpm-wmiエラーが発生しました
#317
これらを有効にすると自動更新が防止されるようです
#318 ガーリン
AvailableUpdates = 0x5944(CA 2023を追加しますが、CA 2011は失効しません)
スケジュールされたタスクは定期的に実行されるため、ある時点でバックグラウンドで「add CA 2023 certs」プロセスが呼び出されます。
オンラインガイドからコマンドをコピー&ペーストするのが面倒な人でない限り、GPOを使用するメリットは見当たりません
(グループ ポリシー セキュア ブート)
#320
MSが強制アップデートのソリューションとして4つの異なるもの(リリース日順)を提供
AvailableUpdatesレジストリ値を操作する ..
これらはおそらくすべて同じことを行うでしょう。つまり、「\Microsoft\Windows\PI\Secure-Boot-Update」に実際の処理を実行させるということ
違いは、AvailableUpdatesをバックグラウンドでどのように送信するか(直接送信するか、何らかのしきい値によってリモートで送信するか)
#321
デスクトップPCのデフォルトのデータベースに2023年の証明書がいくつかなくなっていることがわかりました。これはBIOS自体に由来するものだと思います
マザーボードは MSI B550M-Pro-VDH-Wifiで、BIOSは.2D
#323
(工場出荷時の)デフォルト エントリは、BIOS ファームウェアに埋め込まれているものです。そのリストを更新できるツールやスクリプトはなく、OEM から提供される必要
UEFI をリセットしたり、手動キー登録を試したりしない限り、書き込まれた既存の証明書が失われる理由はありません
Windows から UEFI 変数を削除またはクリアすることはできません。 UEFI 仕様では、(重複しない)エントリのみを追加できる
MSI は 2022 年にセキュア ブート証明書を追加したようです
AMI BIOS7C95v2C2022-08-0817.40 MB
#325
X Microsoft Corporation KEK 2K CA 2023
√ MSI SHIP KEK (revoked: False)
..
BIOSリセット(時に)2011年の証明書を失効させてしまったら起動できなくなる ..
#326
BIOSに関しては、..最新バージョンにしておくのが賢明でしょう
#330
マザーボードの最新のMSIアップデートに証明書が含まれているかどうかを調べていた
#331 ガーリン
私がこのスクリプトを書いた理由は、cjee21さんのスクリプトが読みにくいからです。誤解を招く余地が大きすぎます
#341
Check UEFI PK、KEK、DB、and DBX
EFI File Info
#342
より安全な方法(他の機能によってファイルがそこに保存されている可能性があるため、EFI の内容を消去しない)
mountvol S: /s
copy \Windows\Boot\EFI\bootmgfw.efi S:\EFI\Microsoft\Boot\bootmgfw.efi
mountvol S: /d
#346
W1022H2、W11 24H2/25H2 をそのまま使用するか、26H2に移行すると仮定すると、すべてのベースがカバーされています
#348
3回目の再起動後も失敗しました。同じエラーメッセージです。諦めました…今のところは
#349
ドイツ語圏のフォーラムではこのトピックに関する深い知識が不足しているように思え..
Microsoft UEFI CA 2023、Microsoft Option ROM UEFI CA 2023、および Current UEFI DBXの none出力
Gigabyte x64 UEFI アーキテクチャ
KEK
√ Microsoft Corporation KEK 2K CA 2023 (失効: False)
√ GIGABYTE (失効: False)
√ Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
√ Microsoft Windows Production PCA 2011
Windows Bootmgr SVN : なし
Windows cdboot SVN : なし
Windows wdsmgfw SVN : なし
イベント マネージャー 1801エラー
#350
Microsoft UEFI CA 2023 が不足 これは Linuxでのみ必要
Option ROM も不足 一部の GPU で必要になる場合 あり
PCA 2011はまだ廃止されていません。この手順は今のところ任意ですが、Windowsは今年後半に廃止する予定です
(2026.10 ? )
#352
ターミナル(管理者権限)を開き、以下の2つのコマンドを1つずつ実行 (?)
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#353
0x1800-> MS UEFI CA 2023とオプション ROM 証明書の両方を追加
#354
1801 TPM エラーを解消するには、..
管理者として PowerShell を実行 (?)
None値を削除するには、..
7.0、3.0、3.0 でない場合は、Windowsを最新バージョンに更新していないことを意味します
#356 Surface Pro 7
#357 ガーリン
私のチェックスクリプト 多くのエラーでユーザーを混乱させない
#359
修正版をお試しください(まだリリースされていません) up
#360 残念ながら、出力は同じでした
#361
-Verbose オプションを付けてスクリプトを実行できますか ? UEFI変数のいずれかが破損している可能性があり、PowerShellが読み取れない状態になっているかもしれません
#362
PS C:\Downloads\SecureBoot-CA-2023-Updates> .\Check_UEFI-CA2023.ps1 -Verbose
Win11 25H2 26200.7840
エラー: UEFI セキュア ブート設定の読み取りに失敗しました。
変数の定義は次のとおりです: 0xC0000100
#363
AMD デスクトップ
MSI Pro B650 VC Wifi Rev 1.0
Ryzen 7 7700X Radeon 7800XT
Samsung 990 Pro 1TB NVMe
25H2 26200.8039
√ MSI SHIP PK
√ Microsoft Corporation KEK 2K CA 2023 (取り消し: False)
√ MSI SHIP KEK (取り消し: False) デフォルト UEFI KEK
√ Microsoft Corporation KEK 2K CA 2023 (取り消し: False)
√ Windows UEFI CA 2023 (取り消し: False)
√ Microsoft UEFI CA 2023 (取り消し: False)
√ Microsoft Option ROM UEFI CA 2023 (取り消し: False)
√ Microsoft Windows Production PCA 2011 (取り消し: False)
デフォルト UEFI DB
√ Windows UEFI CA 2023 (失効: False)
√ Microsoft UEFI CA 2023 (失効: False)
√ Microsoft Option ROM UEFI CA 2023 (失効: False)
√ Microsoft Corporation UEFI CA 2011 (失効: False)
√ Microsoft Windows Production PCA 2011 (失効: False)
#364
MSがCA 2011の失効処理を行うまで待つのであれば、今のところ問題ありません
#365
Microsoft が取り消しを実行するのを待つ方が簡単でしょう。今のところ、Macrium Reflect Rescueフラッシュ ドライブで問題が発生すると思います
#367
PowerShell で管理者として以下の行を追加した際に、次のエラーが発生しました
PS C:\> Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Start-ScheduledTask 指定されたファイルが見つかりません
#369
>Start-ScheduledTask: 指定されたファイルが見つかりません
Start-ScheduledTask -TaskPath \Microsoft\Windows\PI\ -TaskName Secure-Boot-Update
#370
>Start-ScheduledTask: 指定されたファイルが見つかりません
このコマンドを自分で今使って、見つかるかどうか確認しました。問題はありません。タスクを完了するとすぐに戻ってきます
つまり... 誰かがそのタスクを削除したということですか ?
#372 Surface Pro 7 Drivers and Firmware
#373 Surface
#376
スケジュールされたタスクが見当たらなかったようです。今は表示され ..
タスクは正常に動作しました。すべてにチェックマークが付いており (既定と現在)、すべての SVNも正常です
#378
スケジュールされたタスクが見つからなかったのは単なる偶然の事故だったと思います
#380
投稿番号369を参照してください
#381 Surface
#384 ガーリン
私のスクリプトはさまざまなPCで動作しますが、返される「予期しないエラー」は、仕様から異なるBIOSの問題が原因です
#392
セキュアブート 無効になっています
#394 ガーリン
証明書が何らかの原因で破損してしまったようですね。最近ファームウェアをアップデートしましたか ?
工場出荷時の設定に戻す を試して、スクリプトを再実行してみてください
#396
Windowsのロケール設定が英語でない場合に発生する問題が解決されるはずです (upあり)
#397
garlin氏の PowerShell スクリプトを使ってSecure Boot CA 2023を更新したところ、
(cjee21のスクリプトの ?)結果は依然として X が 2つ表示 これは正常な状態なのでしょうか ?
#398 ガーリン
私のスクリプト 一部の条件をエラーとして誤って報告していない
MSは OEMに対し、Microsoft UEFI CA 2023(主にLinuxで使用)とオプションROMはオプションであると通知しています しかし、これらの2つの証明書はいつでもUEFIに適用できます
デフォルトにこれらの証明書がないことは変更できません(ファームウェアの一部です)し、実際には問題ではありません ..
#405
>Minisforum NAB 9ミニPC
何らかの理由で、CA 2023 DB証明書が追加されませんでした
まず、以下のコマンドを実行してください
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x1840 /f
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#408
>#405 Minisforum NAB 9ミニPC
>reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x1840 /f
訂正:0x1940が正しい値です
0x1940
0x1000 MS UEFI CA 2023
0x0800 Option ROM
0x0100 update boot manager
0x0040 Windows UEFI CA 2023
#413
私の知る限り、.. 0x4000 ビットを省略すると、タスクが NVRAM に更新を書き込まなくなる可能性があり、0x0004 ビットを省略すると、KEK が既に存在しているにもかかわらずファームウェアが更新を拒否する可能性があります。また、私の知る限り、0x0004 ビットを省略しても更新の完了が早まることはありません。
サービスはタスクの開始時に既に NVRAM をスキャンしているため、KEK を検出して AvailableUpdates DWORD 値で指定した次の更新に進むまでほんの一瞬しかかかりません。
いずれにせよ、現在、この特定の目的に使用するために (Microsoft によって) 公式に文書化されている値は 0x5944 のみです。
あなたがIT管理者ではなく、WindowsのMeasured BootやDHA(デバイスヘルスアテステーション)に依存しておらず、BitLockerが回復モードに入るのを防いでいないとしても、少なくとも私が読んだ限りでは、0x1940を使用することは多少リスクがあります
#414 ガーリン
.. 0x5944より前は、手順では一度に 1つのビットマスク値を切り替えるようにユーザーに指示していたため、プロセス全体が面倒でした。私はその頃のことを覚えており、更新スクリプトを作成するきっかけとなりました (私のバージョンでは SecureBootUpdates .binファイルを使用してすべての追加を行うため、実際には PIタスクは呼び出されません)
0x0004 0x0040 0x0100 0x0800 0x1000 0x4000
#415
ありがとうございます!コマンドを実行して、イベントビューアーを再確認してみます
#416 ガーリン
TPM-WMIログを閲覧することもできますが、イベントログに基づいて何が起こったかを推測するよりも、証明書を実際にチェックするスクリプトを実行する方がはるかに簡単です
#417
おっしゃる通りです、ありがとうございます。今は大丈夫そうですね (Screen shot)
#418 ガーリン
更新と取り消しの手続きは完了しました
#420
garlin's PowerShell scripts でエラーが発生
TPM -WMI イベントID 1796 セキュアブートの更新で SBATの更新に失敗しました。エラー 不明な HResult エラー コード: 0x800700c1
#421 ガーリン
SBATは、古い Linuxブートローダーを失効させるために使用される SVN番号の Linux版
Linuxシステムでは関係あり エラー コード 0x800700c1は ERROR_BAD_EXE_FORMAT に相当
通常、修正方法は、..
#424
スクリプトの出力は問題なさそうです。このままにしておいた方が良さそうですね
#425
MSはこれらのアップデートが適用された際に内部で実際に何が起こるかについて、いくつかの変更を加えました。これが、現在0x5944が唯一公式に推奨されている値である主な理由です
#426
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#427 ガーリン
PowerShellを使用している場合は、2行目は次のようになります
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#429
>#428
CA 2023 証明書の追加は完了しましたが、失効はまだ行われていません
MSがCA 2011を失効させるのを待たずにタスクを再度実行するには、..
#431
CA 2023 証明書が組み込まれた更新済み BIOSを提供する OEMもあり
更新済み BIOSを提供しないが、MSと協力して BIOS用の KEK CA 2023 に署名している OEMも、
上記のいずれも提供しないが、手動でキー登録が可能な BIOSを提供する OEMもあり
一部の古い BIOSではキー登録に問題があり、セットアップモード (証明書のクリア) が唯一の有効なオプションです
#432
Virtualization Based Security: ON
BitLocker on (C:) ON
C:\Downloads\SecureBoot-CA-2023-Updates fixed\2\Check_UEFI-CA2023.ps1
エラー: UEFI セキュア ブート設定の読み取りに失敗しました。
これは、NULL 配列のインデックスを作成するためのものです
#433 ガーリン
スクリプト内の様々な箇所に分散していたエラー処理コードを単一の関数に置き換えようと試みましたが、うまくいきませんでした
より従来型の修正方法に戻ります
#435 ガーリン
OEM向けの公式ガイダンスでは、Microsoft UEFI CA 2023 (Linux で使用) とオプション ROM はオプションであるとされています
工場出荷時のデフォルトにリセットしたり、BIOSのフラッシュで重大な事故が発生した場合は、セキュアブートを一時的に無効にして、Windowsからこれらの 2つの証明書を再度適用することができます。これらの証明書は、更新されたWindowsのすべてのコピーに同梱されています
#436
Secure boot
Secure Boot is on and all required certificate updates have been applied. No further certificate chanes are needed.
セキュアブート
セキュアブートは有効になっており、必要な証明書の更新はすべて適用済みです。これ以上の証明書の変更は不要です。 (Web訳)
#441--
Finding the UEFI's DBX SVN number using PowerShell
Dec 3, 2025〜
ttps://www.elevenforum.com/t/finding-the-uefis-dbx-svn-number-using-powershell.42594/
#1
UEFI の DBX 変数にセキュア バージョン番号 (SVN)が書き込まれます
このガイドは、セキュアブートの移行が完了しているかどうかを確認する必要がある上級ユーザーを対象としています
#72 ガーリン
良い点は、MS が UEFI コミュニティを尊重し、同じ証明書を一般に公開し、セキュリティのアップグレードを「Windows 専用」の道にしないことです。公開できないのは、明らかな理由からオリジナルの PK キーだけです。しかし、GitHub では、事前署名済みの証明書と事後署名済みのバイナリ オブジェクトを提供しています。Mosby と Linux の fwupd ツールは、公開されたオブジェクトを使用することで、MS と相互運用できます
#73
私は全くの素人で、ただ学びながら安全に過ごそうとしているだけです
#74
新しいバックアップがあれば、..
ASUS, Microsoft and Macrium bootable Media... story. "Info"
Dec 7, 2025〜
ttps://www.elevenforum.com/t/asus-microsoft-and-macrium-bootable-media-story-info.42745/
#5 ガーリン
古いブートファイルを使用しているため、MacriumのADKまたはWinREの問題に起因しています..
I am getting an error about the secure boot
Dec 14, 2025〜
ttps://www.elevenforum.com/t/i-am-getting-an-error-about-the-secure-boot.42964/
#1
セキュアブート証明書は更新されていますが、デバイスのファームウェアにはまだ適用されていません
#16
cjee21のCheck-UEFISecureBootVariables github投稿で示されていた通りです。タスクが完了したため、0に戻りました
#18
第7世代CPU搭載のIdeaPadノートパソコンは2023年版の証明書をすべて取得済みで最新の状態
2020年製のCoffee Lakeマシン エラー1801が繰り返し発生します。Fedoraでfwupdmgrを試してみましたが、KEK CAにアップデートがないと表示
(Coffee Lake 第8世代 ? )
#19
MOSBYは試しましたか? MOSBYの作者によると、KEKのアップデート/追加が全くできないBIOSがいくつか見つかったそうです
OEM/メーカーがBIOSアップデートを放棄した場合、ユーザーにとって明らかに問題となります。MOSBYはバージョン2.8で回避策を実装しており、場合によっては解決する可能性
Another Macrium Secure Boot Question
Dec 19, 2025
ttps://www.elevenforum.com/t/another-macrium-secure-boot-question.43151/
Trying to Creaate Mosby Boot Disk with Rufus
Dec 28, 2025〜
ttps://www.elevenforum.com/t/trying-to-creaate-mosby-boot-disk-with-rufus.43359/
#5
最終的にうまくいったのは、Mosbyファイルをフォルダに解凍してからRufusで作成したブートフラッシュドライブにコピーするのではなく、フラッシュドライブ自体に直接解凍したことです。つまり、これは愚かな質問が存在することを証明しており、この質問に誰も回答しなかったのは間違いなくそのためです
それは、Mosby と Rufus の著者が推奨した方法でした
#6
セキュアブートを無効にした状態でしか起動できないとはいえ、少なくとも正常に動作するマシンを手に入れました
参考) Netより (Mosby 現在 ver 3.0 .. )
RufusでISOダウンロードにして実行すると「UEFI Shell 2.2」が選択肢に表示されます
そうするとUEFI-Shell-2.2-25H2-RELEASE.isoがダウンロードされます
これをブータブルメディアとしてUSBメモリにISOを展開した中身をコピーします
注意点としてセキュアブートを無効にしていないとブートしません
Mosbyで現在のDBにCA2023を追加する方法
Defaultの方じゃなくてCurrentの方に追加する方法です まあ、Defaultの方でもいいですか
その上でファクトリーリセットを実行したらいいのかなと思います
これが可能であったらBIOSを操作してDBテーブルのバックアップを作成していなくても
セキュアブート時の起動不能を回避出来ますよね (?)
..
Secure Boot certificates targetting data
Improvements [Secure Boot]
a subset of high confidence device targeting data
Microsoft Windows Production PCA 2011 2026年10月
不足 - ? Microsoft Corporation UEFI CA 2023
Mosby
最新コメント