Secure Boot 関連 スレ Windows 11 Forum 2
最終更新:
icd2010memo 2026年04月17日(金) 21:19:34履歴
Secure Boot 関連 スレ Windows 11 Forum 2
本ページおよび本Wikiの内容は無保証です。
garlin's PowerShell scripts for updating Secure Boot CA 2023
Dec 31, 2025〜 2026.1.15〜 ttps://www.elevenforum.com/t/garlins-powershell-scripts-for-updating-secure-boot-ca-2023.43423/page-55
garlin-cant-code/ SecureBoot-CA-2023-Updates
ttps://github.com/garlin-cant-code/SecureBoot-CA-2023-Updates/
< > Code Download ZIP
.BATラッパースクリプトのセットを用意しました。これにより、実行ポリシーを変更せずにスクリプトを実行できます(セキュリティ上の懸念があるため)
Check-UEFI.bat
Check-UEFI.bat -audit
Check-DBX.bat
Upgrade-UEFI.bat
Upgrade-UEFI.bat -revoke
#7 Mosby
#170
.BATラッパースクリプトのセットを用意しました。これにより、実行ポリシーを変更せずにスクリプトを実行できます(セキュリティ上の懸念があるため)
Check-UEFI.bat
Check-UEFI.bat -audit
Check-DBX.bat
Upgrade-UEFI.bat
Upgrade-UEFI.bat -revoke
#263 Windows\System32\SecureBootUpdates
#276 (Web訳.. )
UEFIのデフォルトは、BIOS ファームウェアにハードコードされた工場出荷時のデフォルトを表します
#290
PCベンダーのプラットフォームキーは、Microsoft KEKの有効性を検証します。Microsoft KEKは他の証明書の有効性を検証します。
#プラットフォームキー PK
#322
UEFI KEK 証明書
Microsoft Corporation KEK CA 2011
Microsoft Corporation KEK 2K CA 2023
UEFI DB 証明書
Microsoft Corporation UEFI CA 2011
Microsoft Windows Production PCA 2011
Microsoft Option ROM UEFI CA 2023
Microsoft UEFI CA 2023
Windows UEFI CA 2023
UEFI DBX 証明書
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
EFI ファイル
ディスク 0: Windows ブート マネージャー [Windows UEFI CA 2023] は許可されています。
レジストリ:
UEFI DB 内の WindowsUEFICA2023Capable = 2 [Windows UEFI CA 2023]、および CA 2023 ブート マネージャーから起動する Windows。..
#324
PowerShellでスクリプトが有効になっているか確認しましたか?
Windows 11でPowerShellスクリプトを有効にする ..
#334
.. WindowsがISOファイルをCA 2023から起動するように更新すると、KEK CA 2011がなくても問題なくなります。また、UEFIの設定を無視して、インストール時にセキュアブートを一時的に無効にすることもできます。
#335
更新スクリプトは使用せず、UEFI BIOSに直接証明書を書き込みました
#339
PK MS GitHubの KEK JSONファイル ..
#350
UEFI CA 2023 証明書を使用して Windows インストール メディアを更新するためのグラフィカル インターフェイスを備えた PowerShell スクリプト ..
#352 ガーリン
GUIツールは、MSが提供する Make2023BootableMedia.ps1スクリプト よりも優れていると思います ..
このスクリプトは、混乱を招くようなオプションの配列をサポートしています
#355
CA 2023 証明書は完全にインストールされています。しかし、CA 2011 証明書は失効されていません(これは現時点では任意ですが、今年後半には Windows によって強制される予定です)。
#356
CA 2013の証明書で大丈夫そうですね。2011の証明書を失効させる必要はありません。Microsoftが失効させるか、6月まで待つつもりです
#360
@garlin 迅速なご返信ありがとうございます!
「powershell -ep bypass -f .\Update_UEFI-CA2023.ps1 -revoke」を実行するとすべて実行され、問題が解決すると読みました
#362
勇気を出して取り消しを実行しました
まだ何も問題はありません
..
レジストリ: WindowsUEFICA2023Capable = 2
[Windows UEFI CA 2023] がUEFI DBに存在し、WindowsはCA 2023ブートマネージャーから起動しています ..
#389
Check_EFIBootFile.ps1実行ではC:\Check_EFIBootFile.ps1 > F:\Desktop\output.txt 次の出力が得られます
#392
UEFIをセットアップモードにする ..
#396
HP Web サイトを確認すると、USB ドライブの使用を含む BIOS 更新プロセスに関する包括的な手順が載っています
#398
Rufus ..
#400
Rufus の設定を使用して、Windows CA 2023 を有効にするかどうかを指定
#407
BIOSをリセットする3つの方法 - wikiHow
HP Sure Start 搭載 PC の BIOS リカバリ オプション
#409
HP Sure Startをお使いの場合、..
#422 ガーリン
MS GitHub から .. ダウンロード
次のコマンドを実行
#423
サポートされていないデバイスでKEK証明書を更新する方法でしょうか?
#424
Mosbyは、セットアップモードを使用してUEFI証明書をクリア済みであると想定しています
#426
GitHubでASUSがPK署名付きKEKアップデートをリリースしたのを見ました
#429
microsoft corporation kek 2k ca 2023.der
(Microsoft Corporation KEK 2K CA 2023 )
#430
Mosby 証明書を信頼しない、または使用しない正当な理由はありますか ?
#431
ダウンロードした ...derファイルをインストールしようとすると、次のエラーが発生
ファイル名を.derではなく.crtに変更してみてください。 一部の BIOS はファイル名の拡張子に関して非常に厳しい
#432 ガーリン
Mosbyは、KEK CA 2023証明書に署名するために、専用のプライベートPKを作成することを目的としています
ベンダーの工場出荷時のPKまたは汎用Windows OEM PKを使用すれば、(私以外の)誰かがサポートしてくれる可能性が高くなります
アップデートの選択肢がA) MSに従うかB) Mosbyに従うかのどちらかしかない状況にはしたくありませんでした。そこで、MSの手法に従いながらも、より明確な可視性を備えた第三の選択肢C)を提案
#434
Dell BIOS どうやら「署名済み署名リスト」(別名「.auth」)形式が必要なようです
#436 ガーリン
セキュアブートプロセスにおける「難関」は、KEK CA 2023のインストールです。インストール後は、Windowsまたは更新スクリプトが残りの作業を完了
UEFIセキュリティモデルは次のように機能します
ベンダー PKが KEK CA 2023に署名 -> CA 2023 証明書を検証 -> Windowsが更新プログラムをプッシュできる
または
UEFI メニューのユーザーが KEK CA 2023 証明書ファイルを手動でロード -> オンボード PK を使用して KEK CA 2023が検証 -> CA 2023 証明書を検証
私の更新スクリプトは、サポートされているPKがない場合を認識し(MS GitHubにサムプリントがないため)、KEK証明書ファイルをEFIパーティションにコピーします。この方法なら、FAT32ファイルシステムを作成するために予備のUSBドライブを探す必要はありません。KEK CA 2023を手動でロードしたら、アップグレードスクリプトを実行するだけで、何をすべきかがわかります
#437
チュートリアルの中盤あたりで「署名済み署名リスト」(.auth)ファイルの作成方法が説明されていたので、それを利用できればと思っていました。Dell BIOSで必要なフォーマットだと説明されていました。しかし、チュートリアルの例ではキーと証明書の両方が必要なのに、私の場合は証明書しか持っていないので、この方法は使えません
#439
Google AI によると、Dell は DER 証明書を.cerとして受け入れており、 .der や .crt という名前は受け入れていないようです
#441
問題は、工場出荷時のPKが定義されている限り、ランダムな証明書を入力できないことだと思います。間違っているかもしれません
念のため、このPSスクリプトを実行してください。このPKがDellによって実際にサポートされているのか、それとも廃止されているのかを確認したいのです
#444
バッチでは 2011 を取り消さなくても証明書を追加できると表示されていますが、HP では取り消すように指示されています
自己署名とかそういう理由で、Mosbyを使うよりもMacrium Free 8の方が良いという意見もありますが
#445
[PCA 2011] 証明書を取り消さずに [UEFI CA 2023] 証明書をインストールするには
AvailableUpdates 0x5944
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
[UEFI CA 2023] 証明書をインストールし、[PCA 2011] 証明書を取り消すには
(To install [UEFI CA 2023] certs and REVOKE the [PCA 2011] cert)
AvailableUpdates 0x5bc4
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
残念ながら、OEMが BIOSに発行されたプラットフォーム キーを使用して KEK CA 2023 証明書に署名していないため、すべての PC モデルがセキュア ブートの移行を完全にサポートしているわけではありません
2台目の PCには、サポートされている PKがありません
その場合は、UEFI にカスタム キー登録を許可するメニューがあるかどうかを確認する必要があります ..
#449
SkuSiPolicy は、仮想化ベースのセキュリティを保護するためにインストールできるポリシー ファイルの1つ
#453
HPのBIOSアップデートをインストール
デスクトップと同じ結果
#455
Update_UEFI-CA2023.ps1
#456
やっぱり手動でコマンド実行しないといけないんですか?それとも2011年の証明書を取り消すときに更新されるんですか?
#457
分かりませんが、DBXファイルは作成されます
#458
証明書の取り消しはまだ検討していません。6月が近づいたら検討するかもしれません
#459
私の経験から言うと、あとは上記のように実行しc:\Update_UEFI-CA2023.ps1 -SkuSiPolicy、必要であれば2011を無効化するだけです。あるいは、Microsoftが無効化するまで待つこともできます。2011をc:\Update_UEFI-CA2023.ps1 -SkuSiPolicy無効化すれば.p7b DBXの問題は修正されるはず
#462
通常、通常のBIOS設定をリセットしても証明書は消去されません。消去された場合は、工場出荷時の証明書が取得されます
そのため、最新のBIOSファームウェアを使用することが重要です。最新の証明書は工場出荷時のリストに含まれている可能性が高いためです
証明書を消去する唯一の方法は、セットアップモードを実行することです
#464
Windows Update チェックの要件は、MS がセキュアブートファイルを随時更新することです
#465
CA 2023の導入は(現時点では)まだオプションであるため、証明書のフルセットを取得するには、以下の方法しかありません
1. 前回のBIOSアップデートで、証明書が工場出荷時のデフォルト設定に含まれています。これは、OEMメーカーからMicrosoftが推奨する方法です
2. 何らかのアップデートスクリプトを実行するか、Windows Updateプロセスを実行しました
3. Mosbyを実行しました。SkuSiPolicyファイルはEFIパーティションにコピーされるため、UEFIの外部にあります。技術的には手動でコピーすることも可能ですが、アップデートスクリプトにはコピーを実行するための-SkuSiPolicyオプションがあります。これは、セキュリティ強化のためにVBSが有効になっている場合にのみ必要です
#467
MSはGitHubでOEM提供のKEKファイルのリストを管理
#471
工場出荷時にCA 2023証明書が組み込まれていない場合は、..
#474
GitHub の KEKリストによると、これはサポートされている PKです
#479
MSI は BIOS を更新していますが、いつものように、Sinkclose の脆弱性を修正したり、TPM の問題を修正したりするのでない限り、更新内容を正確に述べることは ..
#480
デスクトップ マシンには MSI B450M Bazooka マザーボードが搭載されており、最新の BIOS アップデート (日付 2025-09-23) には 2023 証明書が付属していました
(何年ぶりかで ASUS TUF B450M-PLUS GAMING のファームウェア (beta版) が更新されてる ? )
(ASUS B450M-PLUS GAMING BIOS ?
4622 10.86 MB 2024/11/14
4645 ベータバージョン 10.88 MB 2026/02/02 ? )
#481
ASUS ROG Maximus VI Formulaでは問題なく動作 最後のBIOSアップデートは2016年
#484 > #480
あなたと同じ日付のものがありますが、ベータ版と表示
#485 ガーリン
AvailableUpdates = 0x80 は、保留中のアクションが CA 2011 を今すぐ (または今年後半に) 失効させる
(= 0x0080 Apply the Windows Production PCA 2011 to the DBX ? )
#491 ガーリン
MSはサポートされていないデバイス(セットアップモードから)を処理するために、「Windows OEM Devices PK」というデフォルトの.binファイルセットを作成
#493
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023 Microsoft Corporation KEK 2K CA 2023
#497
Rufus 4.12を使って最新の25H2 ISOイメージでUSBブートスティックを新しく作成しました。そこから起動しようとすると、「USBスティックに問題がある」というメッセージ
#498
2023年の証明書がインストールされていて、2011年のPCA証明書を失効させていない場合は、Rufusで2023のオプションを選択しても選択しなくても動作するはず
#511
cjee21 / Check-UEFISecureBootVariables
Apply 2023 KEK, DB and bootmgfw update.cmd
Windows state.cmd の出力
UEFICA2023Status: InProgress
Windows UEFI CA 2023 証明書が DB 内にあります
Check UEFI PK、KEK、DB、および DBX.cmd からの出力
X Microsoft Corporation KEK 2K CA 2023
X Microsoft UEFI CA 2023
√ Microsoft Option ROM UEFI CA 2023 (失効: False)
..
Show UEFI PK、KEK、DB、および DBX.cmdからの出力
Check_UEFI-CA2023 -audit からの出力
..
#543
追加チェックが行われ、両方ともtrue です
PS C:\Users\asimo> [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
True
PS C:\Users\asimo> Confirm-SecureBootUEFI
True
#561
winload.efi 2 回の起動の間に何らかのポリシーまたは構成設定 (BCD?) が変更されたことを示しています
#562
最後のWindowsビルドで何かが破損したのだと思います。セキュアブートとは関係ないように思えます
#564
GitHub から「KEKUpdate_ASUS_PK6.bin」をダウンロードしています
一部のBIOSではKEKの追加が失敗する可能性があると報告されています。そのため、以下の手順をお試しください
1. ..
#565
2017年製 ASUS GL502VSというノートPC
#566
CA 2011(想定通り)のKEKエントリが既に存在するのですが、新しいCA 2023エントリをエラーなく追加できない
これを行う方法と、その手順がBIOSによって異なる
#567
ノートパソコンが壊れてしまったようです
PK証明書をインストールした後、KEK証明書が見つかりませんでした
#568
BIOSのリフラッシュ手順(ASUS)はご覧になりましたか
BIOSをリフラッシュすることで、BIOSがスタックしているUEFI状態がクリアされる可能性
#569
古いPCでこれらのスクリプトを実行する際はご注意ください。2014年製Dellノートパソコンのセキュアブートアップデートに関する問題
Secure Boot Update Issue for 2014 Dell Laptop
2026.2.14〜 ttps://www.elevenforum.com/t/secure-boot-update-issue-for-2014-dell-laptop.44563/
#570
投稿いただいたリンクを使用してBIOSの書き換えを試みたところ、書き換えプロセスは正常に動作しました。しかし ..通常の起動では黒い画面のまま
#572
BIOSをリフラッシュしたら、正常に画面が映りました
#573
Medion PCをアップデートしようとしたのですが、古いDellと同じようにアップデートスクリプトがKEKのインストールに失敗しました。今回はエラーが少し異なります
#574
その PK ファイルをカスタム モードで BIOS に手動でインポートし (その後、スクリプトで指示されたように KEK もインポートしました)、..
MEDION Certificate
Microsoft Corporation KEK 2K CA 2023(GitHubからMedionファイルをインポート)
Microsoft Option ROM UEFI CA 2023
bootmgfw.efi File version: 26100.30227
#575
何らかの理由でブートファイルを修復する必要があるかもしれません
#576
KEK CA 2023をPKにインポートした UEFIは時々ちょっと間抜けなんだ
UEFIが気にするのは、有効な X509証明書 を送信したかどうかだけ
元のMEDION PKを復元するには、工場出荷時の状態にリセットする必要
気づかずに、間違った証明書を間違った変数に追加しちゃったんだ
元のMEDION PKを復元するには、工場出荷時の状態にリセットする必要が
#578
3. Medion KEK をKEK (PKではありません) に手動でインポート
#580
署名済みのKEKをMicrosoftフォルダからインポートし、署名済みのMEDIONフォルダからインポートしない理由を説明していただけますか?
#581
スクリプトは署名済みのKEK .binファイルを追加しようとしましたが失敗しました。そのため、.derファイルは同等のオプションであり、常に機能するはずです。「そうであるべき」です
#582
ASUS MSがお使いのマシンの証明書を更新し、古い証明書だけを含む新しいBIOSがフラッシュされた場合はどうなりますか ?
#583
3.MEDION署名KEKを追加します(署名後、MEDIONフォルダー、ファイルKEKUpdate_PK2.bin、Microsoft Corporation KEK 2K CA 2023)
MEDION Certificate
Microsoft Corporation KEK 2K CA 2023
Microsoft Corporation UEFI CA 2011
Windows UEFI CA 2023
Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
bootmgfw.efi File version: 26100.30227
SUCCESS: NO UPDATES ARE REQUIRED.
新たな愚かなミスを犯してしまったのでしょうか?
#584
ASUS BIOSアップデートでは現在の証明書は上書きされず、「BIOS」のデフォルト証明書のみが上書きされます。複数のマシンでBIOSをアップデートしましたが、アクティブなキーは変更も消去もされませんでした
#585
ASUS MSはこのシナリオに対する「回復」方法を用意しているようですが、かなり不十分ですsecurebootrecovery.efiをコピーし、bootfwmgr.efi に名前を変更することで、一時的に起動できるようになります
確かに面倒ですが 現在の証明書がすべて失われるような壊滅的な事態はおそらく稀でしょう
#587
ASUS 一部のBIOSアップデートで奇妙な現象が発生し、NVRAMがリセットされてしまう(すべての設定が失われる)という報告がユーザーから寄せられている UEFIの現在の証明書も失われる可能性
MSもこの問題を認識しており、セキュアブートのドキュメントにも注意書きを記載
#590
メディア作成ツールを使用して、新しいイメージからシステムを再インストール SSDのセキュリティ消去を実行
Windowsフラッシュドライブが起動せず、BIOS画面に戻ってしまいます。以前の26200.7623のバックアップは持っていますが、復元後もシステムが起動しません
Win10のバックアップを復元 セキュリティブートを無効にしたところ、Win10が起動
#593
..セキュアブートを有効にした状態で起動でき、26200.7840インストールイメージでも起動できるようになりました
#595
Windowsや古いイメージの再インストールで問題が発生している方へ…ブートファイルは新しい証明書で署名されているため、古いバックアップから復元しようとすると問題が発生
OSを問題なく再インストールするには、ブート可能なメディアを更新してWindowsを再インストール
新しい証明書で新しいバックアップを作成することをお勧め
#596
バックアップを復元する前に、いつでもセキュア ブートを無効にすることができます。
セキュア ブートがないと、UEFI は証明書チェックを実施しません。
1. ..
#601
この部分は難しいです。OEMがBIOSサプライヤーから入手したBIOSに依存するからです。正直なところ、私の経験はDellとLenovoのPCだけなので、よく分かりません
信頼度バケットは、マザーボード(モデル)とBIOSバージョンごとにグループ化されています。ファームウェアのアップデートが遅れているユーザーがいるというのはご指摘の通りです
MSはBIOSの責任を負っていません。「OEMを犠牲にするような」ことは避けなければなりません。BIOSの中には、アップデートで成功しているものもあれば、PCを壊してしまうものもあります。古いモデルの場合、マザーボードの工場出荷時の交換は利用できません
#603
Dell KEK証明書を使用できなかったため、代わりにWindows OEMファイルを使用する必要
MicrosoftのGitHubリポジトリにあるDell KEKが、Dell Latitude 3380のPKによって署名されているかを手動で確認できるか知りたい
4つのKEKファイル、どう確認すればよいでしょうか?
#604
1. OEMのPKは、汎用の事前署名済みKEKに相互署名するために使用されます。このKEKは、MS GitHubに保存される事後署名済みKEKの1つになります。一意のPKごとに一致するKEKは1つだけです。
2. OEMは、一意のPKを複数のPCモデルで使用する場合があります
3. OEMは複数のPKを持つ場合があります
重要なのは、すべての一意のPKに固有の証明書の拇印があることです。他のKEKファイルは、PCのPKと一致しません。このスクリプトは、GitHubに一致するKEKファイルの名前を返します(存在する場合)
#606
私の場合は次のエラーで失敗
Get-UEFIVariable : The term 'Get-UEFIVariable' is not recognized as the name of a cmdlet, function, script file, oroperable program. ..
スクリプトを修正して .. Dell/KEKUpdate_Dell_PK4.bin
スクリプトを修正してJSONファイル全体を最後に出力するようにしたところ、PKサムプリント(以前あなたのスクリプトの1つで取得しました)をこの辞書のキーとして使用すると、確かに「Dell/KEKUpdate_Dell_PK4.bin」という値が生成されました
なぜこのKEKの使用を試みたのか(あなたのスクリプトの使用、Ubuntuのファームウェア更新ツールの使用、BIOSのカスタムセキュアブートモードでの手動インポートなど)、なぜ全て失敗したのか疑問に思います。DELLのBIOS/ファームウェアにバグがあるのでしょうか?
(Microsoft OEM証明書を使用してセキュアブートは動作していますが、..)
#608
そのスクリプトは私にとっても同じようには機能しませんでした
#607
B850MのBIOSには新しい証明書が搭載されているのに対し、私のB550iには搭載されていないのではないかと考えています
#610
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
false
#611
2025年6月は、MicrosoftがOEM各社にCA 2023をファームウェアに組み込むよう最終プッシュしていた時期だったはず ..
"Update is available from Gigabyte or Microsoft." ..
#614
CA 2023 証明書の適用は完了しましたが、PCA 2011 証明書の失効がまだ完了していません。
MSによると、現在の展開スケジュールでは「この段階」まで進んでいるはずです
失効が完了すると、CA 2011 が DBX のリストに表示されます
#617
ACER BIOSの手動アップデートが必要 BIOSを確認したところ、私のPCは個々のキーの手動管理をサポートしていないようです
「すべてのセキュアブート設定を消去」を選択し、Enterキーを押してからF10キー
Windowsを起動し、Update_UEFI-CA2023.ps1スクリプトを実行?
#618 ガーリン
2番目のオプション「実行用に信頼できるUEFIファイルを選択する
KEK CA 2023証明書ファイルをEFIパーティションの「\EFI\Certs」フォルダに
Windowsを再起動 更新スクリプトを再実行
#619
BIOS設定を永久に変更するのは少し不安
#620
BIOSがサポートしている場合は、より小規模なアプローチ(単一のキー登録)を採用する方が常に効果的
#622
Windows UEFI CA 2023
Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
レジストリ WindowsUEFICA2023Capable = 2
成功: 更新は不要です
#625
良さそうですが、BIOSに奇妙なバグ(おそらく非常に古いため)があり、工場出荷時のDBXを読み取れません
#627
T460を持っていて、Mosbyを徹底的に検証しました。最新バージョンを使えば問題なく動作するはずです
#630
T460 BIOS v1.45
pbatard/ Mosby issues
PK installation fails with Security Violation on Lenovo ThinkPad T460 #19
ttps://github.com/pbatard/Mosby/issues/19
ハードウェアにアクセスしないと解決が難しそうな2つの問題のうちの1つだったので、..そのハードウェアを手に入れました
#632
こちらも1.45 しかし、今回もまた失敗 「セキュリティ違反」が表示
「セットアップ モード」ではなく「キーをクリア」することを推奨していることに気付きました
もう一度試してすべてのキーをクリアしましたが、残念ながらまたしても「セキュリティ違反」が発生 最新の Mosby バージョン 3.0 をダウンロード
#633
GitHubから「WindowsOEMDevicesPK.der」をダウンロード
BIOSからPK証明書をインストールするには、README_UEFI.TXTの手順に従ってください。UEFIの更新を有効にするには、Windowsを再起動
Gigabyte 22H2 ビルド 19045.6937 (Win10)
√ Microsoft Corporation KEK CA 2011 (失効: False)
√ Microsoft Corporation KEK 2K CA 2023 (失効: False)
bootmgfw バージョン: 10.0.26100.1004 (WinBuild.160101.0800)
bootmgfw 署名 CA: Windows UEFI CA 2023
bootmgfw SVN: 7.0
#635
Update_UEFI-CA2023 -Revoke を実行したら成功
Gigabyte A1 2017-03-29
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Corporation UEFI CA 2011
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
bootmgfw.efi 26100.1004
成功: 更新は必要ありません
#639 なぜ Microsoft Corporation UEFI CA 2011 証明書は取り消されないのでしょうか?
#638 Mosby.log
#639
なぜ Microsoft Corporation UEFI CA 2011 証明書は取り消されないのでしょうか?
#641
Microsoft UEFI CA 2011は Linux の起動用に予約されているため、 失効させません
Microsoft が Linux ディストリビューションに代わって提供
UEFI セキュリティチェックを通過するために、Microsoft と Linux は汎用証明書を共有
#645 Mosby v3.0 x64
Win11 26H1 28000.1641
LENOVO 20FN002JUS
バージョン: R06ET71W (1.45 ) 2022-02-20
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
bootmgfw.efi バージョン 27954.300
レジストリ WindowsUEFICA2023Capable = 1
#648
ノートPC 1台は比較的新しいもので、BIOSに2023ファイルを含む
2台目はずっと古く、おそらく新しいBIOSも入手できないでしょう ガーリンのスクリプトで2023ファイルを使用し、2011ファイルを無効にすることができました。KEKエラーが発生しなかったのは今回が初めてで、BIOSを一切変更する必要がありませんでした
#650
「セキュアブートKEKアップデート」とは、OEMがWindows Update経由でMicrosoftに署名済みのKEKを提供し、展開できるようにすることを意味します。つまり、Microsoftが適切なタイミングでアップデートプロセスを完了すれば、残りのアップデートプロセスはすべてWindowsが処理します
#651
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
レジストリ WindowsUEFICA2023Capable = 2
SkuSiPolicy.p7b(VBS用)が存在しません
SkuSiPolicy.p7b(VBS用)が存在しない点を除けば、私の環境では問題ないようです
#654
サポートされていないBIOSを搭載したPC 「信頼できるUEFIファイルを選択して実行」を試しました
Ms Corp KEK 2K CA 2023.der がEFIにコピーされ
dbupdate2024.bin、DBUpdate3P2023.bin、DBUpdateOROM2023.bin がUEFI DBに正常に追加されました。EFIブートファイルをコピーしています ブートファイルが正常に作成されました
BIOSで「信頼できるUEFIファイルを選択して実行」を選択しましたが、EFI\Certsフォルダには選択できるファイルがありません ..
#656
2023 KEK のみを追加しようとしている場合は、「実行用に信頼できる UEFI ファイルを選択する」必要があります。「セキュア ブートを工場出荷時の設定に復元する」..
デバイスがサポートされていないため、証明書/キーを手動で完全に更新できない場合は、Mosby オプション
#657
手動登録で「.efi」ファイルが必要な場合は、..
#659
Macrium USB が接続されたときに ..
#661
古いBIOSでこの問題を報告されたのは、あなたが2人目です
#662
UEFIセキュアブート設定の読み取りに失敗しました
#664
新機能や改善点を利用するには、最新の PowerShell をインストールしてください
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
Microsoft Windows Production PCA 2011
無効な Microsoft.SecureBoot.Commands.UEFIEnvironmentVariable X509 証明書をスキップします。
Windows BootMgr SVN 7.0
レジストリ UEFICA2023Status = 更新
成功: 更新は不要
#665
ファームウェアの1つが古すぎて、PowerShellスクリプトで処理できないのではないかと思います。証明書を工場出荷時のデフォルトに戻してください。このPCは非常に古いので、セキュアブートを無効にしてそのままにしておくことをお勧めします。PCが起動しなくなるリスクを冒したくありません
Windowsはいずれ証明書が更新されていないというエラーメッセージを表示しますが ..
#666
無効なMicrosoft.SecureBoot.Commands.UEFIEnvironmentVariable X509証明書をスキップします。Windows
BootMgr SVN 7.0
よくありません。UEFI変数のどこかに、不正な形式の証明書または署名ハッシュが挿入されているようです
比較のためにcjee21スクリプトを実行していただけますか?Macriumドライブを起動できない場合は、スクリプトエラーではなく、何らかのUEFIの破損が考えられます。この状態から抜け出すには、工場出荷時設定にリセットして、アップデートプロセスを繰り返す必要があるかもしれません
#667
スクリプトに書いてある通り、問題ないようです。このまま使い続けようと思います。Macrium Reflectを実行する必要がある時はSBをオフにできるので、..
#672
最近のWin11 ISO から SkuSiPolicy
162107 Dec 3 2023 23H2/SKUSiPolicy.P7b
55616 Sep 5 2024 24H2/SKUSiPolicy.P7b
6544 Sep 15 12:40 25h2/SKUSiPolicy.P7b (ファイルサイズ)
#673
以前のMacrium Rescueメディアが、REまたはPEのどちらかのセキュアブート(SB)を有効にした状態で起動できなかったのは、SkuSiPolicyのせいでした
#674
本日、提供されたスクリプトを使ってWin10 Dell Latitude 5580ノートパソコンをアップデートしようとしましたが、うまくいきませんでした
#677 サスペンド
#678 SkuSiPolicy
#682 UEFIロック
#683
garlin's scripts サポートされているBIOS搭載 AsusネットブックPCで動作
Mosby Acer Aspire PC 動作 セキュアブートは有効、セキュアブートモード カスタム
685
すべてのキーをリセットしましたが、EFI\certsからPKとPK証明書を手動でインポートできません
Dellファームウェアから「キーのインポートエラー:キーが正しく署名され、フォーマットされていることを確認してください」というメッセージが表示されました。DER、CER、CRTの拡張機能で試してみましたが、結果は同じでした
Mosbyも試してみました
UEFI はセットアップ モード(証明書なし)
Windows BootMgr SVN 7.0
ブート マネージャー [Windows UEFI CA 2023] は許可されています
レジストリ WindowsUEFICA2023Capable = 2
CA 2023 ブート マネージャーから Windows起動
686
これは、PowerShell から正しい結果を返さない問題のあるBIOS の1つに似ています
#687
これらのノートパソコンは2017年製、ハードウェアは非常に安定しています。50台所有
Intune管理
#688
25H2 26200.7922
工場出荷時の UEFI PK 証明書 信頼しないでください - AMI テスト PK
Microsoft Corporation KEK 2K CA 2023
工場出荷時の UEFI DB 証明書
Microsoft Windows Production PCA 2011
UEFI DB 証明書
Microsoft Option ROM UEFI CA 2023
Windows UEFI CA 2023 Microsoft UEFI CA 2023
bootmgfw.efi ファイルバージョン 26100.30227
レジストリ WindowsUEFICA2023Capable 2
AMI テスト PK DO NOT TRUST - AMI Test PK
これはCMOS内のファームウェアに組み込まれているのでしょうか?
そうであれば、メーカーがアップデートツール付きのBIOSをリリースしない限り、常に存在することになるのでしょうか?
#690
PCメーカーが AMI テスト PKを使用しているという報告が確認されると、AMIはそれらの OEMに、直ちに使用をやめ、適切に署名された OEM PKで BIOSを再リリースするように指示しました。指示に従ったメーカーもあれば、..
Windows OEM Devices PKは、孤立した BIOS の回避策として MSによって設計されたため、侵害されたテスト PK はありませんでした
#691
reg addは PS内から実行できます。これは外部コマンドとして扱われます
#689
最初のコマンドは Powershellから実行されますか、それとも CMDから実行されますか?
#693
2011年の証明書は今のところそのままにして、5月中に「必要な操作」に記載されている方法で失効させる予定です .. (?)
\Microsoft\Windows\PI\Secure-Boot-Update はWindowsエクスプローラーに表示されるものを指しているのでしょうか ? C:\ドライブのルートにMicrosoft\Windowsフォルダがありません
#694
\Microsoft\Windows\PI\Secure-Boot-Update
それはWindowsのスケジュールタスクです。スケジュールタスクは別々の内部フォルダに整理されています(中身を見る必要はありません)
特定のタスクを参照する場合、フルパス名 \Microsoft\Windows\PI\Secure-Boot-Updateを使用する必要があり .. 面倒ですね…
#698 ガーリン
私の更新スクリプトを実行していただけますか ?
Update-UEFI.bat
完了したら、Check-UEFI.bat を再度実行してください
(garlin-cant-code/ SecureBoot-CA-2023-Updates
ttps://github.com/garlin-cant-code/SecureBoot-CA-2023-Updates/
Update-UEFI.bat Check-UEFI.bat )
#703
これは、Windowsに正しい結果を返さない「問題のある」BIOSの1つではないかと考えています
#704
HP zbook g11 ..
#705
これらの HP マシンはかなり新しい .. すでに更新されたデフォルトの証明書が含まれているため、証明書の面からはすべて問題ないはず
Microsoftおよび Garlinsスクリプトには、時々間違っている可能性がある 1つの推定あり
Microsoft Corporation UEFI CA 2011 証明書がある場合、Microsoft UEFI CA 2023証明書と
Microsoft Option ROM UEFI CA 2023証明書の両方を追加する必要あり
MSは、Microsoft Corporation UEFI CA 2011 の機能 (サード パーティのファームウェアおよび非MS ブートローダによるセキュア ブートの有効化) を..
(Zbook G11 にはディスクリート NVidiaグラフィックスがあるようですが、..
#706
色々な資料を読んで同じ結論に至りました。特にHPのメモが参考になりました
#711
MSは2026年後半に強制失効を開始 ..すべてのPCで完了するまで続くでしょう(?)
#715
Haswell MSIボード (第4世代 )
#716
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Required Action
manually add the KEK 2K CA 2023 cert
#717
KEK CA 2023が無いと思われます
お使いのBIOSは自動更新に対応していません
\EFI\Certsフォルダを探してください。そのフォルダからKEK CA 2023ファイルを読み込みます
手動KEKオプションらしきものが見つからない場合は、セットアップモードオプションを探してください
(Mosby ? )
719
上記のレポート出力はどのようにして取得しましたか?代わりにバッチファイルを実行しましたか?
Check-UEFI.bat -Verbose
#727 (yes? )
#720
ほとんどのバッチファイルはブロック解除(右クリック)する必要があります
一部のシステムではPS1スクリプトが許可されていません。PS1を実行する前に、PowerShellで以下のコマンドを試してください。
ターミナルで管理者として実行: これらのスクリプトを実行するには、この操作が必要でした。
Set-ExecutionPolicy Unrestricted
#721
Garlin Jan 15> .\Check_UEFI-CA2023
UEFI KEK 証明書
Microsoft Corporation KEK 2K CA 2023
UEFI DB 証明書
Microsoft Windows Production PCA 2011
Microsoft UEFI CA 2023
Windows UEFI CA 2023
ディスク 0: Windows ブート マネージャー [Windows UEFI CA 2023] は許可されています
レジストリ WindowsUEFICA2023Capable = 2 [Windows UEFI CA 2023]
ディスク 0: SkuSiPolicy.p7b (VBS 用) は存在しません
オプション 2: [PCA 2011] 証明書を取り消さずに [UEFI CA 2023] 証明書をインストールするには、次のコマンドを実行します:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x4800 /f
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
SkuSiPolicy.p7b をインストールするには、次のコマンドを実行します:
Update_UEFI-CA2023.ps1 -SkuSiPolicy
PS C:\Users\Beverley\Documents\Secure Boot UEFI\New Garlin Scripts\New Garlin Jan 15>
722 ガーリン
オプション1のコマンドを実行するか、Windowsに任せることができます。オプション1を実行するメリットの1つは、最初のフェーズの作業がすべて完了しているため、セキュアブートに関する混乱を招く通知が表示されないことにあります
724
PowerShell
新機能と改善点については、最新の PowerShell をインストールしてください。Windows PowerShell 更新メッセージに関する FAQ - PowerShell
Microsoft UEFI CA 2023 Windows UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
ディスク 0: SkuSiPolicy.p7b (VBS 用) は存在しません
#725
ここからはWUにお任せ ..
#726
Check_UEFI-CA2023.ps1 -Verboseを使用すると、同じ詳細が、より理解しやすい異なるレイアウトで報告されます
#729
Dell Inc. Dell 16 DC16250 日付: 2026-01-04
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Windows BootMgr SVN がありません
bootmgfw.efi ファイル バージョン: 26100.30227
ディスク0: SkuSiPolicy.p7b (VBS用)は存在しません
730
2024年以降に出荷された主要PCには、工場出荷時のデフォルト設定にKEK CA 2023証明書が追加されます。KEK CA 2023は、他のすべてのCA 2023証明書の検証に必要です。Dellは、企業顧客向けにリモート管理ツールを提供しているため、独自の秘密KEK鍵を導入しています
一般家庭のユーザーは「Dell Inc.」のKEK鍵を必要としませんが、..
他の Dell 固有のキーも同様
以前の Linux ディストリビューションの中には、PCA 2010 で動作していたものもありましたが、そのほとんどは新しい MS UEFI 証明書に移行しています
#731 SkuSiPolicy
#732
ノートパソコン 起動せず、バックアップを試み、セキュアブートを無効にしてみましたが、キーを更新しようとしたときに何かが壊れてしまったに違いありません
#733
1. セキュア ブートを無効にします
2. UEFI 証明書を工場出荷時のデフォルトにリセットします
3. Windows ISO から起動し、その更新オプションを使用した場合は SkuSiPolicy.p7bファイルを削除します ..
#735
画面右上の最初の単語を右クリックし、そのままクリックしたまま最後の単語までドラッグし、右クリックを放しました。これで選択範囲が白くなり、同時にクリップボードにコピーされます .. 貼り付け
追記:すみません、左クリック…
#738
BIOSは最新です。2024年以降のほぼすべてのBIOSリリースには、CA 2023証明書が追加されます
#740
ASUSTeK マザーボード PK 証明書
#742
Secure Boot .. PK enrolled System in User mode
..required plarform reset
#746
今のところアップデートは控えさせてください。PK変数のデータバイトを抽出するテストスクリプトを見つけて、スクリプトの証明書解読解析機能に問題があるかどうかを確認する必要があります。1時間ほどお時間をください(または古いスクリプトを見つけてください)
#743
最初の部分(CA 2023 証明書とブートマネージャーの追加)は問題ありません。失効は、MS が今年後半に義務化するまで延期できます
#745
通常、最新のBIOSが2024〜2025年にリリースされた場合、CA 2023認証が工場出荷時のデフォルト設定に追加されています。問題は古いPCの方が多く発生します
#749
以前のスクリプトを見つけました。これは役に立ちますか?
#757
PS D:\Temp> powershell -nop -ep bypass -f Check_UEFI-CA2023.ps1 -verbose
26200.7840
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
レジストリ WindowsUEFICA2023Capable = 2
bootmgfw.efi ファイルバージョン 26100.30227
#760
CN = 正規名 O = 組織(会社)
L = 場所 ST = 州 C = 国
#762
ASUS は状況を把握しており、自社発行の証明書に適切なラベルを使用
#763
失効手続き 出力結果から判断すると、エントリを手動で削除する必要があるのでしょうか、それともMSが対応してくれるのでしょうか ?
#764
MSは強制失効プロセスをいつ開始するかを発表していません(おそらく6月以降に開始されるでしょう)
失効後の大きな変更点は、Windowsインストールまたはリカバリソフトウェア用のUSBブートメディアを既にお持ちの場合、ブートファイルをCA 2023バージョンに置き換える必要があること
UEFIモデルでは、禁止された証明書を削除するのではなく、新しいエントリを追加することで変更を行います。失効したPCA 2011はDB変数に引き続き存在しますが、DBXに同時に存在するためキャンセルされます。UEFIの許可リストは、DBリストからDBXエントリを削除することで作成されます
#766
チェックスクリプトは、一連の個別チェックを順に実行し、「成功: 更新は不要です」というメッセージを表示
このメッセージが表示されたら、失効前に必要なすべてのチェックが完了しています
Windowsのインストール、またはMacriumスタイルの回復ツールの実行に使用する起動可能なUSBドライブのブートファイルを更新
#769
DBXリストにDB証明書があるようです
UEFI DB証明書
Microsoft Corporation UEFI CA 2011
UEFI DBX証明書
Microsoft Corporation UEFI CA 2011 Microsoft Windows Production PCA 2011
これは、Linuxで使用されているMicrosoft UEFI CA 2011を、あなた(またはベンダーなど)が禁止することを決定したことを意味します .. 最近のLinuxディストリビューションはDBXの代わりにSBATファイルメカニズムを使用しており、ほとんどのディストリビューションはいずれにせよ Microsoft UEFI CA 2023 に移行しているからです
#772
.\Check_UEFI-CA2023.ps1 -Audit -Log
Microsoft UEFI CA 2023 Windows UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
UEFI DBX Certs
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
ログ ファイルは C:\_To Do\_Secure Boot\SecureBoot-CA-2023-Updates\2026-03-10 B660M-HDV Check-UEFI.log として保存されました
#774
powershell -nop -ep bypass -f C:\Users\dark\Downloads\SecureBoot-CA-2023-Updates\Update_UEFI-CA2023.ps1 -Revoke -Latest
「dbxupdate.bin」は新しいバージョンのファイルではありません。
「DBXUpdate2024.bin」をUEFI DBXに正常に追加しました
DBXUpdate.binの日付は2025年10月24日
#775
DBXUpdate.bin 固有の署名ハッシュを追加して特定の EFI ブート ファイルを禁止
DBXUpdate2024.bin PCA 2011 を DBX (失効) に追加し、SVN を初期 2.0 に設定
DBXUpdateSVN.bin SVN を 7.0に上げます
#776
更新スクリプトに別のエラーがある可能性あり
というか、もう2023 bootmgrを実行している
#777 ガーリン
申し訳ありませんが、664行目にタイプミス
#778 DBX証明書
#779
かつては、ベンダーは新しいDBX EFI署名の追加から始めていましたが、現在ではその役割はMSのみが担っています
#787 .\(またはフルパス)
#790 DBXエントリの最小予想数は(本日時点で)437
#791 Surface Pro 4 などの古いデバイス
#792 おそらくそうではないでしょう。スクリプトにエラー処理をいくつか追加します
#794
Resolve-Path: パス 'C:\WINDOWS\System32\SecureBootUpdates' は存在しないため見つかりません
スクリプトがSecureBootUpdatesフォルダへのパスを解決できないとのことです。何が問題なのかは分かりませんでしたが、そのWindowsに特有の問題で、(あなたまで)誰も報告していませんでした
このバージョンのスクリプトを試していただけますか?引数なしでスクリプトを呼び出す場合は、Resolve-Pathロジックをバイパスするようにしました
#795
投稿されたスクリプトを実行しました:
powershell -ExecutionPolicy Bypass -File "C:\Buzz\SecureBoot\SecureBoot-CA-2023-Updates\01-Check_DBXUpdate.bin.ps1"
結果 .. 依然としてパスエラーがスローされます
#797 イベントビューアー TPO-WMI
#798
イベント1046は情報アラートに使用されるため、エラーとはみなされません
正直なところ、これらのメッセージを消す方法がわかりません
#800 NotePad++で .jsonファイルを開くと、..
#801
一番上にある TPM-WMI 1808 ..これは、CA 2023 キーとブートマネージャーのインストールに成功したことを示すメッセージです
#804
ASUSTeK マザーボード PK 証明書
ASUSTeK マザーボード KEK 証明書
Microsoft Corporation KEK 2K CA 2023
Microsoft Option ROM UEFI CA 2023
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
#805
Gigabyte の PK 証明書にラベルがありません
#807 Gigabyte の最新BIOSアップデート
#808
お使いのPCが過去2〜3年間BIOSアップデートを受けている場合、セキュアブート証明書は以前のリリースで追加されているはずです
MSはすべてのOEMに対し、昨年中にリリースするよう期限を設定していました
#809
>Powershell バージョン: 5.1.26100.7920
PS7で実行してみて、違いがあるかどうか確認していただけますか
実際には「他の理由でPSがフォルダを開けない」という意味の場合もあります
#810
C:\ .. \SecureBoot\SecureBoot-CA-2023-Updates\Check_DBXUpdate.bin.ps1" -verbose
PowerShell 7.5.4 ..
仮想化に関係があるのでしょうか?
#811
SVNが欠落しているのは、PCA 2011証明書を失効させていないためです。証明書が失効すると、SVNはまず2.0になります。その後、SVNアップデートが適用され、7.0に上がります
#814
Gigabyte ガーリンが数時間かけて一緒にトラブルシューティングしてくれました。出力結果が一致
これはGigabyteのマザーボードすべてに当てはまる ?
#815
コマンドに新しい PowerShell機能が追加され、証明書を人間が読める形式に変換できるようになりました
> foreach ($var in @('PK','KEK','DB','DBX')) { "`n${var}:"; (Get-SecureBootUEFI -Name $var -Decoded).Subject }
GIGABYTEは件名に「CN=GIGABYTE」以外何も表示していないのではないかと思います
#816
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023' が False
これは BIOSが準拠していないためであり、停電や CMOS バッテリーの故障が発生した場合、BIOSをデフォルトから再ロードするには Update 2023 スクリプトを再度実行する必要があるということでしょうか ?
その場合、セキュア ブートを一時的に無効にする必要があるということでしょうか ?
#818 ガーリン それは単に、Windows UEFI CA 2023 が DB に追加されていないことを意味 ..
#817
Windows Updateにより、システムが再起動を繰り返すようになり クリーンインストール
最初にセキュア ブートを無効にした後、この作業を完了することができました。システムが 26200.8037に完全にアップデートされた後、セキュア ブートを再度有効に
マザーボード 最新の非ベータ版 BIOS (1.I0、日付 03/11/2025) MSI MS-7D78
check-uefi -verbose
PowerShell 7.5.5 BitLocker on (C:) OFF
MSI SHIP PK
Microsoft Corporation KEK 2K CA 2023 MSI SHIP KEK
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Windows Production PCA 2011
MSI SHIP DB
レジストリ 信頼度レベル 監視中、UEFICA2023Status 未開始、WindowsUEFI2023Capable 2
8037で導入された2つの新しいPSコマンドを実行
foreach ($var in @('PK','KEK','DB','DBX')) { $var; (Get-SecureBootUEFI -Name $var -Decoded).Subject }
Get-SecureBootSVN
それ以来、最近システムにも問題が発生しているため、どう対処すればよいのか分かりません
#819 ガーリン
オプションROMが不足しているだけです(古いグラフィックカードによっては必要になる場合があります)。しかし、正常に起動できたので、後から追加できます
..PCの場合、マイクロソフトがアップデートを強制しても安全かどうかを判断するのに時間がかかります。「監視中」とは、判断するのに十分な事例がないことを意味します。アップデートが機能しないという意味ではなく、自動プッシュが ..ミスを犯したくないということです(BIOSに致命的な欠陥があり、PCが起動不能になる可能性もあります)
ASUSや一部のHPモデルと比べると、MSIのファームウェアはかなり良い出来 私のスクリプトが「何もしない」と示唆したのは、MS KEKデータベースと、サポート対象リストにあるMSIのPKを確認したから
MSは、OEMにBIOSへの変更を追加する期限を昨年までとしていました
#823
(#815 コードの行頭 > はコマンドプロンプト)?
foreach ($var in @('PK','KEK','DB','DBX')) { "`n${var}:"; (Get-SecureBootUEFI -Name $var -Decoded).Subject }
#824
はい、ノートパソコンで実行して解決できました
Gigabyte製のPCで実行できるのはあと2週間後になります
#826
Get-SecureBootUEFIコマンド
foreach ($var in @('PK','KEK','DB','DBX')) { "`n${var}:"; (Get-SecureBootUEFI -Name $var -Decoded).Subject }
#828
FirmwareSVN DBX バージョン (最後の再起動から読み取られたもので、保留中の変更を反映していない可能性があります)
BootManagerSVN EFI ブート マネージャーのファイル SVN
StagedSVN SecureBootUpdates フォルダーの DBXupdateSVN.bin
FirmwareSVN が DBX の内容と一致しないのはなぜですか? 正式に有効にするには再起動が必要かもしれません ..
#829
コマンドをPowerShellで管理者として実行し(てしまい ?)ましたか ?
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#832
get-securebootsvn コマンドを実行したところ、SVN ファームウェア 7.0という結果が表示 私の入力ミスでした
#837 ガーリン
SVN番号は「偽の」EFI_CERT_SHA256_GUID証明書に格納されており、証明書のSignatureDataは特殊なエンコード値を返します
Get-SecureBootSVN は、GUIDごとに最も高い SVNを返すというルールに従っていないため、動作がおかしい ようです
私のスクリプトのコード DBX エントリの適用には常に上記の順序に従います
#839 ガーリン
Check_DBXUpdate.bin.ps1
#841 ガーリン
現時点での私の考えでは、これはPowerShell関数内のバグ
想定される手順に従っていれば、BootMgr SVN番号は少なくとも2.0と7.0の2種類が存在
#843
MSがこの問題を認識したら、次のアップデートで簡単なバグ修正を行うことを期待しています
#850
1. お使いのPCには、失効したPCA 2011証明書はありません。DBXリストにも表示されません
2. 現在のブートマネージャ(Windows UEFI CA 2023)は、対応する証明書がDBリストに表示されるため、起動が許可されています
以下の条件が満たされている場合、どのブートファイルも許可されているとみなされます
セキュアブートが無効になっている場合、署名強制が行われないため、すべてのブートファイルが許可されます..
#848
DellがBIOSのアップデートを行わない古いDell製ノートパソコン(Latitude 3580など)に、Linuxをインストールしてセキュアブートを有効にし、ルートキットやブートキットから保護することは可能でしょうか ?
Linuxフォーラムで質問した方が良いでしょうか ?
#851 ガーリン
Linuxディストリビューションは通常、セキュア ブートを 2つの方法のいずれかで処理します
1. Linux ディストリビューション用に明示的に提供されている Microsoft UEFI CA 2011 または Microsoft UEFI CA 2023 証明書を利用します MSは、自社が所有する侵害された Windows ブート マネージャーの失効のみに関心があるため、これらの証明書はキャンセルされません
2. セキュア ブート モードを有効にするために、Linuxから作成した新しい自己署名証明書をインストールすることを推奨します この手順には、PKの置き換えと証明書チェーン全体の所有が含まれる場合があります。UEFIでは 1つの PK しか許可されませんが、複数の KEKと DBを並行して持つことができます。そのため、デュアル ブート設定では、UEFIは Windows用に MS 証明書を、ディストリビューション用に Linux 証明書を持つことができます
3. Windowsでは MS 証明書のみを使用できます。Linux ディストリビューションは、Microsoft (Windows ではない) UEFI証明書から shimブートするか、独自の証明書を使用できます
4. 古いサポート対象外のノートPCの場合は、セットアップモードを試して、証明書パッケージ全体をWindows OEMデバイスセットに置き換えてみてください。これは、そのまま置き換え可能です。理論上はこれでうまくいくはずですが、古いBIOSの中にはアップデートプロセスに問題がある場合があり、セットアップ設定を正しく行う必要があります
#853 #855
>CheckUEFI スクリプトを実行すると、次のエラーが発生
Dell Inspiron 5721 0xC0000100 変数は現在未定義です
スクリプトの新しいバージョン(テスト中 開発途中のバージョン #855にup)では、エラー処理を強化しました
最後の2つの条件は、PCA 2011証明書を失効させていないことを示しています
#856
Get-SecureBootUEFI
GIGABYTE証明書
KEK CN=Microsoft Corporation KEK 2K CA 2023
DB CN=Windows UEFI CA 2023
DBX CN=Microsoft Windows Production PCA 2011
#860 @Klaver7 PS
#861
@Klaver7 PS ?
PS C:\WINDOWS\system32> foreach ($var in @('PK','KEK','DB','DBX')) { "`n${var}:"; (Get-SecureBootUEFI -Name $var -Decoded).Subject }
KEK CN=Microsoft Corporation KEK 2K CA 2023
DB CN=Windows UEFI CA 2023 CN=Microsoft UEFI CA 2023
CN=Microsoft Option ROM UEFI CA 2023
CN=Microsoft Windows Production PCA 2011
DBX CN=Microsoft Windows Production PCA 2011
#864
#865
「すべてのキーをリセット」を探してください
#866
すべてのキーをリセット というオプションはなく、工場出荷時の設定に戻す オプションしかありません。同じことでしょうか ?
#869
FirmwareSVN を 7.0 にしました。説明させてください
#872
PS C:\Users\GARLIN\Downloads> .\SVN_Order.ps1
BootMgr SVN 2.0
CDMgr SVN 2.0
WDS SVN 2.0
BootMgr SVN 7.0
CDMgr SVN 3.0
WDS SVN 3.0
FirmwareSVN 2.0
#873
#875
本当に重要なのはブートマネージャの動作
#876
dbxキーのエントリを個別に削除するオプションは見つからず、キーをリセットするオプションしかありません
#881
一般的には、お使いのPCの機種とBIOSのバージョンによって異なります。一部のBIOSはCA 2023証明書をサポートしており、更新プロセスはスムーズに動作しますが、古いPCの場合は手動での対応が必要になる場合 あり
チェックスクリプトをダウンロードしてインストールし、その出力結果を共有してください
#888
PS 7に関するバグ 新たな情報が出てこない限り、この件は無視すべきだという意見に賛成
(PS 7.6 preview ? )
#889
すべての失効処理が適用されたマシンでブートマネージャSVN3を試したところ(つまり、ファームウェアSVN 7.0と表示されるはず)、ファームウェアSVN 2.0と表示され、セキュアブート違反が発生して起動しませんでした。これはPSのエラーであり、セキュアブートSVNは期待どおりに動作したことを示すもう一つの証拠
(PS 7.6 previw ? )
#894
PowerShell/ PowerShell
ttps://github.com/PowerShell/PowerShell/
Issues
ttps://github.com/PowerShell/PowerShell/issues/27058
2026.3.19
Get-SecureBootSVN can report the wrong FirmwareSVN value #27058
Expected behavior
BootMgr SVN 2.0
CDMgr SVN 2.0
WDS SVN 2.0
BootMgr SVN 7.0
CDMgr SVN 3.0
WDS SVN 3.0
FirmwareSVN 7.0
#896
スクリプト内で0xC0000100エラーを捕捉しない最後の箇所(SetupMode変数)をようやく突き止めました
このPCのDBリストには5つの証明書があり、これは正しい数です
#899
PCの最新のBIOSは2019年12月のもので、Secure Boot CA 2023をサポートするには古すぎます。また、DellはこのBIOS用のKEKアップデートに署名していません ..
2. BIOS をセットアップ モード (すべての証明書をクリア) にして、更新スクリプトが新しい一連の代替 MS 証明書をインストールできるようにする必要があります
How To Update Secure Boot Active Database from BIOS
ttps://www.dell.com/support/kbdoc/en-us/000368610/how-to-update-secure-boot-active-database-from-bios
Dell Technologies
BIOSからセキュア ブート アクティブ データベースをアップデートする方法
..
チェック スクリプトを実行します。これで KEK CA 2023 が表示されるはずです
#900
powershell -nop -ep bypass -f "C:\temp\SecureBoot-CA-2023-Updates\Check_UEFI-CA2023.ps1"
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
レジストリ WindowsUEFICA2023Capable 2
レジストリ UEFICA2023Status Updated
powershell -nop -ep bypass -f "C:\temp\SecureBoot-CA-2023-Updates\Check_DBXUpdate.bin.ps1"
成功 "dbxupdate.bin" から 431/431個の EFI署名に一致しました
#901
Dellはセキュアブートモードが無効になっていることやセットアップモードについては言及していません
#902
証明書を削除して上書きする際には、セキュアブートモードを無効にすることをお勧めします
なぜなら、何らかの問題が発生した場合でも、Windowsが常に起動するようにしたいからです
#905
Dell
BIOS には「すべてのキーを削除」というオプションもあります。私はそれを実行しませんでした。現時点ではそこまで勇気がありません
Dell Precision M4800 ラップトップが「セキュア データベース ('db') にオペレーティング システム ローダーの署名が見つかりません」というエラーで起動すると、BIOS に戻ってセキュア ブートを無効にしないと Windows に起動しなくなります ..
Windowsに入ったら Update_UEFI-CA2023.ps1 スクリプトを実行し、BIOS に再起動してセキュア ブートを有効にすると、ラップトップは再び Windows に起動しますが、
Check_UEFI-CA2023.ps1 では KEK CA2023が表示されず、[KEK 2K CA 2023] の手動インストールを指示され、その後「Microsoft Corporation KEK 2K CA 2023.crt または .der 証明書」の追加に失敗します ..
BIOSに入ってカスタムモードを有効にしてから、キーをリセットせずに無効にしても、同じパターンが繰り返されます もう手遅れなのでしょうか ?
#906
カスタムモードでは、セキュアブートキーを編集できます。それ以外の通常モードでは、改ざんを防ぐためにロックされます
問題は、特定のBIOSセットでは、セキュリティ制限のため、KEKを簡単に追加できないことです(CA 2023を追加するため)..
#907
Dell XPS 13 9360 2016、BIOS最終アップデート 2022年
セキュアブートでKek CA 2k 2023をインストールできずに何ヶ月も苦労した後、今日 Dell XPS 13 9360(2016年製、BIOSの最終アップデートは2022年)のBIOSに踏み込むことにしました
まず、セキュアブートを有効にしてカスタムモードで、すべての証明書を削除
それぞれのスクリプトを使用してカスタムモードになっていることを確認した後、アップデートスクリプトを実行したところ、チェックスクリプトに証明書がリストされ、すべて問題ないように見えました しかし、他のユーザーと同様に、セキュアブートを再び有効にすると、PCが起動しなくなりました
何度か試してみたところ、少し変わった方法で成功しました。
完了後にカスタムモードを有効にしたまま(標準モードに戻すのではなく)、セキュアブートが有効になった状態でPCが問題なく起動し、レジストリエディタには必要な証明書とともにアップデートが完了したと表示されることがわかりました(スクリーンショット参照)
カスタムモードを有効にしたままにしておくことに何か問題があるかどうかはわかりませんが、このままにしておこうかと思っています
#908 ガーリン
一部の古いPCでは、ベンダーから署名付きKEKが提供されないため、カスタムモードが必要になる場合があります。そのため、Microsoftからの代替証明書は工場出荷時の証明書とはみなされませんが、機能的には同じです
現在、CA 2023証明書はすべて揃っていますが、失効処理は開始されていません(現時点ではオプションです) Microsoftが今年後半にこの設定を切り替えても、Windowsに予期せぬ問題は発生しません
解決できてよかったですね
#909 ガーリン
README_UEFI.TXT に注記を追加し、セットアップ モード (すべてのキーをクリア) を使用した場合は、UEFI をカスタム モードのままにしておくことを推奨します
有益なご指摘ありがとうございました
#910
新しい証明書/キーをインストールするには、インストールプロセスを「カスタマイズ」する必要があったのかもしれません。場合によっては、正常に完了すると、BIOSのセキュアブートの状態が「カスタム」と表示されます
セキュアブートを「標準」モードに設定しようとしたことで、証明書/キーがリセットされ、ブートローダーの不一致が発生したのではないかと推測
#911 ガーリン
私の理解では「標準モード」では工場出荷時のPKを使用する必要があります そのため、OEMのPKで署名されたKEKのみを追加できます これは非常に安全ですが、残念ながら、署名付きKEKの提供はOEMに依存することになります
「カスタムモード」では、工場出荷時のPKをカスタムPKに置き換えることができます。この場合、「カスタムPK」はMSがOEMパートナーに提供するセキュアブートキーのリファレンスセットです。MSはPKだけでなく、同じPKで署名されたKEK CA 2023も提供しているため、この方法は有効です。したがって、セキュリティ上の問題はありません
「標準モード」では一致する署名付きKEKがないためにブロックされてしまいます
#913
Dell Precision M4800 ノートPC 私にも効果があった
BIOS に入り、セキュア ブートを有効にする Expert Key Managementで Enable Custom Modeのチェックボックスをオンに
すべてのキーを削除する (リセットしない)。保存して終了すると Windows ..起動するはずです
Check_UEFI-CA2023.ps1
必要な操作
オプション 1: [PCA 2011] 証明書を失効させずに [UEFI CA 2023] 証明書をインストールするには、次のコマンドを実行します
Update_UEFI-CA2023.ps1
オプション 2: [UEFI CA 2023] 証明書をインストールし、[PCA 2011] 証明書を失効させるには、次のコマンドを実行します
Update_UEFI-CA2023.ps1 -Revoke ..
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
Windows Boot Manager [Windows UEFI CA 2023] が許可されています
レジストリ WindowsUEFICA2023Capable 2
[PCA 2011] 証明書を失効させるには、次のコマンドを実行します
..
PS C:\Users\LeeElectrode\Desktop\SecureBoot-CA-2023-Updates>
Run Check_UEFI-CA2023.ps1 -verbose
Win11 25H2 26200.8037
Dell Inc. Precision M4800 A26 2019-06-12
Windows OEM デバイス PK
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Option ROM UEFI CA 2023
ft Windows Production PCA 2011
Windows BootMgr SVN 7.0
EFI_CERT_SHA256_GUID 署名: 437
成功: 更新は不要です
PS カスタム モードの有効化は引き続き有効です
#914 ガーリン
完了
恐ろしい0xC0000100エラー(「この値を読み取ることができません」)の処理を忘れていた箇所が1つありました
#916 ガーリン
すべてのBIOSにPKdefault、KEKdefault、DBdefault、またはDBXdefault変数があるわけではありません。アクティブなキーの読み取りだけが必要なので、これらのエラーは無視する必要があります
カスタムモードはそのままにしておいてください
#917
私の問題は、..それらのps1スクリプトを実行できないことです
バッチファイル(Check-UEFI.bat)は管理者として実行できます
#918 ガーリン
2 つのオプション
1. 実行ポリシーを変更して、すべてのスクリプト (信頼されていないスクリプトも含む) を許可する ..
2. 完全に保護するためには、PSコマンドラインを使用して、そのインスタンスのみ実行ポリシーを一時的にバイパスする方法
5ユーザー ..
PS7ユーザー ..
#919
古いDell E6430Sノートパソコンでも動作しますか ?
#920
古いX99ベースのASUS製マザーボードでも動作しますか ?
#922
古いDell E6430Sノートパソコン
BIOSは2019年1月版なので、サポート対象外です。BIOSメニューから「すべてのキーをリセット」した後、セットアップモードを使用すると解決する可能性があります
古いX99ベースのASUS製マザーボード
BIOSの最終更新日によります。正確なマザーボードの型番を教えてください
#924
デスクトップPC3台すべてに新しいキーが自動的にダウンロードされたようです
残っているのは Acer 2023ノートパソコン
9年ほど前の HP Elitebook 820 G4はHPがサポートしていない(という)コメントは驚きです
#925
移行の妨げとなるのは OEMが署名済みのKEK CA 2023証明書を提供しているかどうか 移行全体の基盤となります
新しいBIOSにはプリインストールされているか、最新のファームウェアアップデートでKEK CA 2023証明書を入手できます
それほど古くないAcer製PC ..KEKキー登録をサポートするUEFIセットアップメニューが搭載されている可能性あり スクリプトは KEK CA 2023をファイル形式でEFIにコピーし、そこからUEFIメニューを使用してインストールできます
HPの古いBIOS(例えば9年前のもの)..そのような対応はしません。そのため、セットアップモードで全てのキーを置き換えることが可能かどうかをテストする必要があります
#926
Asus X99 Deluxe BIOS ver 4101 おそらく古すぎるでしょう
#927
メーカーのサポート対象外となるほど古い機種ですが、セットアップモードでは動作する可能性 あり
#928
kekを選択した後、ファイルから証明書を BIOS にアップロードするだけでいいですか ?
#929
サポートされていないBIOSを使用している場合、アップデートスクリプトはKEK CA 2023証明書ファイルをEFIパーティションの「\EFI\Certs」フォルダにコピーします。セットアップメニューからシステムディスクを検索できます(予備のUSBドライブを使用する代わりに)
一部の古いDell製PCでは、ファイル形式が間違っている(.authファイルが必要である)というエラーが表示される場合があります その場合は、..
#931
\EFI\Certsフォルダ
Update_UEFI-CA2023.ps1を実行しましたか ? ..インストールが完了したら、ブート デバイスを選択して(わからない場合は試行錯誤してください)、「Certs」フォルダが表示されるまで操作してください
コピーした証明書は、そのフォルダ内にあります
#932
BIOSに入り、セキュアブートを有効にします
エキスパートキー管理で、カスタムモードを有効にするチェックボックスをオンにします ..
#933
まず、KEKの手動登録を試してみて、..
手動登録が拒否されたかどうかを確認するのにかかる時間はほんの数分です
#934
\EFI\Certsフォルダ @man00さんのDell BIOSのタイプは、私のものと全く同じ
確かに「\EFI\Certs」フォルダ内の証明書を見つけるのは少し難しかった
見つけたときに証明書が正しく署名されていないというエラーメッセージが表示されました(両方の形式)
BIOSに入り、 セキュアブートが有効になっているか確認します。Expert Key Management で、Enable Custom Mode のチェックボックスを オンにし、すべてのキーを削除します
セキュアブートを無効にします 。保存して終了すると、PCは Windowsに起動するはず
チェック スクリプトを実行して、BIOSがセットアップ モードになっていることを確認 セットアップ モードになっている場合は、アップデート スクリプトを実行
次に、チェック スクリプトを再度実行して KEK CA 2K が存在するかどうかを確認します。 存在する場合は、BIOS に再度入り、セキュア ブートを再度有効に カスタム モードを有効にしたまま、BIOS を終了します
#935
投稿されている方法をすべて試してみましたが、それでもPS1スクリプトを実行できません
#936
アップデート前はそうでした
garlinスクリプトを実行できる必要あり これを試してみましょう
1- PowerShell を右クリックし、「管理者として実行」を選択します。
2- コマンド Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass Enterキー
3- PowerShell は、スクリプトの実行を許可してもよろしいですかと尋ねます。Y Enterキー
4- PowerShell ウィンドウが開くまで待ちます
5- garlin Check_UEFI-CA2023.ps1 を右クリックし、「パスとしてコピー」を選択
6- メモ帳を開き、手順 5 でコピーしたものを貼り付け
7- 貼り付けると、パスの最初と最後に括弧が付いていることがわかります。これは削除する必要があります
8-パス コートを削除した後、結果をコピーして PowerShell に貼り付け
9-Enter キー
うまくいけば、garlinスクリプトを実行できます
#941
powershell -ep bypass -f \folder\name\Update_UEFI-CA2023.ps1
追加に失敗しました というエラーが表示された場合は、..
#942 #944
レジストリ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Servicing
ConfidenceLevel ConfidenceUpdateType
M83 デスクトップ(2014年)
ConfidenceLevel High confidence
ConfidenceUpdateType 0x00005944
Lenovo T490 ノートPC(2020年)
ConfidenceLevel Under Observation
ConfidenceUpdateType 0x00000000
#943
Confidenceキーや Bucketキーはすべて無視してください これは MSと共有されるテレメトリ データ まったく同じ PCモデル/ BIOS verを所有しているすべてのユーザーをデータ「バケット」にグループ化できる(もの)..
#944
T480についてT490よりもはるかに多く話題になっているのを見かけます。T480の方が人気があったのでしょう
#945
480と480sはどちらも非常に人気があり、現在でも中古市場でよく見かけます
490は優れたデバイスですが、RAMがはんだ付けされている490sはそれほどではありません
#947
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
[UEFI CA 2023] 証明書をインストールするには、次のコマンドを実行
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x4800 /f
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#948
MSIから確認したところ、MSが公式にサポートしていると表示されていたにもかかわらず、Intel第11世代までのすべてのシステムのサポートを終了したとのこと
第12世代以降(およびAMD相当)のみにアップデートを提供し、証明書の更新についてはMSのみに頼るべきだと主張 ..?
#950
>#947 オプションROMだけが不足しています。これは、署名付きファームウェアを持つ一部のグラフィックカードやストレージコントローラーで必要になる場合があります それ以外は完了です
オプションROM証明書をインストールしたい場合は 0x4800
#951
Intel 620グラフィックスしか搭載していない元ビジネス用マシンなので、おそらく大丈夫だと思います
#952
AvailableUpdatesの値を0x4800から0x800に変更してください。4000という余分な値がセキュアブートタスクを混乱させている可能性があります
(4800 - 4000 = 800 ? )
#955
>#953(レジストリ up)
これは通常のレジストリではありませんね。セキュアブートのスケジュールされたタスクが更新中にエラーを起こしたようです
#957
HP Elitebook 820 G4
#962
ASRockから嬉しいサプライズ
ASRockのウェブサイトにアクセスしたところ、セキュアブートBIOSアップデートがリリース
#966 ガーリン
私が懸念しているのは、スクリプトが "\Windows\System32\SecureBootUpdates\dbxupdate.bin" を開けないことです
スクリプトがそのファイルを読み取れないという奇妙な不具合を報告するユーザーは、管理者として実行していても、おそらくあなたで 3人目でしょう
#967
ファイルは確かに存在しますが、更新日時が2025年10月14日、サイズが24KB
別のデスクトップにあるファイルも同じサイズで、更新日時は2026年3月12日
#968
dbxupdate.binは昨年10月以降変更されていません ..
#971
2011年のキーの取り消し以外は完了しました
#972 HP Elitebook 820 G4
#974
これらのコマンドを実行するには、PowerShellで Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass を実行する必要がありますか ?
もう 1つのコマンドは、管理者として CMDから実行します
これらのコマンドを実行する前に、セキュアブートを無効にする必要がありますか ?
#975 ガーリン
私は常にスクリプトを実行しているので、実行ポリシーのセキュリティは低くなっています
変更したくない場合は、1つのコマンドのみポリシーを上書きする長いコマンドラインを使用します
結果は全く同じになります
セキュア ブートを無効にする必要はありません。サポートされているPCがなく、セットアップ モードですべての証明書を置き換える必要がある場合にのみ、セキュアブートを無効にすることをお勧めします。これは UEFIリセットが正しく機能しない場合に限ります
#976
.batファイルと .ps1ファイルの違いは何ですか ? 私のデスクトップでは .ps1ファイルはエラーになりますが、.batファイルは PowerShellを呼び出すのに正常に動作します
デスクトップは既にアップデート済みです
#977 ガーリン
(garlinスクリプトは無署名)
表示されているのは、実行ポリシーが有効になっている状態 信頼レベルは複数あり、現在のポリシーでは署名されていないスクリプトは許可されていません
バッチ(.batファイル)を実行すると、コマンドラインで「 powershell -ExecutionPolicy Bypass」または と同じ処理が行われます -ep bypass
if %errorlevel% equ 0 (
pwsh -nop -ep bypass -noexit -f "%~dp0\Check_UEFI-CA2023.ps1" %*
) else (
バッチファイルには、PowerShellスクリプトと同じ引数を渡すことができます(例 ?)
Check-UEFI.bat -Verbose -BootMedia
#978
ps1ファイルを左クリックして(Check_DBXUpdate.bin.ps1 Properties Security [ ] Unblock )
ブロック解除ボックスにチェックを入れ、「適用」をクリックし、ダイアログボックスを閉じると、PowerShellにファイル名を入力するだけで、そのスクリプトを永久に実行できます。
例 .\Check_UEFI-CA2023.ps1
PowerShell 7.6.0
PS C:\Users\nelson\Desktop> .\Check_UEFI-CA2023.ps1
この操作を元に戻す方法は分からないのですが、..
#982
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
Windows Boot Manager [Windows UEFI CA 2023
レジストリ WindowsUEFICA2023Capable 2
レジストリ UEFICA2023 ステータス 更新
済み 成功: 更新は不要です
#988 MSI Z87-G43マザーボード Win10
#989
前回のBIOSは2015年12月版なので、かなり古いバージョンです BIOSにカスタムモードがあり、現在の証明書をリセットまたはクリアできる場合、セットアップモード(証明書なし)でアップデートできる可能性 あり
#997
MSI Z87-G43マザーボードを搭載 Win10 PC
参考) セキュアブートモードにすると起動しなくなるため、非常に厄介でした。GPUの電源を切断してからオンボードビデオでBIOSに入る必要がありました ,,
#998
KEK CA 2023証明書はありますが、KEK CA 2011がありません。KEK CA 2011 がないと、データベースの CA 2011 証明書が無効になります。そのため、セキュア ブートが失敗します
通常の Windows更新プロセスでは、CA 2023 証明書のみを追加することを想定しているため、CA 2011 証明書は現在の変数の一部であるはずなので、再適用する方法はありません。次の手順を実行する必要があります
1. セキュア ブート モードを無効にします。このような予期しない事故が発生する可能性があるため、古い BIOS では常にこの手順を実行することをお勧めします
2. UEFI セットアップ メニューで、..
3. Windows を再起動します。Update_UEFI -CA2023.ps1スクリプト を実行
CA 2011 証明書と CA 2023 証明書の両方が一度に追加されます
4. チェックスクリプトを再度実行します。(2)個のKEK証明書と(5)個のDB証明書が
取得されているはずです
#1,000 ガーリン
保留中のスクリプト更新を早く実行しないと
#1,004
Check_UEFI-CA2023 を実行すると、エラーとともに以下の結果が表示され、Check_DBXUpdate を実行すると「失敗 "dbxupdate.bin" から 420/431個の EFI署名が見つかりません」というエラーが表示されます
#1,005
>#1,004
BIOSの最終更新は 2024年ですが、Dellのリリース ノートにはセキュアブート証明書に関する記述はありません
PK署名チェックは、Dellの PKを、MS用に KEK CA 2023 に署名したベンダー PKの MS GitHubリストに通すことで行われます。Dellが BIOSを 2024に更新したにもかかわらず、移行をサポートするはずの手順が明らかに失敗したのは奇妙です
自動更新はできません。必要なのは、Dell BIOSの UEFIメニューに手動キー登録があるかどうかを確認することです ..
#1,007 エド・ティテル
garlin さんのスクリプトがなければ、私の 12台の PCすべてで Secure Bootを動作させてアップデートすることは絶対にできなかったでしょう
#1,013
セキュリティでデバイス セキュリティにセキュア ブートの状態が表示されるようになり
私の問題は、2つの異なる「status=OK」メッセージ
(2つ目のメッセージ「SB がシステムを保護しています」
check_UEFI-CA-2023.\Check_UEFI-CA2023.ps1
Microsoft Corporation KEK CA 2011
Microsoft Corporation KEK 2K CA 2023
Windows UEFI CA 2023
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
[UEFI CA 2023] 証明書をインストールするには、次のコマンドを実行
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5800 /f
..
#1,014 ガーリン
Linux用のMicrosoft(Windowsではない)証明書と Option ROMが欠落
失効処理は行われていません。現時点では、これはオプションです。SecHealthUIは、今年後半までこのことを警告しないと予想されます
#1,017
Copilot(に)update_uefi-CA2023.ps1 -SkuSiPolicyを実行すれば不足している項目が解消されると教えてもらいました
#1,019 ガーリン
現在の展開では機能が簡略化されているため、..チェックスクリプトを完全に置き換えることもできません。このセキュリティセンターの機能が今後より詳細になることを期待しています
#1,020
Windows 11 will now tell you if your Secure Boot certificates need attention
Abhijith M B April 3, 2026 ttps://www.windowslatest.com/2026/04/03/windows-11-will-now-tell-you-if-your-secure-boot-certificates-need-attention/
Windows 11は今後、Secure Boot証明書の対応が必要かどうかを教えてくれます (Web訳)
Windows Security
Secure boot
(?)
#1,021 ガーリン
IT 管理者ガイド Windowsセキュリティ アプリのセキュア ブート証明書の更新状態
元の発行日: 2026年4月2日 KB ID: 5087135
https://support.microsoft.com/ja-jp/topic/it-%E7%A...
(日本語ページ)
#1,025
古い X99 マザーボードを 2023 セキュアブートにアップデートしたい
BIOSにはカスタム (標準ではなく) を使用するオプションがあります
カスタムを有効にするだけでいいのでしょうか ?
#1,026
PCA 2011の取り消し ..
#1,027
2011年の証明書を失効させた際に問題が発生した場合は、BIOSでセキュアブートを無効にすることで、問題を解決できます .. ?
#1,028 ガーリン
>#1,025
BIOSメニューに、キーを手動で登録するオプション(ディスクから証明書ファイルをインポートするオプション)があるかどうか確認してください ..
#1,029 ガーリン
>#1,027
CA 2023 証明書はすべて追加済みですが、PCA 2011 は失効していません ..
SkuSkiPolicyのプッシュによって問題が発生した場合、プッシュを取り消す方法があります
#1,030
Secure BootとVBSの両方が無効になっている
Linuxとのデュアルブート環境で、Secure Bootを有効にするといくつか問題が発生
#1,031 ガーリン
セキュア ブートが無効になっている場合、高度なカーネル保護は利用できません
Linuxとのデュアル ブート シナリオでは、2つのオプションのいずれかを実行する必要があります
1.レガシー CA 2011 証明書と新しい CA 2023 証明書の完全なセットをインストールします。ほとんどの主要なディストリビューションには、Microsoft UEFI CA 2023 キーで署名されたブート ローダー シムがあります。このキーは、シム チェーンが通常の Linuxブート ローダーに起動するため、主要なディストリビューションが Windows と共存できるようにするためにのみ存在します
2.独自のカスタム PKを作成し、MSが提供する証明書 (GitHub から) に自己署名できます ..
実際的な観点から言えば、セキュアブートなしで Windowsと Linuxを実行し続ける ..
#1,034 ガーリン
セキュリティ上の問題があるとされる「AMI Test PK」がインストールされています。これは、OEM向けにBIOSのサンプルとして提供されるデフォルトのPKですが、一部のOEMが意図せず実際のPCに展開してしまいました
OEMがこのBIOSを交換して問題を解決していない場合は、..
MS 「Windows OEM Devices PK」証明書の特別なセット
#1,040 ガーリン
KEK CA 2023が欠落しています
#1,043 ガーリン
バージョン2026.04.01への(かなり遅れていた)アップデートを投稿#1と GitHubで公開しました
(garlin-cant-code/ SecureBoot-CA-2023-Updates
ttps://github.com/garlin-cant-code/SecureBoot-CA-2023-Updates/ )
#1,046
Windows セキュリティ プラットフォームの更新プログラム(KB5007651)をインストール
Windows セキュリティ(アプリ)の デバイス セキュリティページに表示されるセキュア ブート証明書の更新ステータスの表示 ご報告
セキュアブートが有効になっており、必要な証明書の更新はすべて適用済みです。
これ以上の証明書の変更は不要です
#1,047
2026年5月16日には、改訂版セキュリティセンターのフェーズ2が開始され、コンプライアンスに準拠していない場合は、より頻繁に通知が表示されるようになります
#1,050
Manually download the update ?
64-Bit | ARM64
(日本語ページ)
アプリの更新Windows セキュリティ
ttps://support.microsoft.com/ja-jp/topic/%E3%82%A2%E3%83%97%E3%83%AA%E3%81%AE%E6%9B%B4%E6%96%B0windows-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-a6ac7d2e-b1bf-44c0-a028-41720a242da3?preview=true
KB5007651
(?)
#1,058
(不足? Microsoft Corporation UEFI CA 2023)
#1,060
あなたのスクリプト(garlin-cant-code/ SecureBoot-CA-2023-Updates ver 2026.04.01)
Malwarebytesをマルウェアとして検出
#1,061
これはセキュリティ研究者の Matt Graeber 氏が作成したオープンソース関数が組み込まれていることが原因で発生した誤検知だと考えています ..
以前のバージョン (v2024.01.18) を使用することもできます
#1,076
今のところ、情報源が不十分なAI(またはヒューリスティックエンジン)は人間がまだ突破できます 私が疑っていた通り、..特定のキーワードを見つけると警告を発するように仕向けています
#1,084 ガーリン
セキュアブート担当者から、Get-SecureBootSVNのバグ修正担当者の連絡がありました 5月か6月の月次アップデートで修正されることを期待しましょう
#1,089 ガーリン
Windows Hello のステータスは、(あなた、あなたがた が)キーを削除しようとしている場合にのみ重要になるため、非表示にするかもしれません 証明書を追加しても、TPM からエラー応答は発生しません。最終的な目標は、必要に応じて PIN を無効にするようユーザーに促すことです
#1,098 Windows Hello
#1,099
Microsoft Corporation UEFI CA 2011 がない
おそらく、工場出荷時のイメージに含まれていなかったのでしょう
#1,100
数週間前にデュアルブートしていたLinux Mint/Fedoraをアンインストールし、SSDからすべてのデータを削除したので、それが原因かもしれません
#1,101 ガーリン
プラットフォームキーがインストールされている場合、セキュリティ対策として、OSは既存のDBまたはDBX証明書を削除できません。OSは(適切に署名された)新しい証明書を追加することしかできません
削除した覚えがない場合は、おそらくPCが出荷時にその状態でインストールされていた..
#1,103
Helloは使用していません。そのため、得られた結果は(0)で、これは正しいです
#1,104
確か数か月前にすべてのキーを更新して2023年の証明書に移行した際、セットアップ時にPINが削除されたはずです。しかし、パスワードを使ってログインし、PINを再度設定しました
#1,106 ガーリン
KEK CA 2023証明書がありません。Windowsをシャットダウンし、BIOSでセキュアブートモードを一時的に無効にしてください
(再度起動できるようになります) BIOSの最終バージョンは2022年10月で、古すぎます BIOSに入ったら、手動キー登録のUEFIメニュー画面があるかどうか確認してください ..
旧#1,107 ガーリン
>#1,105 Acer Nitro 5 AN517-52
KEK CA 2023証明書がありません。Windowsをシャットダウンし、BIOSでセキュアブートモードを一時的に無効にしてください
(再度起動できるようになります) BIOSの最終バージョンは2022年10月で、古すぎます BIOSに入ったら、手動キー登録のUEFIメニュー画面があるかどうか確認してください ..
(旧#1,107削除 に伴い 以下4〜5? レス レスNo,繰り上げ 注意!)
#1,108
私のBIOSメニューです。キー登録に関する項目が見つかりません
BIOSはドイツ語なので、..
#1,110 ガーリン
セキュアブート設定をすべて消去 を選択してください。これにより、セキュアブートモードが「標準」から「カスタム」に変更されます ..
#1,113 ガーリン
(ガーリンの ?)チェックスクリプトを実行すると、以下の証明書が取得できるはずです
KEK証明書 2枚
DB証明書 5枚
DBX証明書 0枚(まだ失効していないもの)
#1,115
UEFIで SVNの解析がうまくいかない理由はわかりません。しかし、CA 2023 証明書はすべて追加済みですので、PCA 2011 証明書を今すぐ失効させるか、今夏後半にリリースされる Windowsを待つことができます ..
#1,123
Acer セキュアブート証明書のページが更新、私の機種だけでなく、今後数か月以内にBIOSアップデートが予定されているAcerノートPC リストアップ
#1,124 ガーリン
一部のOEMメーカーは、依然としてギリギリのタイミングでBIOSアップデートを提供
MSのGitHubリポジトリ
残念ながら、DellとHPは旧型PC向けのアップデート提供を終了したと発表
多くのベンダーにとって、テスト作業が大きな負担となっているようです
#1,125
あなたのスクリプトを使って証明書をインストールできた
#1,127
HP
(日本語ページ)
HP製コンピューター - 新しいWindowsセキュアブート証明書のための準備
ttps://support.hp.com/jp-ja/document/ish_13070367-13192105-16
プラットフォームのリリース年によって必要な BIOS アップデート より
2018年から2021年の間に発売されたHP製PCは、2025年12月31日頃にBIOSアップデートを受けました
2017年以前に発売されたプラットフォームでは、これらのプラットフォームに対するHPのサポートが終了しているため、この変更に関連するBIOSアップデートは提供されません ..
影響を受けるプラットフォームと最小BIOSバージョンの一覧 ..
#1,128
Lenovoからの最後の連絡は11ヶ月前でしたが、彼らは所有する様々なPK(製品コード)について大量のKEK(Knowledge Exchange Check:登録完了証明書)を提出しました。おそらく彼らはこれで完了と考えているでしょう..
#1,129
HP Pavilion Laptop 15-eg0xxx
X Microsoft Corporation KEK 2K CA 2023
√ HP UEFI Secure Boot KEK 2017 (取り消し: False) ..
#1,130
T530 ラップトップ EOL 2022 他
証明書アップデートのリリースを Lenovoが諦めました
すべてのシステムを Mosbyで書き換えました..
#1,133
Dellが「古い」と考える基準をご存知ですか?私のメインのノートパソコンは2021年製です
#1,134
(日本語ページ)
セキュア ブート移行に関するよくあるご質問(FAQ)
https://www.dell.com/support/kbdoc/ja-jp/000390990...
Dellコンピューターおよびアップデート
https://www.dell.com/support/kbdoc/ja-jp/000390990...
Dellがアップデートを提供する対象
Dellがアップデートを提供しない対象
#1,139 ガーリン
VBSが有効になっている場合、MSはセキュリティ強化のため、SkuSiPolicy.p7bポリシーファイルをEFIにコピーすることを推奨しています
しかし、私の更新スクリプトでは、一部のユーザーが InsiderビルドやUSB回復ドライブ(異なるブートファイルを含む)で起動の問題に遭遇する可能性があるため、このファイルを自動的にコピーしません..
ロックアウトされた場合は、一時的にセキュアブートモードを無効にし、Windowsを起動して、ポリシーファイルを手動で削除する必要があります
#1,140
今朝 (KB5007651 ?! ) セキュアブート 緑
#1,142 ガーリン
SkuSiPolicy は独立したセキュリティ ポリシーであり、特定のブート ファイル (どの Secure Boot 証明書で署名されているかに関わらず) をブロックできます..
..ポリシーに違反すると、Windowsの起動が停止し、デジタル署名の失敗 (許可されていない) を示す winload.efiエラーが表示されます
#1,144
Thinkpad T490は ..Thinkpad T580 (2018) (Win11対象デバイス) より少し新しい..
Lenovo ThinkCentre M83 は,, ほぼ間違いなく古すぎます
#1,146 ガーリン
(セキュアブート 緑) セキュアブートが有効になっている場合、誰でも緑を取得できます
これ以上の証明書の変更は必要ありません(CA 2023 が有効)
セキュア ブートは有効ですが、デバイスは更新する必要のある古いブート トラスト構成を使用しています(CA 2011 が有効) この劣る設定を黄色のチェックマークとして報告しないことを懸念しています
ユーザーは、まだ作業が残っているにもかかわらず、完了したと早合点してしまう可能性
#1,148 ガーリン
UEFIロック
セキュア ブートを無効にして再起動し、次の再起動時に Windows がロックを解除できるようにする必要があります
セキュア ブートを無効にするには PCの前にいる必要があるため、攻撃者が Windowsからこの手順を実行することはできません
#1,149
Lenovo ThinkCentre M83
M83にMosbyを使って証明書をインストールしました
あとは、..2011年の証明書を失効させるだけです garlinさんのスクリプトを使うか、今夏後半にMSが対応してくれるのを待つか迷っています
#1,151
SkuSiPolicyのインストールで発生した問題
インストールまたは有効化後、起動ドライブにWindowsがインストールされている限り、Macrium(またはその他の起動可能なUSB)は正常に動作しました
しかし、ドライブをセキュア消去すると、..
SkuSiPolicyと格闘するよりも、再び無効化することにしました
#1,152 ガーリン
PS の実行ポリシーでまだ問題が発生しているようです
付属のバッチファイルを使用してください。バッチファイルはスクリプトを「ラップ」するだけで、既存のセキュリティポリシーを変更することなく実行エラーが発生しないようにします
Check_UEFI -CA2023.ps1 の代わりに Check-UEFI.batを、
Check_DBXUpdate.bin.ps1 の代わりに Check-DBX.batを、
Update_UEFI-CA2023.ps1 の代わりに Update-UEFI.batを使用してください
#1,153
>#1,151
あなたの場合、SkuSiPolicy は「UEFI ロック」されていました..
#1,155 ガーリン
バッチファイルは、PowerShellスクリプト ..代替手段として使用できます
Check-UEFI.bat = .\Check_UEFI-CA2023.ps1
Update-UEFI.bat = .\Update_UEFI-CA2023.ps1
..
#1,158
Update-UEFI.batファイルをダブルクリックするだけで、Update_UEFI-CA2023.ps1が実行されます
#1,165
今では、デバイスのセキュリティ設定を確認するだけで、セキュアブートが自分のニーズに合ったレベルに達しているかどうかを確認できる段階に来ています
#1,166 #1,167 ガーリン
なぜファイル名を変更したのでしょうか ?
「Update_UEFI-CA2023.ps1 -Revoke -SkuSiPolicy」を実行すれば、SVN 8とより新しいSkuSiPolicyが強制的に適用されるはずです
Windowsのバグ修正がリリースされるまでは、Get-SecureBootSVN = 2.0と表示され続けます。月次アップデートは定刻通りに配信されるため、コード変更が間に合わない場合は、次のアップデートを待つ必要があります
#1,171
うまくいきました、ありがとうございます
#1,172 ガーリン
すべて順調です。DBXのアップデートチェックについては、調査する必要があります。MSがファイル名を変更した理由は全く分かりません。「Legacy」を分離する必要がある何らかの理由がない限り、既存のファイルの新しいバージョンをそのままプッシュするだけだと思っていたのですが
#1,177 ガーリン
KEK CA 2023をインストールして CA 2011以降の環境に移行した後、時間の経過とともに変更されるのはブートマネージャ、SVN、およびSkuSiPolicyファイルだけです。セキュリティ上の理由から、これら3つのファイルは同期してロックされます
#1,182
SVNのアップデートが唐突に行われたみたい
ともあれ、私の住んでいる地域ではもう何もかも元通りだ
#1,183 ガーリン
#1,185 ガーリン
#1,190 ガーリン
#1,193 ガーリン
#1,195 ガーリン
#1,197 ガーリン
#1,200
この古い2015年製のマザーボードは特殊で、電源プラグを抜いて電源を切った後、再び電源を入れると画面が真っ暗になります。Windowsを起動するには、セキュアブートをクリアしてセットアップモードに入り、プロセスをやり直す必要があります..
#1,203 ガーリン--
#1,204 Samsung Galaxy Book 2 ノートPC
#1,205 ガーリン
KEK管理画面が表示されている場合は、手動でキー登録を試すことができます
1. MSのGitHubから KEK CA 2023証明書ファイルをダウンロード ..?
#1,207 ガーリン
#1,210
Dell Latitude E7440 BIOS管理が、..KEK CA 2023証明書を受け入れなかった
#1,211
Acer Nitro 5 AN515-55 ノートPC キー登録をサポートしていません
#1,212 ガーリン
#1,213 ガーリン
#1,214
カスタムモードのオプションがなく、「すべてのキーを削除」を含む他の手順も既に何度も実行しましたが、効果はありません
#1,215 ガーリン
#1,217 ガーリン
r/AcerOfficial・13日前
https://www.reddit.com/r/AcerOfficial/comments/1sb...
セキュアブートモード
#1,220
スクリプトが既にdbxファイルにPCA2011証明書を登録しているにもかかわらず、PCA2011証明書の失効を提案しているのはなぜでしょうか ?
#1,221 ガーリン
#1,222 ガーリン
>#1,220
AvailableUpdatesが0x200か、SVNが欠落しています
スクリプトでより明確な区別をするべきです 0x200 チェックを追加して、SVNのみのメッセージを表示するようにします
ありがとうございます
#1,225
Win10 ESUにも、新しいセキュアブートメッセージが表示されるようになりました
(セキュアブート有効機種の場合 ? )
#1,226 ガーリン
サポート状況に関わらず、Win10 22H2使用すべてのユーザーは、新しいセキュリティ センター アプリ (KB5007651) を入手できます。ただし、段階的に展開 (?)
#1,228 ガーリン--
#1,231 ガーリン
1. セキュアブート証明書は、UEFIの NVRAMメモリにインストールされます ..
#1,233
..リンクから Make2023BootableMedia.ps1 を使って ISOファイルを作成することに成功 これからWindowsのクリーンインストールを行い、結果を確認します
#1,234 ガーリン
#1,235 ガーリン
#1,237
もう諦めます。有効期限が来たら、セキュアブートを無効にします
#1,238--
garlin Windows 11 Forum
ttps://www.elevenforum.com/members/garlin.5387/
ttps://www.elevenforum.com/members/garlin.5387/#:~:text=garlin%20replied%20to%20the%20thread%20garlin's%20PowerShell%20scripts%20for%20updating,updating%20Secure%20Boot%20CA%202023.
..
Secure Boot certificates targetting data
Improvements [Secure Boot]
a subset of high confidence device targeting data
Mosby
Microsoft Windows Production PCA 2011 2026年10月
不足 ? Microsoft Corporation UEFI CA 2023
本ページおよび本Wikiの内容は無保証です。
garlin's PowerShell scripts for updating Secure Boot CA 2023
Dec 31, 2025〜 2026.1.15〜 ttps://www.elevenforum.com/t/garlins-powershell-scripts-for-updating-secure-boot-ca-2023.43423/page-55
garlin-cant-code/ SecureBoot-CA-2023-Updates
ttps://github.com/garlin-cant-code/SecureBoot-CA-2023-Updates/
< > Code Download ZIP
.BATラッパースクリプトのセットを用意しました。これにより、実行ポリシーを変更せずにスクリプトを実行できます(セキュリティ上の懸念があるため)
Check-UEFI.bat
Check-UEFI.bat -audit
Check-DBX.bat
Upgrade-UEFI.bat
Upgrade-UEFI.bat -revoke
#7 Mosby
#170
.BATラッパースクリプトのセットを用意しました。これにより、実行ポリシーを変更せずにスクリプトを実行できます(セキュリティ上の懸念があるため)
Check-UEFI.bat
Check-UEFI.bat -audit
Check-DBX.bat
Upgrade-UEFI.bat
Upgrade-UEFI.bat -revoke
#263 Windows\System32\SecureBootUpdates
#276 (Web訳.. )
UEFIのデフォルトは、BIOS ファームウェアにハードコードされた工場出荷時のデフォルトを表します
#290
PCベンダーのプラットフォームキーは、Microsoft KEKの有効性を検証します。Microsoft KEKは他の証明書の有効性を検証します。
#プラットフォームキー PK
#322
UEFI KEK 証明書
Microsoft Corporation KEK CA 2011
Microsoft Corporation KEK 2K CA 2023
UEFI DB 証明書
Microsoft Corporation UEFI CA 2011
Microsoft Windows Production PCA 2011
Microsoft Option ROM UEFI CA 2023
Microsoft UEFI CA 2023
Windows UEFI CA 2023
UEFI DBX 証明書
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
EFI ファイル
ディスク 0: Windows ブート マネージャー [Windows UEFI CA 2023] は許可されています。
レジストリ:
UEFI DB 内の WindowsUEFICA2023Capable = 2 [Windows UEFI CA 2023]、および CA 2023 ブート マネージャーから起動する Windows。..
#324
PowerShellでスクリプトが有効になっているか確認しましたか?
Windows 11でPowerShellスクリプトを有効にする ..
#334
.. WindowsがISOファイルをCA 2023から起動するように更新すると、KEK CA 2011がなくても問題なくなります。また、UEFIの設定を無視して、インストール時にセキュアブートを一時的に無効にすることもできます。
#335
更新スクリプトは使用せず、UEFI BIOSに直接証明書を書き込みました
#339
PK MS GitHubの KEK JSONファイル ..
#350
UEFI CA 2023 証明書を使用して Windows インストール メディアを更新するためのグラフィカル インターフェイスを備えた PowerShell スクリプト ..
#352 ガーリン
GUIツールは、MSが提供する Make2023BootableMedia.ps1スクリプト よりも優れていると思います ..
このスクリプトは、混乱を招くようなオプションの配列をサポートしています
#355
CA 2023 証明書は完全にインストールされています。しかし、CA 2011 証明書は失効されていません(これは現時点では任意ですが、今年後半には Windows によって強制される予定です)。
#356
CA 2013の証明書で大丈夫そうですね。2011の証明書を失効させる必要はありません。Microsoftが失効させるか、6月まで待つつもりです
#360
@garlin 迅速なご返信ありがとうございます!
「powershell -ep bypass -f .\Update_UEFI-CA2023.ps1 -revoke」を実行するとすべて実行され、問題が解決すると読みました
#362
勇気を出して取り消しを実行しました
まだ何も問題はありません
..
レジストリ: WindowsUEFICA2023Capable = 2
[Windows UEFI CA 2023] がUEFI DBに存在し、WindowsはCA 2023ブートマネージャーから起動しています ..
#389
Check_EFIBootFile.ps1実行ではC:\Check_EFIBootFile.ps1 > F:\Desktop\output.txt 次の出力が得られます
#392
UEFIをセットアップモードにする ..
#396
HP Web サイトを確認すると、USB ドライブの使用を含む BIOS 更新プロセスに関する包括的な手順が載っています
#398
Rufus ..
#400
Rufus の設定を使用して、Windows CA 2023 を有効にするかどうかを指定
#407
BIOSをリセットする3つの方法 - wikiHow
HP Sure Start 搭載 PC の BIOS リカバリ オプション
#409
HP Sure Startをお使いの場合、..
#422 ガーリン
MS GitHub から .. ダウンロード
次のコマンドを実行
#423
サポートされていないデバイスでKEK証明書を更新する方法でしょうか?
#424
Mosbyは、セットアップモードを使用してUEFI証明書をクリア済みであると想定しています
#426
GitHubでASUSがPK署名付きKEKアップデートをリリースしたのを見ました
#429
microsoft corporation kek 2k ca 2023.der
(Microsoft Corporation KEK 2K CA 2023 )
#430
Mosby 証明書を信頼しない、または使用しない正当な理由はありますか ?
#431
ダウンロードした ...derファイルをインストールしようとすると、次のエラーが発生
ファイル名を.derではなく.crtに変更してみてください。 一部の BIOS はファイル名の拡張子に関して非常に厳しい
#432 ガーリン
Mosbyは、KEK CA 2023証明書に署名するために、専用のプライベートPKを作成することを目的としています
ベンダーの工場出荷時のPKまたは汎用Windows OEM PKを使用すれば、(私以外の)誰かがサポートしてくれる可能性が高くなります
アップデートの選択肢がA) MSに従うかB) Mosbyに従うかのどちらかしかない状況にはしたくありませんでした。そこで、MSの手法に従いながらも、より明確な可視性を備えた第三の選択肢C)を提案
#434
Dell BIOS どうやら「署名済み署名リスト」(別名「.auth」)形式が必要なようです
#436 ガーリン
セキュアブートプロセスにおける「難関」は、KEK CA 2023のインストールです。インストール後は、Windowsまたは更新スクリプトが残りの作業を完了
UEFIセキュリティモデルは次のように機能します
ベンダー PKが KEK CA 2023に署名 -> CA 2023 証明書を検証 -> Windowsが更新プログラムをプッシュできる
または
UEFI メニューのユーザーが KEK CA 2023 証明書ファイルを手動でロード -> オンボード PK を使用して KEK CA 2023が検証 -> CA 2023 証明書を検証
私の更新スクリプトは、サポートされているPKがない場合を認識し(MS GitHubにサムプリントがないため)、KEK証明書ファイルをEFIパーティションにコピーします。この方法なら、FAT32ファイルシステムを作成するために予備のUSBドライブを探す必要はありません。KEK CA 2023を手動でロードしたら、アップグレードスクリプトを実行するだけで、何をすべきかがわかります
#437
チュートリアルの中盤あたりで「署名済み署名リスト」(.auth)ファイルの作成方法が説明されていたので、それを利用できればと思っていました。Dell BIOSで必要なフォーマットだと説明されていました。しかし、チュートリアルの例ではキーと証明書の両方が必要なのに、私の場合は証明書しか持っていないので、この方法は使えません
#439
Google AI によると、Dell は DER 証明書を.cerとして受け入れており、 .der や .crt という名前は受け入れていないようです
#441
問題は、工場出荷時のPKが定義されている限り、ランダムな証明書を入力できないことだと思います。間違っているかもしれません
念のため、このPSスクリプトを実行してください。このPKがDellによって実際にサポートされているのか、それとも廃止されているのかを確認したいのです
#444
バッチでは 2011 を取り消さなくても証明書を追加できると表示されていますが、HP では取り消すように指示されています
自己署名とかそういう理由で、Mosbyを使うよりもMacrium Free 8の方が良いという意見もありますが
#445
[PCA 2011] 証明書を取り消さずに [UEFI CA 2023] 証明書をインストールするには
AvailableUpdates 0x5944
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
[UEFI CA 2023] 証明書をインストールし、[PCA 2011] 証明書を取り消すには
(To install [UEFI CA 2023] certs and REVOKE the [PCA 2011] cert)
AvailableUpdates 0x5bc4
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
残念ながら、OEMが BIOSに発行されたプラットフォーム キーを使用して KEK CA 2023 証明書に署名していないため、すべての PC モデルがセキュア ブートの移行を完全にサポートしているわけではありません
2台目の PCには、サポートされている PKがありません
その場合は、UEFI にカスタム キー登録を許可するメニューがあるかどうかを確認する必要があります ..
#449
SkuSiPolicy は、仮想化ベースのセキュリティを保護するためにインストールできるポリシー ファイルの1つ
#453
HPのBIOSアップデートをインストール
デスクトップと同じ結果
#455
Update_UEFI-CA2023.ps1
#456
やっぱり手動でコマンド実行しないといけないんですか?それとも2011年の証明書を取り消すときに更新されるんですか?
#457
分かりませんが、DBXファイルは作成されます
#458
証明書の取り消しはまだ検討していません。6月が近づいたら検討するかもしれません
#459
私の経験から言うと、あとは上記のように実行しc:\Update_UEFI-CA2023.ps1 -SkuSiPolicy、必要であれば2011を無効化するだけです。あるいは、Microsoftが無効化するまで待つこともできます。2011をc:\Update_UEFI-CA2023.ps1 -SkuSiPolicy無効化すれば.p7b DBXの問題は修正されるはず
#462
通常、通常のBIOS設定をリセットしても証明書は消去されません。消去された場合は、工場出荷時の証明書が取得されます
そのため、最新のBIOSファームウェアを使用することが重要です。最新の証明書は工場出荷時のリストに含まれている可能性が高いためです
証明書を消去する唯一の方法は、セットアップモードを実行することです
#464
Windows Update チェックの要件は、MS がセキュアブートファイルを随時更新することです
#465
CA 2023の導入は(現時点では)まだオプションであるため、証明書のフルセットを取得するには、以下の方法しかありません
1. 前回のBIOSアップデートで、証明書が工場出荷時のデフォルト設定に含まれています。これは、OEMメーカーからMicrosoftが推奨する方法です
2. 何らかのアップデートスクリプトを実行するか、Windows Updateプロセスを実行しました
3. Mosbyを実行しました。SkuSiPolicyファイルはEFIパーティションにコピーされるため、UEFIの外部にあります。技術的には手動でコピーすることも可能ですが、アップデートスクリプトにはコピーを実行するための-SkuSiPolicyオプションがあります。これは、セキュリティ強化のためにVBSが有効になっている場合にのみ必要です
#467
MSはGitHubでOEM提供のKEKファイルのリストを管理
#471
工場出荷時にCA 2023証明書が組み込まれていない場合は、..
#474
GitHub の KEKリストによると、これはサポートされている PKです
#479
MSI は BIOS を更新していますが、いつものように、Sinkclose の脆弱性を修正したり、TPM の問題を修正したりするのでない限り、更新内容を正確に述べることは ..
#480
デスクトップ マシンには MSI B450M Bazooka マザーボードが搭載されており、最新の BIOS アップデート (日付 2025-09-23) には 2023 証明書が付属していました
(何年ぶりかで ASUS TUF B450M-PLUS GAMING のファームウェア (beta版) が更新されてる ? )
(ASUS B450M-PLUS GAMING BIOS ?
4622 10.86 MB 2024/11/14
4645 ベータバージョン 10.88 MB 2026/02/02 ? )
#481
ASUS ROG Maximus VI Formulaでは問題なく動作 最後のBIOSアップデートは2016年
#484 > #480
あなたと同じ日付のものがありますが、ベータ版と表示
#485 ガーリン
AvailableUpdates = 0x80 は、保留中のアクションが CA 2011 を今すぐ (または今年後半に) 失効させる
(= 0x0080 Apply the Windows Production PCA 2011 to the DBX ? )
#491 ガーリン
MSはサポートされていないデバイス(セットアップモードから)を処理するために、「Windows OEM Devices PK」というデフォルトの.binファイルセットを作成
#493
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023 Microsoft Corporation KEK 2K CA 2023
#497
Rufus 4.12を使って最新の25H2 ISOイメージでUSBブートスティックを新しく作成しました。そこから起動しようとすると、「USBスティックに問題がある」というメッセージ
#498
2023年の証明書がインストールされていて、2011年のPCA証明書を失効させていない場合は、Rufusで2023のオプションを選択しても選択しなくても動作するはず
#511
cjee21 / Check-UEFISecureBootVariables
Apply 2023 KEK, DB and bootmgfw update.cmd
Windows state.cmd の出力
UEFICA2023Status: InProgress
Windows UEFI CA 2023 証明書が DB 内にあります
Check UEFI PK、KEK、DB、および DBX.cmd からの出力
X Microsoft Corporation KEK 2K CA 2023
X Microsoft UEFI CA 2023
√ Microsoft Option ROM UEFI CA 2023 (失効: False)
..
Show UEFI PK、KEK、DB、および DBX.cmdからの出力
Check_UEFI-CA2023 -audit からの出力
..
#543
追加チェックが行われ、両方ともtrue です
PS C:\Users\asimo> [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
True
PS C:\Users\asimo> Confirm-SecureBootUEFI
True
#561
winload.efi 2 回の起動の間に何らかのポリシーまたは構成設定 (BCD?) が変更されたことを示しています
#562
最後のWindowsビルドで何かが破損したのだと思います。セキュアブートとは関係ないように思えます
#564
GitHub から「KEKUpdate_ASUS_PK6.bin」をダウンロードしています
一部のBIOSではKEKの追加が失敗する可能性があると報告されています。そのため、以下の手順をお試しください
1. ..
#565
2017年製 ASUS GL502VSというノートPC
#566
CA 2011(想定通り)のKEKエントリが既に存在するのですが、新しいCA 2023エントリをエラーなく追加できない
これを行う方法と、その手順がBIOSによって異なる
#567
ノートパソコンが壊れてしまったようです
PK証明書をインストールした後、KEK証明書が見つかりませんでした
#568
BIOSのリフラッシュ手順(ASUS)はご覧になりましたか
BIOSをリフラッシュすることで、BIOSがスタックしているUEFI状態がクリアされる可能性
#569
古いPCでこれらのスクリプトを実行する際はご注意ください。2014年製Dellノートパソコンのセキュアブートアップデートに関する問題
Secure Boot Update Issue for 2014 Dell Laptop
2026.2.14〜 ttps://www.elevenforum.com/t/secure-boot-update-issue-for-2014-dell-laptop.44563/
#570
投稿いただいたリンクを使用してBIOSの書き換えを試みたところ、書き換えプロセスは正常に動作しました。しかし ..通常の起動では黒い画面のまま
#572
BIOSをリフラッシュしたら、正常に画面が映りました
#573
Medion PCをアップデートしようとしたのですが、古いDellと同じようにアップデートスクリプトがKEKのインストールに失敗しました。今回はエラーが少し異なります
#574
その PK ファイルをカスタム モードで BIOS に手動でインポートし (その後、スクリプトで指示されたように KEK もインポートしました)、..
MEDION Certificate
Microsoft Corporation KEK 2K CA 2023(GitHubからMedionファイルをインポート)
Microsoft Option ROM UEFI CA 2023
bootmgfw.efi File version: 26100.30227
#575
何らかの理由でブートファイルを修復する必要があるかもしれません
#576
KEK CA 2023をPKにインポートした UEFIは時々ちょっと間抜けなんだ
UEFIが気にするのは、有効な X509証明書 を送信したかどうかだけ
元のMEDION PKを復元するには、工場出荷時の状態にリセットする必要
気づかずに、間違った証明書を間違った変数に追加しちゃったんだ
元のMEDION PKを復元するには、工場出荷時の状態にリセットする必要が
#578
3. Medion KEK をKEK (PKではありません) に手動でインポート
#580
署名済みのKEKをMicrosoftフォルダからインポートし、署名済みのMEDIONフォルダからインポートしない理由を説明していただけますか?
#581
スクリプトは署名済みのKEK .binファイルを追加しようとしましたが失敗しました。そのため、.derファイルは同等のオプションであり、常に機能するはずです。「そうであるべき」です
#582
ASUS MSがお使いのマシンの証明書を更新し、古い証明書だけを含む新しいBIOSがフラッシュされた場合はどうなりますか ?
#583
3.MEDION署名KEKを追加します(署名後、MEDIONフォルダー、ファイルKEKUpdate_PK2.bin、Microsoft Corporation KEK 2K CA 2023)
MEDION Certificate
Microsoft Corporation KEK 2K CA 2023
Microsoft Corporation UEFI CA 2011
Windows UEFI CA 2023
Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
bootmgfw.efi File version: 26100.30227
SUCCESS: NO UPDATES ARE REQUIRED.
新たな愚かなミスを犯してしまったのでしょうか?
#584
ASUS BIOSアップデートでは現在の証明書は上書きされず、「BIOS」のデフォルト証明書のみが上書きされます。複数のマシンでBIOSをアップデートしましたが、アクティブなキーは変更も消去もされませんでした
#585
ASUS MSはこのシナリオに対する「回復」方法を用意しているようですが、かなり不十分ですsecurebootrecovery.efiをコピーし、bootfwmgr.efi に名前を変更することで、一時的に起動できるようになります
確かに面倒ですが 現在の証明書がすべて失われるような壊滅的な事態はおそらく稀でしょう
#587
ASUS 一部のBIOSアップデートで奇妙な現象が発生し、NVRAMがリセットされてしまう(すべての設定が失われる)という報告がユーザーから寄せられている UEFIの現在の証明書も失われる可能性
MSもこの問題を認識しており、セキュアブートのドキュメントにも注意書きを記載
#590
メディア作成ツールを使用して、新しいイメージからシステムを再インストール SSDのセキュリティ消去を実行
Windowsフラッシュドライブが起動せず、BIOS画面に戻ってしまいます。以前の26200.7623のバックアップは持っていますが、復元後もシステムが起動しません
Win10のバックアップを復元 セキュリティブートを無効にしたところ、Win10が起動
#593
..セキュアブートを有効にした状態で起動でき、26200.7840インストールイメージでも起動できるようになりました
#595
Windowsや古いイメージの再インストールで問題が発生している方へ…ブートファイルは新しい証明書で署名されているため、古いバックアップから復元しようとすると問題が発生
OSを問題なく再インストールするには、ブート可能なメディアを更新してWindowsを再インストール
新しい証明書で新しいバックアップを作成することをお勧め
#596
バックアップを復元する前に、いつでもセキュア ブートを無効にすることができます。
セキュア ブートがないと、UEFI は証明書チェックを実施しません。
1. ..
#601
この部分は難しいです。OEMがBIOSサプライヤーから入手したBIOSに依存するからです。正直なところ、私の経験はDellとLenovoのPCだけなので、よく分かりません
信頼度バケットは、マザーボード(モデル)とBIOSバージョンごとにグループ化されています。ファームウェアのアップデートが遅れているユーザーがいるというのはご指摘の通りです
MSはBIOSの責任を負っていません。「OEMを犠牲にするような」ことは避けなければなりません。BIOSの中には、アップデートで成功しているものもあれば、PCを壊してしまうものもあります。古いモデルの場合、マザーボードの工場出荷時の交換は利用できません
#603
Dell KEK証明書を使用できなかったため、代わりにWindows OEMファイルを使用する必要
MicrosoftのGitHubリポジトリにあるDell KEKが、Dell Latitude 3380のPKによって署名されているかを手動で確認できるか知りたい
4つのKEKファイル、どう確認すればよいでしょうか?
#604
1. OEMのPKは、汎用の事前署名済みKEKに相互署名するために使用されます。このKEKは、MS GitHubに保存される事後署名済みKEKの1つになります。一意のPKごとに一致するKEKは1つだけです。
2. OEMは、一意のPKを複数のPCモデルで使用する場合があります
3. OEMは複数のPKを持つ場合があります
重要なのは、すべての一意のPKに固有の証明書の拇印があることです。他のKEKファイルは、PCのPKと一致しません。このスクリプトは、GitHubに一致するKEKファイルの名前を返します(存在する場合)
#606
私の場合は次のエラーで失敗
Get-UEFIVariable : The term 'Get-UEFIVariable' is not recognized as the name of a cmdlet, function, script file, oroperable program. ..
スクリプトを修正して .. Dell/KEKUpdate_Dell_PK4.bin
スクリプトを修正してJSONファイル全体を最後に出力するようにしたところ、PKサムプリント(以前あなたのスクリプトの1つで取得しました)をこの辞書のキーとして使用すると、確かに「Dell/KEKUpdate_Dell_PK4.bin」という値が生成されました
なぜこのKEKの使用を試みたのか(あなたのスクリプトの使用、Ubuntuのファームウェア更新ツールの使用、BIOSのカスタムセキュアブートモードでの手動インポートなど)、なぜ全て失敗したのか疑問に思います。DELLのBIOS/ファームウェアにバグがあるのでしょうか?
(Microsoft OEM証明書を使用してセキュアブートは動作していますが、..)
#608
そのスクリプトは私にとっても同じようには機能しませんでした
#607
B850MのBIOSには新しい証明書が搭載されているのに対し、私のB550iには搭載されていないのではないかと考えています
#610
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
false
#611
2025年6月は、MicrosoftがOEM各社にCA 2023をファームウェアに組み込むよう最終プッシュしていた時期だったはず ..
"Update is available from Gigabyte or Microsoft." ..
#614
CA 2023 証明書の適用は完了しましたが、PCA 2011 証明書の失効がまだ完了していません。
MSによると、現在の展開スケジュールでは「この段階」まで進んでいるはずです
失効が完了すると、CA 2011 が DBX のリストに表示されます
#617
ACER BIOSの手動アップデートが必要 BIOSを確認したところ、私のPCは個々のキーの手動管理をサポートしていないようです
「すべてのセキュアブート設定を消去」を選択し、Enterキーを押してからF10キー
Windowsを起動し、Update_UEFI-CA2023.ps1スクリプトを実行?
#618 ガーリン
2番目のオプション「実行用に信頼できるUEFIファイルを選択する
KEK CA 2023証明書ファイルをEFIパーティションの「\EFI\Certs」フォルダに
Windowsを再起動 更新スクリプトを再実行
#619
BIOS設定を永久に変更するのは少し不安
#620
BIOSがサポートしている場合は、より小規模なアプローチ(単一のキー登録)を採用する方が常に効果的
#622
Windows UEFI CA 2023
Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
レジストリ WindowsUEFICA2023Capable = 2
成功: 更新は不要です
#625
良さそうですが、BIOSに奇妙なバグ(おそらく非常に古いため)があり、工場出荷時のDBXを読み取れません
#627
T460を持っていて、Mosbyを徹底的に検証しました。最新バージョンを使えば問題なく動作するはずです
#630
T460 BIOS v1.45
pbatard/ Mosby issues
PK installation fails with Security Violation on Lenovo ThinkPad T460 #19
ttps://github.com/pbatard/Mosby/issues/19
ハードウェアにアクセスしないと解決が難しそうな2つの問題のうちの1つだったので、..そのハードウェアを手に入れました
#632
こちらも1.45 しかし、今回もまた失敗 「セキュリティ違反」が表示
「セットアップ モード」ではなく「キーをクリア」することを推奨していることに気付きました
もう一度試してすべてのキーをクリアしましたが、残念ながらまたしても「セキュリティ違反」が発生 最新の Mosby バージョン 3.0 をダウンロード
#633
GitHubから「WindowsOEMDevicesPK.der」をダウンロード
BIOSからPK証明書をインストールするには、README_UEFI.TXTの手順に従ってください。UEFIの更新を有効にするには、Windowsを再起動
Gigabyte 22H2 ビルド 19045.6937 (Win10)
√ Microsoft Corporation KEK CA 2011 (失効: False)
√ Microsoft Corporation KEK 2K CA 2023 (失効: False)
bootmgfw バージョン: 10.0.26100.1004 (WinBuild.160101.0800)
bootmgfw 署名 CA: Windows UEFI CA 2023
bootmgfw SVN: 7.0
#635
- Revoke フラグを付けて実行すると、bootmgr と memtest が Windows UEFI CA 2023 ではなく Microsoft Windows Production PCA 2011 を使用して署名
Update_UEFI-CA2023 -Revoke を実行したら成功
Gigabyte A1 2017-03-29
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Corporation UEFI CA 2011
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
bootmgfw.efi 26100.1004
成功: 更新は必要ありません
#639 なぜ Microsoft Corporation UEFI CA 2011 証明書は取り消されないのでしょうか?
#638 Mosby.log
#639
なぜ Microsoft Corporation UEFI CA 2011 証明書は取り消されないのでしょうか?
#641
Microsoft UEFI CA 2011は Linux の起動用に予約されているため、 失効させません
Microsoft が Linux ディストリビューションに代わって提供
UEFI セキュリティチェックを通過するために、Microsoft と Linux は汎用証明書を共有
#645 Mosby v3.0 x64
Win11 26H1 28000.1641
LENOVO 20FN002JUS
バージョン: R06ET71W (1.45 ) 2022-02-20
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
bootmgfw.efi バージョン 27954.300
レジストリ WindowsUEFICA2023Capable = 1
#648
ノートPC 1台は比較的新しいもので、BIOSに2023ファイルを含む
2台目はずっと古く、おそらく新しいBIOSも入手できないでしょう ガーリンのスクリプトで2023ファイルを使用し、2011ファイルを無効にすることができました。KEKエラーが発生しなかったのは今回が初めてで、BIOSを一切変更する必要がありませんでした
#650
「セキュアブートKEKアップデート」とは、OEMがWindows Update経由でMicrosoftに署名済みのKEKを提供し、展開できるようにすることを意味します。つまり、Microsoftが適切なタイミングでアップデートプロセスを完了すれば、残りのアップデートプロセスはすべてWindowsが処理します
#651
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
レジストリ WindowsUEFICA2023Capable = 2
SkuSiPolicy.p7b(VBS用)が存在しません
SkuSiPolicy.p7b(VBS用)が存在しない点を除けば、私の環境では問題ないようです
#654
サポートされていないBIOSを搭載したPC 「信頼できるUEFIファイルを選択して実行」を試しました
Ms Corp KEK 2K CA 2023.der がEFIにコピーされ
dbupdate2024.bin、DBUpdate3P2023.bin、DBUpdateOROM2023.bin がUEFI DBに正常に追加されました。EFIブートファイルをコピーしています ブートファイルが正常に作成されました
BIOSで「信頼できるUEFIファイルを選択して実行」を選択しましたが、EFI\Certsフォルダには選択できるファイルがありません ..
#656
2023 KEK のみを追加しようとしている場合は、「実行用に信頼できる UEFI ファイルを選択する」必要があります。「セキュア ブートを工場出荷時の設定に復元する」..
デバイスがサポートされていないため、証明書/キーを手動で完全に更新できない場合は、Mosby オプション
#657
手動登録で「.efi」ファイルが必要な場合は、..
#659
Macrium USB が接続されたときに ..
#661
古いBIOSでこの問題を報告されたのは、あなたが2人目です
#662
UEFIセキュアブート設定の読み取りに失敗しました
#664
新機能や改善点を利用するには、最新の PowerShell をインストールしてください
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
Microsoft Windows Production PCA 2011
無効な Microsoft.SecureBoot.Commands.UEFIEnvironmentVariable X509 証明書をスキップします。
Windows BootMgr SVN 7.0
レジストリ UEFICA2023Status = 更新
成功: 更新は不要
#665
ファームウェアの1つが古すぎて、PowerShellスクリプトで処理できないのではないかと思います。証明書を工場出荷時のデフォルトに戻してください。このPCは非常に古いので、セキュアブートを無効にしてそのままにしておくことをお勧めします。PCが起動しなくなるリスクを冒したくありません
Windowsはいずれ証明書が更新されていないというエラーメッセージを表示しますが ..
#666
無効なMicrosoft.SecureBoot.Commands.UEFIEnvironmentVariable X509証明書をスキップします。Windows
BootMgr SVN 7.0
よくありません。UEFI変数のどこかに、不正な形式の証明書または署名ハッシュが挿入されているようです
比較のためにcjee21スクリプトを実行していただけますか?Macriumドライブを起動できない場合は、スクリプトエラーではなく、何らかのUEFIの破損が考えられます。この状態から抜け出すには、工場出荷時設定にリセットして、アップデートプロセスを繰り返す必要があるかもしれません
#667
スクリプトに書いてある通り、問題ないようです。このまま使い続けようと思います。Macrium Reflectを実行する必要がある時はSBをオフにできるので、..
#672
最近のWin11 ISO から SkuSiPolicy
162107 Dec 3 2023 23H2/SKUSiPolicy.P7b
55616 Sep 5 2024 24H2/SKUSiPolicy.P7b
6544 Sep 15 12:40 25h2/SKUSiPolicy.P7b (ファイルサイズ)
#673
以前のMacrium Rescueメディアが、REまたはPEのどちらかのセキュアブート(SB)を有効にした状態で起動できなかったのは、SkuSiPolicyのせいでした
#674
本日、提供されたスクリプトを使ってWin10 Dell Latitude 5580ノートパソコンをアップデートしようとしましたが、うまくいきませんでした
#677 サスペンド
#678 SkuSiPolicy
#682 UEFIロック
#683
garlin's scripts サポートされているBIOS搭載 AsusネットブックPCで動作
Mosby Acer Aspire PC 動作 セキュアブートは有効、セキュアブートモード カスタム
685
すべてのキーをリセットしましたが、EFI\certsからPKとPK証明書を手動でインポートできません
Dellファームウェアから「キーのインポートエラー:キーが正しく署名され、フォーマットされていることを確認してください」というメッセージが表示されました。DER、CER、CRTの拡張機能で試してみましたが、結果は同じでした
Mosbyも試してみました
UEFI はセットアップ モード(証明書なし)
Windows BootMgr SVN 7.0
ブート マネージャー [Windows UEFI CA 2023] は許可されています
レジストリ WindowsUEFICA2023Capable = 2
CA 2023 ブート マネージャーから Windows起動
686
これは、PowerShell から正しい結果を返さない問題のあるBIOS の1つに似ています
#687
これらのノートパソコンは2017年製、ハードウェアは非常に安定しています。50台所有
Intune管理
#688
25H2 26200.7922
工場出荷時の UEFI PK 証明書 信頼しないでください - AMI テスト PK
Microsoft Corporation KEK 2K CA 2023
工場出荷時の UEFI DB 証明書
Microsoft Windows Production PCA 2011
UEFI DB 証明書
Microsoft Option ROM UEFI CA 2023
Windows UEFI CA 2023 Microsoft UEFI CA 2023
bootmgfw.efi ファイルバージョン 26100.30227
レジストリ WindowsUEFICA2023Capable 2
AMI テスト PK DO NOT TRUST - AMI Test PK
これはCMOS内のファームウェアに組み込まれているのでしょうか?
そうであれば、メーカーがアップデートツール付きのBIOSをリリースしない限り、常に存在することになるのでしょうか?
#690
PCメーカーが AMI テスト PKを使用しているという報告が確認されると、AMIはそれらの OEMに、直ちに使用をやめ、適切に署名された OEM PKで BIOSを再リリースするように指示しました。指示に従ったメーカーもあれば、..
Windows OEM Devices PKは、孤立した BIOS の回避策として MSによって設計されたため、侵害されたテスト PK はありませんでした
#691
reg addは PS内から実行できます。これは外部コマンドとして扱われます
#689
最初のコマンドは Powershellから実行されますか、それとも CMDから実行されますか?
#693
2011年の証明書は今のところそのままにして、5月中に「必要な操作」に記載されている方法で失効させる予定です .. (?)
\Microsoft\Windows\PI\Secure-Boot-Update はWindowsエクスプローラーに表示されるものを指しているのでしょうか ? C:\ドライブのルートにMicrosoft\Windowsフォルダがありません
#694
\Microsoft\Windows\PI\Secure-Boot-Update
それはWindowsのスケジュールタスクです。スケジュールタスクは別々の内部フォルダに整理されています(中身を見る必要はありません)
特定のタスクを参照する場合、フルパス名 \Microsoft\Windows\PI\Secure-Boot-Updateを使用する必要があり .. 面倒ですね…
#698 ガーリン
私の更新スクリプトを実行していただけますか ?
Update-UEFI.bat
完了したら、Check-UEFI.bat を再度実行してください
(garlin-cant-code/ SecureBoot-CA-2023-Updates
ttps://github.com/garlin-cant-code/SecureBoot-CA-2023-Updates/
Update-UEFI.bat Check-UEFI.bat )
#703
これは、Windowsに正しい結果を返さない「問題のある」BIOSの1つではないかと考えています
#704
HP zbook g11 ..
#705
これらの HP マシンはかなり新しい .. すでに更新されたデフォルトの証明書が含まれているため、証明書の面からはすべて問題ないはず
Microsoftおよび Garlinsスクリプトには、時々間違っている可能性がある 1つの推定あり
Microsoft Corporation UEFI CA 2011 証明書がある場合、Microsoft UEFI CA 2023証明書と
Microsoft Option ROM UEFI CA 2023証明書の両方を追加する必要あり
MSは、Microsoft Corporation UEFI CA 2011 の機能 (サード パーティのファームウェアおよび非MS ブートローダによるセキュア ブートの有効化) を..
(Zbook G11 にはディスクリート NVidiaグラフィックスがあるようですが、..
#706
色々な資料を読んで同じ結論に至りました。特にHPのメモが参考になりました
#711
MSは2026年後半に強制失効を開始 ..すべてのPCで完了するまで続くでしょう(?)
#715
Haswell MSIボード (第4世代 )
#716
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Required Action
manually add the KEK 2K CA 2023 cert
#717
KEK CA 2023が無いと思われます
お使いのBIOSは自動更新に対応していません
\EFI\Certsフォルダを探してください。そのフォルダからKEK CA 2023ファイルを読み込みます
手動KEKオプションらしきものが見つからない場合は、セットアップモードオプションを探してください
(Mosby ? )
719
上記のレポート出力はどのようにして取得しましたか?代わりにバッチファイルを実行しましたか?
Check-UEFI.bat -Verbose
#727 (yes? )
#720
ほとんどのバッチファイルはブロック解除(右クリック)する必要があります
一部のシステムではPS1スクリプトが許可されていません。PS1を実行する前に、PowerShellで以下のコマンドを試してください。
ターミナルで管理者として実行: これらのスクリプトを実行するには、この操作が必要でした。
Set-ExecutionPolicy Unrestricted
#721
Garlin Jan 15> .\Check_UEFI-CA2023
UEFI KEK 証明書
Microsoft Corporation KEK 2K CA 2023
UEFI DB 証明書
Microsoft Windows Production PCA 2011
Microsoft UEFI CA 2023
Windows UEFI CA 2023
ディスク 0: Windows ブート マネージャー [Windows UEFI CA 2023] は許可されています
レジストリ WindowsUEFICA2023Capable = 2 [Windows UEFI CA 2023]
ディスク 0: SkuSiPolicy.p7b (VBS 用) は存在しません
オプション 2: [PCA 2011] 証明書を取り消さずに [UEFI CA 2023] 証明書をインストールするには、次のコマンドを実行します:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x4800 /f
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
SkuSiPolicy.p7b をインストールするには、次のコマンドを実行します:
Update_UEFI-CA2023.ps1 -SkuSiPolicy
PS C:\Users\Beverley\Documents\Secure Boot UEFI\New Garlin Scripts\New Garlin Jan 15>
722 ガーリン
オプション1のコマンドを実行するか、Windowsに任せることができます。オプション1を実行するメリットの1つは、最初のフェーズの作業がすべて完了しているため、セキュアブートに関する混乱を招く通知が表示されないことにあります
724
PowerShell
新機能と改善点については、最新の PowerShell をインストールしてください。Windows PowerShell 更新メッセージに関する FAQ - PowerShell
Microsoft UEFI CA 2023 Windows UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
ディスク 0: SkuSiPolicy.p7b (VBS 用) は存在しません
#725
ここからはWUにお任せ ..
#726
Check_UEFI-CA2023.ps1 -Verboseを使用すると、同じ詳細が、より理解しやすい異なるレイアウトで報告されます
#729
Dell Inc. Dell 16 DC16250 日付: 2026-01-04
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Windows BootMgr SVN がありません
bootmgfw.efi ファイル バージョン: 26100.30227
ディスク0: SkuSiPolicy.p7b (VBS用)は存在しません
730
2024年以降に出荷された主要PCには、工場出荷時のデフォルト設定にKEK CA 2023証明書が追加されます。KEK CA 2023は、他のすべてのCA 2023証明書の検証に必要です。Dellは、企業顧客向けにリモート管理ツールを提供しているため、独自の秘密KEK鍵を導入しています
一般家庭のユーザーは「Dell Inc.」のKEK鍵を必要としませんが、..
他の Dell 固有のキーも同様
以前の Linux ディストリビューションの中には、PCA 2010 で動作していたものもありましたが、そのほとんどは新しい MS UEFI 証明書に移行しています
#731 SkuSiPolicy
#732
ノートパソコン 起動せず、バックアップを試み、セキュアブートを無効にしてみましたが、キーを更新しようとしたときに何かが壊れてしまったに違いありません
#733
1. セキュア ブートを無効にします
2. UEFI 証明書を工場出荷時のデフォルトにリセットします
3. Windows ISO から起動し、その更新オプションを使用した場合は SkuSiPolicy.p7bファイルを削除します ..
#735
画面右上の最初の単語を右クリックし、そのままクリックしたまま最後の単語までドラッグし、右クリックを放しました。これで選択範囲が白くなり、同時にクリップボードにコピーされます .. 貼り付け
追記:すみません、左クリック…
#738
BIOSは最新です。2024年以降のほぼすべてのBIOSリリースには、CA 2023証明書が追加されます
#740
ASUSTeK マザーボード PK 証明書
#742
Secure Boot .. PK enrolled System in User mode
..required plarform reset
#746
今のところアップデートは控えさせてください。PK変数のデータバイトを抽出するテストスクリプトを見つけて、スクリプトの証明書解読解析機能に問題があるかどうかを確認する必要があります。1時間ほどお時間をください(または古いスクリプトを見つけてください)
#743
最初の部分(CA 2023 証明書とブートマネージャーの追加)は問題ありません。失効は、MS が今年後半に義務化するまで延期できます
#745
通常、最新のBIOSが2024〜2025年にリリースされた場合、CA 2023認証が工場出荷時のデフォルト設定に追加されています。問題は古いPCの方が多く発生します
#749
以前のスクリプトを見つけました。これは役に立ちますか?
#757
PS D:\Temp> powershell -nop -ep bypass -f Check_UEFI-CA2023.ps1 -verbose
26200.7840
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
レジストリ WindowsUEFICA2023Capable = 2
bootmgfw.efi ファイルバージョン 26100.30227
#760
CN = 正規名 O = 組織(会社)
L = 場所 ST = 州 C = 国
#762
ASUS は状況を把握しており、自社発行の証明書に適切なラベルを使用
#763
失効手続き 出力結果から判断すると、エントリを手動で削除する必要があるのでしょうか、それともMSが対応してくれるのでしょうか ?
#764
MSは強制失効プロセスをいつ開始するかを発表していません(おそらく6月以降に開始されるでしょう)
失効後の大きな変更点は、Windowsインストールまたはリカバリソフトウェア用のUSBブートメディアを既にお持ちの場合、ブートファイルをCA 2023バージョンに置き換える必要があること
UEFIモデルでは、禁止された証明書を削除するのではなく、新しいエントリを追加することで変更を行います。失効したPCA 2011はDB変数に引き続き存在しますが、DBXに同時に存在するためキャンセルされます。UEFIの許可リストは、DBリストからDBXエントリを削除することで作成されます
#766
チェックスクリプトは、一連の個別チェックを順に実行し、「成功: 更新は不要です」というメッセージを表示
このメッセージが表示されたら、失効前に必要なすべてのチェックが完了しています
Windowsのインストール、またはMacriumスタイルの回復ツールの実行に使用する起動可能なUSBドライブのブートファイルを更新
#769
DBXリストにDB証明書があるようです
UEFI DB証明書
Microsoft Corporation UEFI CA 2011
UEFI DBX証明書
Microsoft Corporation UEFI CA 2011 Microsoft Windows Production PCA 2011
これは、Linuxで使用されているMicrosoft UEFI CA 2011を、あなた(またはベンダーなど)が禁止することを決定したことを意味します .. 最近のLinuxディストリビューションはDBXの代わりにSBATファイルメカニズムを使用しており、ほとんどのディストリビューションはいずれにせよ Microsoft UEFI CA 2023 に移行しているからです
#772
.\Check_UEFI-CA2023.ps1 -Audit -Log
Microsoft UEFI CA 2023 Windows UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
UEFI DBX Certs
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
ログ ファイルは C:\_To Do\_Secure Boot\SecureBoot-CA-2023-Updates\2026-03-10 B660M-HDV Check-UEFI.log として保存されました
#774
powershell -nop -ep bypass -f C:\Users\dark\Downloads\SecureBoot-CA-2023-Updates\Update_UEFI-CA2023.ps1 -Revoke -Latest
「dbxupdate.bin」は新しいバージョンのファイルではありません。
「DBXUpdate2024.bin」をUEFI DBXに正常に追加しました
DBXUpdate.binの日付は2025年10月24日
#775
DBXUpdate.bin 固有の署名ハッシュを追加して特定の EFI ブート ファイルを禁止
DBXUpdate2024.bin PCA 2011 を DBX (失効) に追加し、SVN を初期 2.0 に設定
DBXUpdateSVN.bin SVN を 7.0に上げます
#776
更新スクリプトに別のエラーがある可能性あり
というか、もう2023 bootmgrを実行している
#777 ガーリン
申し訳ありませんが、664行目にタイプミス
#778 DBX証明書
#779
かつては、ベンダーは新しいDBX EFI署名の追加から始めていましたが、現在ではその役割はMSのみが担っています
#787 .\(またはフルパス)
#790 DBXエントリの最小予想数は(本日時点で)437
#791 Surface Pro 4 などの古いデバイス
#792 おそらくそうではないでしょう。スクリプトにエラー処理をいくつか追加します
#794
Resolve-Path: パス 'C:\WINDOWS\System32\SecureBootUpdates' は存在しないため見つかりません
スクリプトがSecureBootUpdatesフォルダへのパスを解決できないとのことです。何が問題なのかは分かりませんでしたが、そのWindowsに特有の問題で、(あなたまで)誰も報告していませんでした
このバージョンのスクリプトを試していただけますか?引数なしでスクリプトを呼び出す場合は、Resolve-Pathロジックをバイパスするようにしました
#795
投稿されたスクリプトを実行しました:
powershell -ExecutionPolicy Bypass -File "C:\Buzz\SecureBoot\SecureBoot-CA-2023-Updates\01-Check_DBXUpdate.bin.ps1"
結果 .. 依然としてパスエラーがスローされます
#797 イベントビューアー TPO-WMI
#798
イベント1046は情報アラートに使用されるため、エラーとはみなされません
正直なところ、これらのメッセージを消す方法がわかりません
#800 NotePad++で .jsonファイルを開くと、..
#801
一番上にある TPM-WMI 1808 ..これは、CA 2023 キーとブートマネージャーのインストールに成功したことを示すメッセージです
#804
ASUSTeK マザーボード PK 証明書
ASUSTeK マザーボード KEK 証明書
Microsoft Corporation KEK 2K CA 2023
Microsoft Option ROM UEFI CA 2023
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
#805
Gigabyte の PK 証明書にラベルがありません
#807 Gigabyte の最新BIOSアップデート
#808
お使いのPCが過去2〜3年間BIOSアップデートを受けている場合、セキュアブート証明書は以前のリリースで追加されているはずです
MSはすべてのOEMに対し、昨年中にリリースするよう期限を設定していました
#809
>Powershell バージョン: 5.1.26100.7920
PS7で実行してみて、違いがあるかどうか確認していただけますか
実際には「他の理由でPSがフォルダを開けない」という意味の場合もあります
#810
C:\ .. \SecureBoot\SecureBoot-CA-2023-Updates\Check_DBXUpdate.bin.ps1" -verbose
PowerShell 7.5.4 ..
仮想化に関係があるのでしょうか?
#811
SVNが欠落しているのは、PCA 2011証明書を失効させていないためです。証明書が失効すると、SVNはまず2.0になります。その後、SVNアップデートが適用され、7.0に上がります
#814
Gigabyte ガーリンが数時間かけて一緒にトラブルシューティングしてくれました。出力結果が一致
これはGigabyteのマザーボードすべてに当てはまる ?
#815
コマンドに新しい PowerShell機能が追加され、証明書を人間が読める形式に変換できるようになりました
> foreach ($var in @('PK','KEK','DB','DBX')) { "`n${var}:"; (Get-SecureBootUEFI -Name $var -Decoded).Subject }
GIGABYTEは件名に「CN=GIGABYTE」以外何も表示していないのではないかと思います
#816
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023' が False
これは BIOSが準拠していないためであり、停電や CMOS バッテリーの故障が発生した場合、BIOSをデフォルトから再ロードするには Update 2023 スクリプトを再度実行する必要があるということでしょうか ?
その場合、セキュア ブートを一時的に無効にする必要があるということでしょうか ?
#818 ガーリン それは単に、Windows UEFI CA 2023 が DB に追加されていないことを意味 ..
#817
Windows Updateにより、システムが再起動を繰り返すようになり クリーンインストール
最初にセキュア ブートを無効にした後、この作業を完了することができました。システムが 26200.8037に完全にアップデートされた後、セキュア ブートを再度有効に
マザーボード 最新の非ベータ版 BIOS (1.I0、日付 03/11/2025) MSI MS-7D78
check-uefi -verbose
PowerShell 7.5.5 BitLocker on (C:) OFF
MSI SHIP PK
Microsoft Corporation KEK 2K CA 2023 MSI SHIP KEK
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Windows Production PCA 2011
MSI SHIP DB
レジストリ 信頼度レベル 監視中、UEFICA2023Status 未開始、WindowsUEFI2023Capable 2
8037で導入された2つの新しいPSコマンドを実行
foreach ($var in @('PK','KEK','DB','DBX')) { $var; (Get-SecureBootUEFI -Name $var -Decoded).Subject }
Get-SecureBootSVN
それ以来、最近システムにも問題が発生しているため、どう対処すればよいのか分かりません
#819 ガーリン
オプションROMが不足しているだけです(古いグラフィックカードによっては必要になる場合があります)。しかし、正常に起動できたので、後から追加できます
..PCの場合、マイクロソフトがアップデートを強制しても安全かどうかを判断するのに時間がかかります。「監視中」とは、判断するのに十分な事例がないことを意味します。アップデートが機能しないという意味ではなく、自動プッシュが ..ミスを犯したくないということです(BIOSに致命的な欠陥があり、PCが起動不能になる可能性もあります)
ASUSや一部のHPモデルと比べると、MSIのファームウェアはかなり良い出来 私のスクリプトが「何もしない」と示唆したのは、MS KEKデータベースと、サポート対象リストにあるMSIのPKを確認したから
MSは、OEMにBIOSへの変更を追加する期限を昨年までとしていました
#823
(#815 コードの行頭 > はコマンドプロンプト)?
foreach ($var in @('PK','KEK','DB','DBX')) { "`n${var}:"; (Get-SecureBootUEFI -Name $var -Decoded).Subject }
#824
はい、ノートパソコンで実行して解決できました
Gigabyte製のPCで実行できるのはあと2週間後になります
#826
Get-SecureBootUEFIコマンド
foreach ($var in @('PK','KEK','DB','DBX')) { "`n${var}:"; (Get-SecureBootUEFI -Name $var -Decoded).Subject }
#828
FirmwareSVN DBX バージョン (最後の再起動から読み取られたもので、保留中の変更を反映していない可能性があります)
BootManagerSVN EFI ブート マネージャーのファイル SVN
StagedSVN SecureBootUpdates フォルダーの DBXupdateSVN.bin
FirmwareSVN が DBX の内容と一致しないのはなぜですか? 正式に有効にするには再起動が必要かもしれません ..
#829
コマンドをPowerShellで管理者として実行し(てしまい ?)ましたか ?
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#832
get-securebootsvn コマンドを実行したところ、SVN ファームウェア 7.0という結果が表示 私の入力ミスでした
#837 ガーリン
SVN番号は「偽の」EFI_CERT_SHA256_GUID証明書に格納されており、証明書のSignatureDataは特殊なエンコード値を返します
Get-SecureBootSVN は、GUIDごとに最も高い SVNを返すというルールに従っていないため、動作がおかしい ようです
私のスクリプトのコード DBX エントリの適用には常に上記の順序に従います
#839 ガーリン
Check_DBXUpdate.bin.ps1
#841 ガーリン
現時点での私の考えでは、これはPowerShell関数内のバグ
想定される手順に従っていれば、BootMgr SVN番号は少なくとも2.0と7.0の2種類が存在
#843
MSがこの問題を認識したら、次のアップデートで簡単なバグ修正を行うことを期待しています
#850
1. お使いのPCには、失効したPCA 2011証明書はありません。DBXリストにも表示されません
2. 現在のブートマネージャ(Windows UEFI CA 2023)は、対応する証明書がDBリストに表示されるため、起動が許可されています
以下の条件が満たされている場合、どのブートファイルも許可されているとみなされます
セキュアブートが無効になっている場合、署名強制が行われないため、すべてのブートファイルが許可されます..
#848
DellがBIOSのアップデートを行わない古いDell製ノートパソコン(Latitude 3580など)に、Linuxをインストールしてセキュアブートを有効にし、ルートキットやブートキットから保護することは可能でしょうか ?
Linuxフォーラムで質問した方が良いでしょうか ?
#851 ガーリン
Linuxディストリビューションは通常、セキュア ブートを 2つの方法のいずれかで処理します
1. Linux ディストリビューション用に明示的に提供されている Microsoft UEFI CA 2011 または Microsoft UEFI CA 2023 証明書を利用します MSは、自社が所有する侵害された Windows ブート マネージャーの失効のみに関心があるため、これらの証明書はキャンセルされません
2. セキュア ブート モードを有効にするために、Linuxから作成した新しい自己署名証明書をインストールすることを推奨します この手順には、PKの置き換えと証明書チェーン全体の所有が含まれる場合があります。UEFIでは 1つの PK しか許可されませんが、複数の KEKと DBを並行して持つことができます。そのため、デュアル ブート設定では、UEFIは Windows用に MS 証明書を、ディストリビューション用に Linux 証明書を持つことができます
3. Windowsでは MS 証明書のみを使用できます。Linux ディストリビューションは、Microsoft (Windows ではない) UEFI証明書から shimブートするか、独自の証明書を使用できます
4. 古いサポート対象外のノートPCの場合は、セットアップモードを試して、証明書パッケージ全体をWindows OEMデバイスセットに置き換えてみてください。これは、そのまま置き換え可能です。理論上はこれでうまくいくはずですが、古いBIOSの中にはアップデートプロセスに問題がある場合があり、セットアップ設定を正しく行う必要があります
#853 #855
>CheckUEFI スクリプトを実行すると、次のエラーが発生
Dell Inspiron 5721 0xC0000100 変数は現在未定義です
スクリプトの新しいバージョン(テスト中 開発途中のバージョン #855にup)では、エラー処理を強化しました
最後の2つの条件は、PCA 2011証明書を失効させていないことを示しています
#856
Get-SecureBootUEFI
GIGABYTE証明書
KEK CN=Microsoft Corporation KEK 2K CA 2023
DB CN=Windows UEFI CA 2023
DBX CN=Microsoft Windows Production PCA 2011
#860 @Klaver7 PS
#861
@Klaver7 PS ?
PS C:\WINDOWS\system32> foreach ($var in @('PK','KEK','DB','DBX')) { "`n${var}:"; (Get-SecureBootUEFI -Name $var -Decoded).Subject }
KEK CN=Microsoft Corporation KEK 2K CA 2023
DB CN=Windows UEFI CA 2023 CN=Microsoft UEFI CA 2023
CN=Microsoft Option ROM UEFI CA 2023
CN=Microsoft Windows Production PCA 2011
DBX CN=Microsoft Windows Production PCA 2011
#864
#865
「すべてのキーをリセット」を探してください
#866
すべてのキーをリセット というオプションはなく、工場出荷時の設定に戻す オプションしかありません。同じことでしょうか ?
#869
FirmwareSVN を 7.0 にしました。説明させてください
#872
PS C:\Users\GARLIN\Downloads> .\SVN_Order.ps1
BootMgr SVN 2.0
CDMgr SVN 2.0
WDS SVN 2.0
BootMgr SVN 7.0
CDMgr SVN 3.0
WDS SVN 3.0
FirmwareSVN 2.0
#873
#875
本当に重要なのはブートマネージャの動作
#876
dbxキーのエントリを個別に削除するオプションは見つからず、キーをリセットするオプションしかありません
#881
一般的には、お使いのPCの機種とBIOSのバージョンによって異なります。一部のBIOSはCA 2023証明書をサポートしており、更新プロセスはスムーズに動作しますが、古いPCの場合は手動での対応が必要になる場合 あり
チェックスクリプトをダウンロードしてインストールし、その出力結果を共有してください
#888
PS 7に関するバグ 新たな情報が出てこない限り、この件は無視すべきだという意見に賛成
(PS 7.6 preview ? )
#889
すべての失効処理が適用されたマシンでブートマネージャSVN3を試したところ(つまり、ファームウェアSVN 7.0と表示されるはず)、ファームウェアSVN 2.0と表示され、セキュアブート違反が発生して起動しませんでした。これはPSのエラーであり、セキュアブートSVNは期待どおりに動作したことを示すもう一つの証拠
(PS 7.6 previw ? )
#894
PowerShell/ PowerShell
ttps://github.com/PowerShell/PowerShell/
Issues
ttps://github.com/PowerShell/PowerShell/issues/27058
2026.3.19
Get-SecureBootSVN can report the wrong FirmwareSVN value #27058
Expected behavior
BootMgr SVN 2.0
CDMgr SVN 2.0
WDS SVN 2.0
BootMgr SVN 7.0
CDMgr SVN 3.0
WDS SVN 3.0
FirmwareSVN 7.0
#896
スクリプト内で0xC0000100エラーを捕捉しない最後の箇所(SetupMode変数)をようやく突き止めました
このPCのDBリストには5つの証明書があり、これは正しい数です
#899
PCの最新のBIOSは2019年12月のもので、Secure Boot CA 2023をサポートするには古すぎます。また、DellはこのBIOS用のKEKアップデートに署名していません ..
2. BIOS をセットアップ モード (すべての証明書をクリア) にして、更新スクリプトが新しい一連の代替 MS 証明書をインストールできるようにする必要があります
How To Update Secure Boot Active Database from BIOS
ttps://www.dell.com/support/kbdoc/en-us/000368610/how-to-update-secure-boot-active-database-from-bios
Dell Technologies
BIOSからセキュア ブート アクティブ データベースをアップデートする方法
..
チェック スクリプトを実行します。これで KEK CA 2023 が表示されるはずです
#900
powershell -nop -ep bypass -f "C:\temp\SecureBoot-CA-2023-Updates\Check_UEFI-CA2023.ps1"
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
レジストリ WindowsUEFICA2023Capable 2
レジストリ UEFICA2023Status Updated
powershell -nop -ep bypass -f "C:\temp\SecureBoot-CA-2023-Updates\Check_DBXUpdate.bin.ps1"
成功 "dbxupdate.bin" から 431/431個の EFI署名に一致しました
#901
Dellはセキュアブートモードが無効になっていることやセットアップモードについては言及していません
#902
証明書を削除して上書きする際には、セキュアブートモードを無効にすることをお勧めします
なぜなら、何らかの問題が発生した場合でも、Windowsが常に起動するようにしたいからです
#905
Dell
BIOS には「すべてのキーを削除」というオプションもあります。私はそれを実行しませんでした。現時点ではそこまで勇気がありません
Dell Precision M4800 ラップトップが「セキュア データベース ('db') にオペレーティング システム ローダーの署名が見つかりません」というエラーで起動すると、BIOS に戻ってセキュア ブートを無効にしないと Windows に起動しなくなります ..
Windowsに入ったら Update_UEFI-CA2023.ps1 スクリプトを実行し、BIOS に再起動してセキュア ブートを有効にすると、ラップトップは再び Windows に起動しますが、
Check_UEFI-CA2023.ps1 では KEK CA2023が表示されず、[KEK 2K CA 2023] の手動インストールを指示され、その後「Microsoft Corporation KEK 2K CA 2023.crt または .der 証明書」の追加に失敗します ..
BIOSに入ってカスタムモードを有効にしてから、キーをリセットせずに無効にしても、同じパターンが繰り返されます もう手遅れなのでしょうか ?
#906
カスタムモードでは、セキュアブートキーを編集できます。それ以外の通常モードでは、改ざんを防ぐためにロックされます
問題は、特定のBIOSセットでは、セキュリティ制限のため、KEKを簡単に追加できないことです(CA 2023を追加するため)..
#907
Dell XPS 13 9360 2016、BIOS最終アップデート 2022年
セキュアブートでKek CA 2k 2023をインストールできずに何ヶ月も苦労した後、今日 Dell XPS 13 9360(2016年製、BIOSの最終アップデートは2022年)のBIOSに踏み込むことにしました
まず、セキュアブートを有効にしてカスタムモードで、すべての証明書を削除
それぞれのスクリプトを使用してカスタムモードになっていることを確認した後、アップデートスクリプトを実行したところ、チェックスクリプトに証明書がリストされ、すべて問題ないように見えました しかし、他のユーザーと同様に、セキュアブートを再び有効にすると、PCが起動しなくなりました
何度か試してみたところ、少し変わった方法で成功しました。
完了後にカスタムモードを有効にしたまま(標準モードに戻すのではなく)、セキュアブートが有効になった状態でPCが問題なく起動し、レジストリエディタには必要な証明書とともにアップデートが完了したと表示されることがわかりました(スクリーンショット参照)
カスタムモードを有効にしたままにしておくことに何か問題があるかどうかはわかりませんが、このままにしておこうかと思っています
#908 ガーリン
一部の古いPCでは、ベンダーから署名付きKEKが提供されないため、カスタムモードが必要になる場合があります。そのため、Microsoftからの代替証明書は工場出荷時の証明書とはみなされませんが、機能的には同じです
現在、CA 2023証明書はすべて揃っていますが、失効処理は開始されていません(現時点ではオプションです) Microsoftが今年後半にこの設定を切り替えても、Windowsに予期せぬ問題は発生しません
解決できてよかったですね
#909 ガーリン
README_UEFI.TXT に注記を追加し、セットアップ モード (すべてのキーをクリア) を使用した場合は、UEFI をカスタム モードのままにしておくことを推奨します
有益なご指摘ありがとうございました
#910
新しい証明書/キーをインストールするには、インストールプロセスを「カスタマイズ」する必要があったのかもしれません。場合によっては、正常に完了すると、BIOSのセキュアブートの状態が「カスタム」と表示されます
セキュアブートを「標準」モードに設定しようとしたことで、証明書/キーがリセットされ、ブートローダーの不一致が発生したのではないかと推測
#911 ガーリン
私の理解では「標準モード」では工場出荷時のPKを使用する必要があります そのため、OEMのPKで署名されたKEKのみを追加できます これは非常に安全ですが、残念ながら、署名付きKEKの提供はOEMに依存することになります
「カスタムモード」では、工場出荷時のPKをカスタムPKに置き換えることができます。この場合、「カスタムPK」はMSがOEMパートナーに提供するセキュアブートキーのリファレンスセットです。MSはPKだけでなく、同じPKで署名されたKEK CA 2023も提供しているため、この方法は有効です。したがって、セキュリティ上の問題はありません
「標準モード」では一致する署名付きKEKがないためにブロックされてしまいます
#913
Dell Precision M4800 ノートPC 私にも効果があった
BIOS に入り、セキュア ブートを有効にする Expert Key Managementで Enable Custom Modeのチェックボックスをオンに
すべてのキーを削除する (リセットしない)。保存して終了すると Windows ..起動するはずです
Check_UEFI-CA2023.ps1
必要な操作
オプション 1: [PCA 2011] 証明書を失効させずに [UEFI CA 2023] 証明書をインストールするには、次のコマンドを実行します
Update_UEFI-CA2023.ps1
オプション 2: [UEFI CA 2023] 証明書をインストールし、[PCA 2011] 証明書を失効させるには、次のコマンドを実行します
Update_UEFI-CA2023.ps1 -Revoke ..
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
Windows Boot Manager [Windows UEFI CA 2023] が許可されています
レジストリ WindowsUEFICA2023Capable 2
[PCA 2011] 証明書を失効させるには、次のコマンドを実行します
..
PS C:\Users\LeeElectrode\Desktop\SecureBoot-CA-2023-Updates>
Run Check_UEFI-CA2023.ps1 -verbose
Win11 25H2 26200.8037
Dell Inc. Precision M4800 A26 2019-06-12
Windows OEM デバイス PK
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Option ROM UEFI CA 2023
ft Windows Production PCA 2011
Windows BootMgr SVN 7.0
EFI_CERT_SHA256_GUID 署名: 437
成功: 更新は不要です
PS カスタム モードの有効化は引き続き有効です
#914 ガーリン
完了
恐ろしい0xC0000100エラー(「この値を読み取ることができません」)の処理を忘れていた箇所が1つありました
#916 ガーリン
すべてのBIOSにPKdefault、KEKdefault、DBdefault、またはDBXdefault変数があるわけではありません。アクティブなキーの読み取りだけが必要なので、これらのエラーは無視する必要があります
カスタムモードはそのままにしておいてください
#917
私の問題は、..それらのps1スクリプトを実行できないことです
バッチファイル(Check-UEFI.bat)は管理者として実行できます
#918 ガーリン
2 つのオプション
1. 実行ポリシーを変更して、すべてのスクリプト (信頼されていないスクリプトも含む) を許可する ..
2. 完全に保護するためには、PSコマンドラインを使用して、そのインスタンスのみ実行ポリシーを一時的にバイパスする方法
5ユーザー ..
PS7ユーザー ..
#919
古いDell E6430Sノートパソコンでも動作しますか ?
#920
古いX99ベースのASUS製マザーボードでも動作しますか ?
#922
古いDell E6430Sノートパソコン
BIOSは2019年1月版なので、サポート対象外です。BIOSメニューから「すべてのキーをリセット」した後、セットアップモードを使用すると解決する可能性があります
古いX99ベースのASUS製マザーボード
BIOSの最終更新日によります。正確なマザーボードの型番を教えてください
#924
デスクトップPC3台すべてに新しいキーが自動的にダウンロードされたようです
残っているのは Acer 2023ノートパソコン
9年ほど前の HP Elitebook 820 G4はHPがサポートしていない(という)コメントは驚きです
#925
移行の妨げとなるのは OEMが署名済みのKEK CA 2023証明書を提供しているかどうか 移行全体の基盤となります
新しいBIOSにはプリインストールされているか、最新のファームウェアアップデートでKEK CA 2023証明書を入手できます
それほど古くないAcer製PC ..KEKキー登録をサポートするUEFIセットアップメニューが搭載されている可能性あり スクリプトは KEK CA 2023をファイル形式でEFIにコピーし、そこからUEFIメニューを使用してインストールできます
HPの古いBIOS(例えば9年前のもの)..そのような対応はしません。そのため、セットアップモードで全てのキーを置き換えることが可能かどうかをテストする必要があります
#926
Asus X99 Deluxe BIOS ver 4101 おそらく古すぎるでしょう
#927
メーカーのサポート対象外となるほど古い機種ですが、セットアップモードでは動作する可能性 あり
#928
kekを選択した後、ファイルから証明書を BIOS にアップロードするだけでいいですか ?
#929
サポートされていないBIOSを使用している場合、アップデートスクリプトはKEK CA 2023証明書ファイルをEFIパーティションの「\EFI\Certs」フォルダにコピーします。セットアップメニューからシステムディスクを検索できます(予備のUSBドライブを使用する代わりに)
一部の古いDell製PCでは、ファイル形式が間違っている(.authファイルが必要である)というエラーが表示される場合があります その場合は、..
#931
\EFI\Certsフォルダ
Update_UEFI-CA2023.ps1を実行しましたか ? ..インストールが完了したら、ブート デバイスを選択して(わからない場合は試行錯誤してください)、「Certs」フォルダが表示されるまで操作してください
コピーした証明書は、そのフォルダ内にあります
#932
BIOSに入り、セキュアブートを有効にします
エキスパートキー管理で、カスタムモードを有効にするチェックボックスをオンにします ..
#933
まず、KEKの手動登録を試してみて、..
手動登録が拒否されたかどうかを確認するのにかかる時間はほんの数分です
#934
\EFI\Certsフォルダ @man00さんのDell BIOSのタイプは、私のものと全く同じ
確かに「\EFI\Certs」フォルダ内の証明書を見つけるのは少し難しかった
見つけたときに証明書が正しく署名されていないというエラーメッセージが表示されました(両方の形式)
BIOSに入り、 セキュアブートが有効になっているか確認します。Expert Key Management で、Enable Custom Mode のチェックボックスを オンにし、すべてのキーを削除します
セキュアブートを無効にします 。保存して終了すると、PCは Windowsに起動するはず
チェック スクリプトを実行して、BIOSがセットアップ モードになっていることを確認 セットアップ モードになっている場合は、アップデート スクリプトを実行
次に、チェック スクリプトを再度実行して KEK CA 2K が存在するかどうかを確認します。 存在する場合は、BIOS に再度入り、セキュア ブートを再度有効に カスタム モードを有効にしたまま、BIOS を終了します
#935
投稿されている方法をすべて試してみましたが、それでもPS1スクリプトを実行できません
#936
アップデート前はそうでした
garlinスクリプトを実行できる必要あり これを試してみましょう
1- PowerShell を右クリックし、「管理者として実行」を選択します。
2- コマンド Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass Enterキー
3- PowerShell は、スクリプトの実行を許可してもよろしいですかと尋ねます。Y Enterキー
4- PowerShell ウィンドウが開くまで待ちます
5- garlin Check_UEFI-CA2023.ps1 を右クリックし、「パスとしてコピー」を選択
6- メモ帳を開き、手順 5 でコピーしたものを貼り付け
7- 貼り付けると、パスの最初と最後に括弧が付いていることがわかります。これは削除する必要があります
8-パス コートを削除した後、結果をコピーして PowerShell に貼り付け
9-Enter キー
うまくいけば、garlinスクリプトを実行できます
#941
powershell -ep bypass -f \folder\name\Update_UEFI-CA2023.ps1
追加に失敗しました というエラーが表示された場合は、..
#942 #944
レジストリ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Servicing
ConfidenceLevel ConfidenceUpdateType
M83 デスクトップ(2014年)
ConfidenceLevel High confidence
ConfidenceUpdateType 0x00005944
Lenovo T490 ノートPC(2020年)
ConfidenceLevel Under Observation
ConfidenceUpdateType 0x00000000
#943
Confidenceキーや Bucketキーはすべて無視してください これは MSと共有されるテレメトリ データ まったく同じ PCモデル/ BIOS verを所有しているすべてのユーザーをデータ「バケット」にグループ化できる(もの)..
#944
T480についてT490よりもはるかに多く話題になっているのを見かけます。T480の方が人気があったのでしょう
#945
480と480sはどちらも非常に人気があり、現在でも中古市場でよく見かけます
490は優れたデバイスですが、RAMがはんだ付けされている490sはそれほどではありません
#947
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
[UEFI CA 2023] 証明書をインストールするには、次のコマンドを実行
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x4800 /f
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#948
MSIから確認したところ、MSが公式にサポートしていると表示されていたにもかかわらず、Intel第11世代までのすべてのシステムのサポートを終了したとのこと
第12世代以降(およびAMD相当)のみにアップデートを提供し、証明書の更新についてはMSのみに頼るべきだと主張 ..?
#950
>#947 オプションROMだけが不足しています。これは、署名付きファームウェアを持つ一部のグラフィックカードやストレージコントローラーで必要になる場合があります それ以外は完了です
オプションROM証明書をインストールしたい場合は 0x4800
#951
Intel 620グラフィックスしか搭載していない元ビジネス用マシンなので、おそらく大丈夫だと思います
#952
AvailableUpdatesの値を0x4800から0x800に変更してください。4000という余分な値がセキュアブートタスクを混乱させている可能性があります
(4800 - 4000 = 800 ? )
#955
>#953(レジストリ up)
これは通常のレジストリではありませんね。セキュアブートのスケジュールされたタスクが更新中にエラーを起こしたようです
#957
HP Elitebook 820 G4
#962
ASRockから嬉しいサプライズ
ASRockのウェブサイトにアクセスしたところ、セキュアブートBIOSアップデートがリリース
#966 ガーリン
私が懸念しているのは、スクリプトが "\Windows\System32\SecureBootUpdates\dbxupdate.bin" を開けないことです
スクリプトがそのファイルを読み取れないという奇妙な不具合を報告するユーザーは、管理者として実行していても、おそらくあなたで 3人目でしょう
#967
ファイルは確かに存在しますが、更新日時が2025年10月14日、サイズが24KB
別のデスクトップにあるファイルも同じサイズで、更新日時は2026年3月12日
#968
dbxupdate.binは昨年10月以降変更されていません ..
#971
2011年のキーの取り消し以外は完了しました
#972 HP Elitebook 820 G4
#974
これらのコマンドを実行するには、PowerShellで Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass を実行する必要がありますか ?
もう 1つのコマンドは、管理者として CMDから実行します
これらのコマンドを実行する前に、セキュアブートを無効にする必要がありますか ?
#975 ガーリン
私は常にスクリプトを実行しているので、実行ポリシーのセキュリティは低くなっています
変更したくない場合は、1つのコマンドのみポリシーを上書きする長いコマンドラインを使用します
結果は全く同じになります
セキュア ブートを無効にする必要はありません。サポートされているPCがなく、セットアップ モードですべての証明書を置き換える必要がある場合にのみ、セキュアブートを無効にすることをお勧めします。これは UEFIリセットが正しく機能しない場合に限ります
#976
.batファイルと .ps1ファイルの違いは何ですか ? 私のデスクトップでは .ps1ファイルはエラーになりますが、.batファイルは PowerShellを呼び出すのに正常に動作します
デスクトップは既にアップデート済みです
#977 ガーリン
(garlinスクリプトは無署名)
表示されているのは、実行ポリシーが有効になっている状態 信頼レベルは複数あり、現在のポリシーでは署名されていないスクリプトは許可されていません
バッチ(.batファイル)を実行すると、コマンドラインで「 powershell -ExecutionPolicy Bypass」または と同じ処理が行われます -ep bypass
if %errorlevel% equ 0 (
pwsh -nop -ep bypass -noexit -f "%~dp0\Check_UEFI-CA2023.ps1" %*
) else (
バッチファイルには、PowerShellスクリプトと同じ引数を渡すことができます(例 ?)
Check-UEFI.bat -Verbose -BootMedia
#978
ps1ファイルを左クリックして(Check_DBXUpdate.bin.ps1 Properties Security [ ] Unblock )
ブロック解除ボックスにチェックを入れ、「適用」をクリックし、ダイアログボックスを閉じると、PowerShellにファイル名を入力するだけで、そのスクリプトを永久に実行できます。
例 .\Check_UEFI-CA2023.ps1
PowerShell 7.6.0
PS C:\Users\nelson\Desktop> .\Check_UEFI-CA2023.ps1
この操作を元に戻す方法は分からないのですが、..
#982
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
Windows Boot Manager [Windows UEFI CA 2023
レジストリ WindowsUEFICA2023Capable 2
レジストリ UEFICA2023 ステータス 更新
済み 成功: 更新は不要です
#988 MSI Z87-G43マザーボード Win10
#989
前回のBIOSは2015年12月版なので、かなり古いバージョンです BIOSにカスタムモードがあり、現在の証明書をリセットまたはクリアできる場合、セットアップモード(証明書なし)でアップデートできる可能性 あり
#997
MSI Z87-G43マザーボードを搭載 Win10 PC
参考) セキュアブートモードにすると起動しなくなるため、非常に厄介でした。GPUの電源を切断してからオンボードビデオでBIOSに入る必要がありました ,,
#998
KEK CA 2023証明書はありますが、KEK CA 2011がありません。KEK CA 2011 がないと、データベースの CA 2011 証明書が無効になります。そのため、セキュア ブートが失敗します
通常の Windows更新プロセスでは、CA 2023 証明書のみを追加することを想定しているため、CA 2011 証明書は現在の変数の一部であるはずなので、再適用する方法はありません。次の手順を実行する必要があります
1. セキュア ブート モードを無効にします。このような予期しない事故が発生する可能性があるため、古い BIOS では常にこの手順を実行することをお勧めします
2. UEFI セットアップ メニューで、..
3. Windows を再起動します。Update_UEFI -CA2023.ps1スクリプト を実行
CA 2011 証明書と CA 2023 証明書の両方が一度に追加されます
4. チェックスクリプトを再度実行します。(2)個のKEK証明書と(5)個のDB証明書が
取得されているはずです
#1,000 ガーリン
保留中のスクリプト更新を早く実行しないと
#1,004
Check_UEFI-CA2023 を実行すると、エラーとともに以下の結果が表示され、Check_DBXUpdate を実行すると「失敗 "dbxupdate.bin" から 420/431個の EFI署名が見つかりません」というエラーが表示されます
#1,005
>#1,004
BIOSの最終更新は 2024年ですが、Dellのリリース ノートにはセキュアブート証明書に関する記述はありません
PK署名チェックは、Dellの PKを、MS用に KEK CA 2023 に署名したベンダー PKの MS GitHubリストに通すことで行われます。Dellが BIOSを 2024に更新したにもかかわらず、移行をサポートするはずの手順が明らかに失敗したのは奇妙です
自動更新はできません。必要なのは、Dell BIOSの UEFIメニューに手動キー登録があるかどうかを確認することです ..
#1,007 エド・ティテル
garlin さんのスクリプトがなければ、私の 12台の PCすべてで Secure Bootを動作させてアップデートすることは絶対にできなかったでしょう
#1,013
セキュリティでデバイス セキュリティにセキュア ブートの状態が表示されるようになり
私の問題は、2つの異なる「status=OK」メッセージ
(2つ目のメッセージ「SB がシステムを保護しています」
check_UEFI-CA-2023.\Check_UEFI-CA2023.ps1
Microsoft Corporation KEK CA 2011
Microsoft Corporation KEK 2K CA 2023
Windows UEFI CA 2023
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
[UEFI CA 2023] 証明書をインストールするには、次のコマンドを実行
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5800 /f
..
#1,014 ガーリン
Linux用のMicrosoft(Windowsではない)証明書と Option ROMが欠落
失効処理は行われていません。現時点では、これはオプションです。SecHealthUIは、今年後半までこのことを警告しないと予想されます
#1,017
Copilot(に)update_uefi-CA2023.ps1 -SkuSiPolicyを実行すれば不足している項目が解消されると教えてもらいました
#1,019 ガーリン
現在の展開では機能が簡略化されているため、..チェックスクリプトを完全に置き換えることもできません。このセキュリティセンターの機能が今後より詳細になることを期待しています
#1,020
Windows 11 will now tell you if your Secure Boot certificates need attention
Abhijith M B April 3, 2026 ttps://www.windowslatest.com/2026/04/03/windows-11-will-now-tell-you-if-your-secure-boot-certificates-need-attention/
Windows 11は今後、Secure Boot証明書の対応が必要かどうかを教えてくれます (Web訳)
Windows Security
Secure boot
(?)
#1,021 ガーリン
IT 管理者ガイド Windowsセキュリティ アプリのセキュア ブート証明書の更新状態
元の発行日: 2026年4月2日 KB ID: 5087135
https://support.microsoft.com/ja-jp/topic/it-%E7%A...
(日本語ページ)
#1,025
古い X99 マザーボードを 2023 セキュアブートにアップデートしたい
BIOSにはカスタム (標準ではなく) を使用するオプションがあります
カスタムを有効にするだけでいいのでしょうか ?
#1,026
PCA 2011の取り消し ..
#1,027
2011年の証明書を失効させた際に問題が発生した場合は、BIOSでセキュアブートを無効にすることで、問題を解決できます .. ?
#1,028 ガーリン
>#1,025
BIOSメニューに、キーを手動で登録するオプション(ディスクから証明書ファイルをインポートするオプション)があるかどうか確認してください ..
#1,029 ガーリン
>#1,027
CA 2023 証明書はすべて追加済みですが、PCA 2011 は失効していません ..
SkuSkiPolicyのプッシュによって問題が発生した場合、プッシュを取り消す方法があります
#1,030
Secure BootとVBSの両方が無効になっている
Linuxとのデュアルブート環境で、Secure Bootを有効にするといくつか問題が発生
#1,031 ガーリン
セキュア ブートが無効になっている場合、高度なカーネル保護は利用できません
Linuxとのデュアル ブート シナリオでは、2つのオプションのいずれかを実行する必要があります
1.レガシー CA 2011 証明書と新しい CA 2023 証明書の完全なセットをインストールします。ほとんどの主要なディストリビューションには、Microsoft UEFI CA 2023 キーで署名されたブート ローダー シムがあります。このキーは、シム チェーンが通常の Linuxブート ローダーに起動するため、主要なディストリビューションが Windows と共存できるようにするためにのみ存在します
2.独自のカスタム PKを作成し、MSが提供する証明書 (GitHub から) に自己署名できます ..
実際的な観点から言えば、セキュアブートなしで Windowsと Linuxを実行し続ける ..
#1,034 ガーリン
セキュリティ上の問題があるとされる「AMI Test PK」がインストールされています。これは、OEM向けにBIOSのサンプルとして提供されるデフォルトのPKですが、一部のOEMが意図せず実際のPCに展開してしまいました
OEMがこのBIOSを交換して問題を解決していない場合は、..
MS 「Windows OEM Devices PK」証明書の特別なセット
#1,040 ガーリン
KEK CA 2023が欠落しています
#1,043 ガーリン
バージョン2026.04.01への(かなり遅れていた)アップデートを投稿#1と GitHubで公開しました
(garlin-cant-code/ SecureBoot-CA-2023-Updates
ttps://github.com/garlin-cant-code/SecureBoot-CA-2023-Updates/ )
#1,046
Windows セキュリティ プラットフォームの更新プログラム(KB5007651)をインストール
Windows セキュリティ(アプリ)の デバイス セキュリティページに表示されるセキュア ブート証明書の更新ステータスの表示 ご報告
セキュアブートが有効になっており、必要な証明書の更新はすべて適用済みです。
これ以上の証明書の変更は不要です
#1,047
2026年5月16日には、改訂版セキュリティセンターのフェーズ2が開始され、コンプライアンスに準拠していない場合は、より頻繁に通知が表示されるようになります
#1,050
Manually download the update ?
64-Bit | ARM64
(日本語ページ)
アプリの更新Windows セキュリティ
ttps://support.microsoft.com/ja-jp/topic/%E3%82%A2%E3%83%97%E3%83%AA%E3%81%AE%E6%9B%B4%E6%96%B0windows-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-a6ac7d2e-b1bf-44c0-a028-41720a242da3?preview=true
KB5007651
(?)
#1,058
(不足? Microsoft Corporation UEFI CA 2023)
#1,060
あなたのスクリプト(garlin-cant-code/ SecureBoot-CA-2023-Updates ver 2026.04.01)
Malwarebytesをマルウェアとして検出
#1,061
これはセキュリティ研究者の Matt Graeber 氏が作成したオープンソース関数が組み込まれていることが原因で発生した誤検知だと考えています ..
以前のバージョン (v2024.01.18) を使用することもできます
#1,076
今のところ、情報源が不十分なAI(またはヒューリスティックエンジン)は人間がまだ突破できます 私が疑っていた通り、..特定のキーワードを見つけると警告を発するように仕向けています
#1,084 ガーリン
セキュアブート担当者から、Get-SecureBootSVNのバグ修正担当者の連絡がありました 5月か6月の月次アップデートで修正されることを期待しましょう
#1,089 ガーリン
Windows Hello のステータスは、(あなた、あなたがた が)キーを削除しようとしている場合にのみ重要になるため、非表示にするかもしれません 証明書を追加しても、TPM からエラー応答は発生しません。最終的な目標は、必要に応じて PIN を無効にするようユーザーに促すことです
#1,098 Windows Hello
#1,099
Microsoft Corporation UEFI CA 2011 がない
おそらく、工場出荷時のイメージに含まれていなかったのでしょう
#1,100
数週間前にデュアルブートしていたLinux Mint/Fedoraをアンインストールし、SSDからすべてのデータを削除したので、それが原因かもしれません
#1,101 ガーリン
プラットフォームキーがインストールされている場合、セキュリティ対策として、OSは既存のDBまたはDBX証明書を削除できません。OSは(適切に署名された)新しい証明書を追加することしかできません
削除した覚えがない場合は、おそらくPCが出荷時にその状態でインストールされていた..
#1,103
Helloは使用していません。そのため、得られた結果は(0)で、これは正しいです
#1,104
確か数か月前にすべてのキーを更新して2023年の証明書に移行した際、セットアップ時にPINが削除されたはずです。しかし、パスワードを使ってログインし、PINを再度設定しました
#1,106 ガーリン
KEK CA 2023証明書がありません。Windowsをシャットダウンし、BIOSでセキュアブートモードを一時的に無効にしてください
(再度起動できるようになります) BIOSの最終バージョンは2022年10月で、古すぎます BIOSに入ったら、手動キー登録のUEFIメニュー画面があるかどうか確認してください ..
旧#1,107 ガーリン
>#1,105 Acer Nitro 5 AN517-52
KEK CA 2023証明書がありません。Windowsをシャットダウンし、BIOSでセキュアブートモードを一時的に無効にしてください
(再度起動できるようになります) BIOSの最終バージョンは2022年10月で、古すぎます BIOSに入ったら、手動キー登録のUEFIメニュー画面があるかどうか確認してください ..
(旧#1,107削除 に伴い 以下4〜5? レス レスNo,繰り上げ 注意!)
#1,108
私のBIOSメニューです。キー登録に関する項目が見つかりません
BIOSはドイツ語なので、..
#1,110 ガーリン
セキュアブート設定をすべて消去 を選択してください。これにより、セキュアブートモードが「標準」から「カスタム」に変更されます ..
#1,113 ガーリン
(ガーリンの ?)チェックスクリプトを実行すると、以下の証明書が取得できるはずです
KEK証明書 2枚
DB証明書 5枚
DBX証明書 0枚(まだ失効していないもの)
#1,115
UEFIで SVNの解析がうまくいかない理由はわかりません。しかし、CA 2023 証明書はすべて追加済みですので、PCA 2011 証明書を今すぐ失効させるか、今夏後半にリリースされる Windowsを待つことができます ..
#1,123
Acer セキュアブート証明書のページが更新、私の機種だけでなく、今後数か月以内にBIOSアップデートが予定されているAcerノートPC リストアップ
#1,124 ガーリン
一部のOEMメーカーは、依然としてギリギリのタイミングでBIOSアップデートを提供
MSのGitHubリポジトリ
残念ながら、DellとHPは旧型PC向けのアップデート提供を終了したと発表
多くのベンダーにとって、テスト作業が大きな負担となっているようです
#1,125
あなたのスクリプトを使って証明書をインストールできた
#1,127
HP
(日本語ページ)
HP製コンピューター - 新しいWindowsセキュアブート証明書のための準備
ttps://support.hp.com/jp-ja/document/ish_13070367-13192105-16
プラットフォームのリリース年によって必要な BIOS アップデート より
2018年から2021年の間に発売されたHP製PCは、2025年12月31日頃にBIOSアップデートを受けました
2017年以前に発売されたプラットフォームでは、これらのプラットフォームに対するHPのサポートが終了しているため、この変更に関連するBIOSアップデートは提供されません ..
影響を受けるプラットフォームと最小BIOSバージョンの一覧 ..
#1,128
Lenovoからの最後の連絡は11ヶ月前でしたが、彼らは所有する様々なPK(製品コード)について大量のKEK(Knowledge Exchange Check:登録完了証明書)を提出しました。おそらく彼らはこれで完了と考えているでしょう..
#1,129
HP Pavilion Laptop 15-eg0xxx
X Microsoft Corporation KEK 2K CA 2023
√ HP UEFI Secure Boot KEK 2017 (取り消し: False) ..
#1,130
T530 ラップトップ EOL 2022 他
証明書アップデートのリリースを Lenovoが諦めました
すべてのシステムを Mosbyで書き換えました..
#1,133
Dellが「古い」と考える基準をご存知ですか?私のメインのノートパソコンは2021年製です
#1,134
(日本語ページ)
セキュア ブート移行に関するよくあるご質問(FAQ)
https://www.dell.com/support/kbdoc/ja-jp/000390990...
Dellコンピューターおよびアップデート
https://www.dell.com/support/kbdoc/ja-jp/000390990...
Dellがアップデートを提供する対象
Dellがアップデートを提供しない対象
#1,139 ガーリン
VBSが有効になっている場合、MSはセキュリティ強化のため、SkuSiPolicy.p7bポリシーファイルをEFIにコピーすることを推奨しています
しかし、私の更新スクリプトでは、一部のユーザーが InsiderビルドやUSB回復ドライブ(異なるブートファイルを含む)で起動の問題に遭遇する可能性があるため、このファイルを自動的にコピーしません..
ロックアウトされた場合は、一時的にセキュアブートモードを無効にし、Windowsを起動して、ポリシーファイルを手動で削除する必要があります
#1,140
今朝 (KB5007651 ?! ) セキュアブート 緑
#1,142 ガーリン
SkuSiPolicy は独立したセキュリティ ポリシーであり、特定のブート ファイル (どの Secure Boot 証明書で署名されているかに関わらず) をブロックできます..
..ポリシーに違反すると、Windowsの起動が停止し、デジタル署名の失敗 (許可されていない) を示す winload.efiエラーが表示されます
#1,144
Thinkpad T490は ..Thinkpad T580 (2018) (Win11対象デバイス) より少し新しい..
Lenovo ThinkCentre M83 は,, ほぼ間違いなく古すぎます
#1,146 ガーリン
(セキュアブート 緑) セキュアブートが有効になっている場合、誰でも緑を取得できます
これ以上の証明書の変更は必要ありません(CA 2023 が有効)
セキュア ブートは有効ですが、デバイスは更新する必要のある古いブート トラスト構成を使用しています(CA 2011 が有効) この劣る設定を黄色のチェックマークとして報告しないことを懸念しています
ユーザーは、まだ作業が残っているにもかかわらず、完了したと早合点してしまう可能性
#1,148 ガーリン
UEFIロック
セキュア ブートを無効にして再起動し、次の再起動時に Windows がロックを解除できるようにする必要があります
セキュア ブートを無効にするには PCの前にいる必要があるため、攻撃者が Windowsからこの手順を実行することはできません
#1,149
Lenovo ThinkCentre M83
M83にMosbyを使って証明書をインストールしました
あとは、..2011年の証明書を失効させるだけです garlinさんのスクリプトを使うか、今夏後半にMSが対応してくれるのを待つか迷っています
#1,151
SkuSiPolicyのインストールで発生した問題
インストールまたは有効化後、起動ドライブにWindowsがインストールされている限り、Macrium(またはその他の起動可能なUSB)は正常に動作しました
しかし、ドライブをセキュア消去すると、..
SkuSiPolicyと格闘するよりも、再び無効化することにしました
#1,152 ガーリン
PS の実行ポリシーでまだ問題が発生しているようです
付属のバッチファイルを使用してください。バッチファイルはスクリプトを「ラップ」するだけで、既存のセキュリティポリシーを変更することなく実行エラーが発生しないようにします
Check_UEFI -CA2023.ps1 の代わりに Check-UEFI.batを、
Check_DBXUpdate.bin.ps1 の代わりに Check-DBX.batを、
Update_UEFI-CA2023.ps1 の代わりに Update-UEFI.batを使用してください
#1,153
>#1,151
あなたの場合、SkuSiPolicy は「UEFI ロック」されていました..
#1,155 ガーリン
バッチファイルは、PowerShellスクリプト ..代替手段として使用できます
Check-UEFI.bat = .\Check_UEFI-CA2023.ps1
Update-UEFI.bat = .\Update_UEFI-CA2023.ps1
..
#1,158
Update-UEFI.batファイルをダブルクリックするだけで、Update_UEFI-CA2023.ps1が実行されます
#1,165
今では、デバイスのセキュリティ設定を確認するだけで、セキュアブートが自分のニーズに合ったレベルに達しているかどうかを確認できる段階に来ています
#1,166 #1,167 ガーリン
なぜファイル名を変更したのでしょうか ?
「Update_UEFI-CA2023.ps1 -Revoke -SkuSiPolicy」を実行すれば、SVN 8とより新しいSkuSiPolicyが強制的に適用されるはずです
Windowsのバグ修正がリリースされるまでは、Get-SecureBootSVN = 2.0と表示され続けます。月次アップデートは定刻通りに配信されるため、コード変更が間に合わない場合は、次のアップデートを待つ必要があります
#1,171
うまくいきました、ありがとうございます
#1,172 ガーリン
すべて順調です。DBXのアップデートチェックについては、調査する必要があります。MSがファイル名を変更した理由は全く分かりません。「Legacy」を分離する必要がある何らかの理由がない限り、既存のファイルの新しいバージョンをそのままプッシュするだけだと思っていたのですが
#1,177 ガーリン
KEK CA 2023をインストールして CA 2011以降の環境に移行した後、時間の経過とともに変更されるのはブートマネージャ、SVN、およびSkuSiPolicyファイルだけです。セキュリティ上の理由から、これら3つのファイルは同期してロックされます
#1,182
SVNのアップデートが唐突に行われたみたい
ともあれ、私の住んでいる地域ではもう何もかも元通りだ
#1,183 ガーリン
#1,185 ガーリン
#1,190 ガーリン
#1,193 ガーリン
#1,195 ガーリン
#1,197 ガーリン
#1,200
この古い2015年製のマザーボードは特殊で、電源プラグを抜いて電源を切った後、再び電源を入れると画面が真っ暗になります。Windowsを起動するには、セキュアブートをクリアしてセットアップモードに入り、プロセスをやり直す必要があります..
#1,203 ガーリン--
#1,204 Samsung Galaxy Book 2 ノートPC
#1,205 ガーリン
KEK管理画面が表示されている場合は、手動でキー登録を試すことができます
1. MSのGitHubから KEK CA 2023証明書ファイルをダウンロード ..?
#1,207 ガーリン
#1,210
Dell Latitude E7440 BIOS管理が、..KEK CA 2023証明書を受け入れなかった
#1,211
Acer Nitro 5 AN515-55 ノートPC キー登録をサポートしていません
#1,212 ガーリン
#1,213 ガーリン
#1,214
カスタムモードのオプションがなく、「すべてのキーを削除」を含む他の手順も既に何度も実行しましたが、効果はありません
#1,215 ガーリン
#1,217 ガーリン
r/AcerOfficial・13日前
https://www.reddit.com/r/AcerOfficial/comments/1sb...
セキュアブートモード
#1,220
スクリプトが既にdbxファイルにPCA2011証明書を登録しているにもかかわらず、PCA2011証明書の失効を提案しているのはなぜでしょうか ?
#1,221 ガーリン
#1,222 ガーリン
>#1,220
AvailableUpdatesが0x200か、SVNが欠落しています
スクリプトでより明確な区別をするべきです 0x200 チェックを追加して、SVNのみのメッセージを表示するようにします
ありがとうございます
#1,225
Win10 ESUにも、新しいセキュアブートメッセージが表示されるようになりました
(セキュアブート有効機種の場合 ? )
#1,226 ガーリン
サポート状況に関わらず、Win10 22H2使用すべてのユーザーは、新しいセキュリティ センター アプリ (KB5007651) を入手できます。ただし、段階的に展開 (?)
#1,228 ガーリン--
#1,231 ガーリン
1. セキュアブート証明書は、UEFIの NVRAMメモリにインストールされます ..
#1,233
..リンクから Make2023BootableMedia.ps1 を使って ISOファイルを作成することに成功 これからWindowsのクリーンインストールを行い、結果を確認します
#1,234 ガーリン
#1,235 ガーリン
#1,237
もう諦めます。有効期限が来たら、セキュアブートを無効にします
#1,238--
garlin Windows 11 Forum
ttps://www.elevenforum.com/members/garlin.5387/
ttps://www.elevenforum.com/members/garlin.5387/#:~:text=garlin%20replied%20to%20the%20thread%20garlin's%20PowerShell%20scripts%20for%20updating,updating%20Secure%20Boot%20CA%202023.
..
Secure Boot certificates targetting data
Improvements [Secure Boot]
a subset of high confidence device targeting data
Mosby
Microsoft Windows Production PCA 2011 2026年10月
不足 ? Microsoft Corporation UEFI CA 2023
最新コメント