Secure Boot 関連 スレ Windows 11 Forum 3
最終更新:
icd2010memo 2026年04月17日(金) 21:11:05履歴
Secure Boot 関連 スレ Windows 11 Forum 3
本ページおよび本Wikiの内容は無保証です。
Secure Boot Key update
2026.1.31〜
#1
MiniPC セキュアブート許可キー交換キー(KEK)の更新
(Dell Inspiron 3280 Win11 Homeでは、このアップデートはまだ)
Other update
Secure Boot Allowed Key Exchange Key(KEK) Update
#10
全てのマシンを2023年の証明書に更新し、2011年の証明書は失効させ、セキュアブートも使用
#13
2台のPCでこの更新プログラムを受け取りました。しかし、イベントビューアーには依然としてイベント1801が表示されています
更新された証明書は利用可能ですが、まだ適用されていません
Update "Secure Boot Allowed Key Exchange Key (KEK)" - Causing Problems
Feb 10, 2026〜
#1
2026年2月9日にインストールしたセキュアブート許可キー交換キー(KEK)アップデートが、ブラウザに問題を引き起こしているようです
Firefoxで職場アカウントにログインしようとすると、..
#4
セキュアブートキーをデフォルトにリセットするのはお勧めしません。セキュアブートを無効にしないとシステムが起動しなくなる可能性があります
#5
キャッシュをクリアしてもうまくいきませんでした。Firefoxをアンインストールして再インストールしたら、今は動作するようになりました
#7
このKEKアップデートは、セキュアブート用のBIOSファームウェアアップデートがインストールされていない、または取得されていない古いPCでの移行をスムーズにするためのもの
KEKアップデート 古いCA 2011証明書をキャンセルする前に、新しいセキュアブートCA 2023証明書をBIOSにインストールできるようにするための前提条件
現段階では、KEK CA 2023の追加はWindowsやセキュアブートモードでの起動に影響しません。新しいKEKは、BIOSに既にインストールされている既存のKEKと並行して動作
#8
レジストリ WindowsUEFICA2023Capable
セキュアブート許可キー交換キー(KEK)更新 インストール後、値が 1に
#10
(スクリプト エラー CMD エラー ? )
#11
PowerShell はコマンドラインでパス(フォルダ)を指定しない限りスクリプトを実行しません
CMD ではパス(フォルダ)の指定は強制されません
スクリプトが現在のフォルダ内にある場合は、スクリプトのファイル名の前に「.\」を付ける必要があります
または、完全なパス名を使用します
Can Secure boot be enabled without TPM 2.0?
2026.2.12〜
ttps://www.elevenforum.com/t/can-secure-boot-be-enabled-without-tpm-2-0.44516/
Secure Boot Update Issue for 2014 Dell Laptop
Feb 13, 2026〜 ttps://www.elevenforum.com/t/secure-boot-update-issue-for-2014-dell-laptop.44563/
#1
Windows UEFI CA 2023
Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Windows Production PCA 2011
Microsoft Corporation KEK CA 2011
レジストリ: WindowsUEFICA2023Capable = 2
Windows BootMgr SVN 7.0
#2
KEK CA 2023が登録されていません(おそらく「サポート対象外」のレガシー PC ..
KEK CA 2023がない場合、CA 2023 証明書はどれも有効とみなされません
#3
セキュアブートは現在オフ
#6
Dell Inspiron 15 7537 おそらくいじるには古すぎるでしょう
#7 Copilot このモデルは、.. 新しい Microsoft KEK 2023 証明書をインポートまたは登録することはできません キーを削除すると、..一時的にブートが失敗するリスクが セキュア ブートをオフのままに
#8 USBメモリを1本だけにするという回避策もあるかもしれません
Is My Certificate Situation Secure ?
2026.2.14〜
ttps://www.elevenforum.com/t/is-my-certificate-situation-secure.44548/
#2
ASUSのウェブサイトで、お使いのマザーボードの新しいBIOSアップデートがあるかどうか
確認しましたか?
Secure boot certificate 2023 valid but event present
Feb 15, 2026〜
ttps://www.elevenforum.com/t/secure-boot-certificate-2023-valid-but-event-present.44595/
#1
BIOS更新(日付 01/15/2026) Win11 アクティブ DBとデフォルト DBの証明書の状態を確認するために2つのコマンドを実行すると、両方とも True
イベント 1801: TPM-WMI
BIOS最新で証明書も有効な他の2台のPCでも同じ問題が発生
#4
少し前に同じイベントログが表示されました(約30回)。
セキュアブートキーをリセットしたら、もう表示されなくなりました。自分のマザーボードでやり方を調べる必要がありましたが、意外と簡単でした
ほとんどの場合、特別な対応は必要無し MSがデバイスを「高信頼性」と分類するのに十分なデータを取得すると、アップデートは自動的に適用されます。ただし、手動で解決したい場合は、以下の手順..
#9
batファイルを実行すると、次のような結果が返されます
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
Registry: UEFICA2023Status = Updated
Registry: WindowsUEFICA2023Capable = 2
SUCCESS: NO UPDATES ARE REQUIRED.
#10
同じ問題が発生している方のために、セキュアブートキーを削除し、BIOSでデフォルトのセキュアブートキーをインストールしました
Windowsを再起動すると、エラー1801がイベント1808に変わり、2023証明書が正常にインストールされたことが確認されました
#11
ROM UEFI CA 2023を入手するには何かする必要がありますか?最新のBIOSを入手しました。(ASRock B760 PRO RS)
#15
\Windows\System32\SecureBootUpdates フォルダにはオプションROM 証明書のコピーがありますが、ASRockは前回の BIOSアップデートにこれを含めませんでした。MSは OEMにオプションROM の組み込みを強制していませんが、他の多くのベンダーはそうするでしょう これは、署名済みのファームウェアを持つ一部のGPU にとって便利です
#16
2023 OROMがないとカードに問題が出る可能性があると聞きました。RTX 50シリーズを持っていて、購入後にファームウェアをアップデートしました
#12 ガーリン
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x800 /f
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#14 23h2 (23H2)
#18
0x2 -> DBXUpdate.bin を追加します (EFI ハッシュ署名を DBX に追加し、W8 ブート マネージャーを禁止します)
0x80 -> DBXUpdate2024.bin を追加します (DBX に追加することで PCA を取り消します。SVN は 2.0 に設定されます)
0x200 -> DBXUpdateSVN.bin を追加します (SVN を 7.0 に上げます)
cjee21 のスクリプトで気に入らないのは、ほとんどの場合無関係な他の2つの SVN 番号(CD と WDS)も報告してしまうことです
SVN を適用することは一種の失効であるためです。SVNを適用すると、ブートマネージャに最低バージョンが強制されます
本来の順序は 0x2、次に 0x80、最後に 0x200 です。あるいは、0x282 を使ってこれら3つのアクションすべてを実行するようにタスクに指示する
SVN は一部のブート可能なUSBドライブをブロック ..これらのドライブは SVN 7.0 に準拠していないためです
#19 SVNはいつ更新されますか?
#21
BIOSを更新して2023年の証明書をデフォルトとして取得し、MOSBYを実行して固有のPKを作成し、3つのDB証明書をすべて取得して、Gigabyteの全く不要なDB証明書を削除しました。DBXも最新のSVNに更新されたと思いますが、2011年のPCA証明書をDBXに取り込ませないようにしたため、失効してしまいました
(Mosby)
#23
EFIに最新のブートマネージャーがインストールされていれば、PCが壊れることはありません
ブートファイルとDBX(またはDB)エントリの組み合わせが間違っていると、セキュアブートモードでのシステムの起動に失敗する可能性があります
起動可能なUSBドライブを新しいブートマネージャーファイルに更新
最も難しいのは、PC用の署名済みKEK CA 2023を取得することです。この部分にMosbyを使用していたなら、Mosbyは役に立ったと言えるでしょう
最新の Monthly Updateセットがインストールされていれば、あとは簡単です 更新ファイルは Monthlyにバンドルされている
#25 Gigabyteのキー
#26
イベントログでイベントID 1833のエントリを探してください。これは、ブートマネージャーの更新が正常に適用されたことを示します
#31
スクリプトの存在は知っていました!ただ、どこで簡単に見つけられるのか、そしてそれが常に正しく動作するスクリプトなのか確認できない
一つ疑問があります。このスクリプトは実際にブートファイルの署名チェーンを調べて、WindowsがCA 2023ブートマネージャーから起動しているかどうか、あるいは同様に更新されていることを確証できる別の方法から起動しているかどうかを確認しているのでしょうか?
(garlin-cant-code/ SecureBoot-CA-2023-Updates
ttps://github.com/garlin-cant-code/SecureBoot-CA-2023-Updates/
< > Code Download ZIP )
( .BATラッパースクリプトのセットを用意しました。これにより、実行ポリシーを変更せずにスクリプトを実行できます(セキュリティ上の懸念があるため)
Check-UEFI.bat
Check-UEFI.bat -audit
Check-DBX.bat
Upgrade-UEFI.bat
Upgrade-UEFI.bat -revoke )
#34
「Option ROM 2023 CA」について言及しています。cjee21さんのスクリプトで追加はできますが、それで十分でしょうか?
#35
必要なハードウェアをお持ちの方はごくわずかで、おそらくほとんどのメーカーが2023年のセキュアブートキーのBIOSアップデートにそれを含めていない (?)
#37
このスクリプトは、以下の点を確認します
1. 最新のSecureBootUpdatesファイルを取得するために、Windowsが2025年10月以降に更新されているかどうか
2. PKが「DO NOT TRUST」または「TEST」に該当しない場合は、注意を促すフラグが立てられます
3. PKのサムプリントをMS GitHubと照合し、KEK JSONリストとの一致を探します。一致した場合は、サポートされている可能性が高いです。一致しない場合は、手動キー登録のフラグを立てます
4. KEK CA 2023、Windows UEFI CA 2023、MS UEFI CA 2023、およびOption ROMの存在を確認します
5. DBXにPCA 2011が存在するかどうかを確認します
6. DBXUpdate.binのEFI証明書ハッシュをDBX変数と比較します。このスクリプトはカウントを想定せず、Windows更新ファイルの内容をDBXと比較します。更新スクリプトには、GitHub からこのファイルの最新バージョンをダウンロードするための -Latest オプションがあります。
7. DBXUpdateSVN.bin の BootMgr SVN 番号を DBX 変数と比較します。更新スクリプトには、GitHub からこのファイルの最新バージョンをダウンロードするための -Latest オプションがあります。重要なのは BootMgrのSVN のみで、CDと WDSのSVN は無関係です
8. EFI パーティションにある bootmgfw.efi ファイルを比較します。ファイルの署名証明書を読み取り、証明書チェーン (適切な KEK -> 適切な DB -> ブート マネージャー証明書、かつセキュア ブートが有効) をチェックして、現在のブート マネージャーが許可されているかどうかを判断します
9. 必要に応じて、リムーバブル メディア上のブート ファイルを確認します。boot.wim/install/wim のイメージ内に EFI_EX フォルダーがあります
10.オンラインで見つけた多くの更新スクリプトの問題点:
アクションの制御にAvailableUpdatesを使用しています。これは機能しますが、セキュアブートタスクのすべてのアクションが即座に実行されるわけではありません。一部のアクションは適用までに遅延が発生します。私の更新スクリプトはすべてのサニティチェックを実行しますが、証明書の更新はPowerShell経由で即座に適用し、必要なファイルコピーを実行します
ほとんどのスクリプトはサニティチェックを行わず、AvailableUpdatesのビットマスクの組み合わせを単に投げて、タスクが適切に動作することを期待するだけです。タスクは正しく動作しますが、タスクからのフィードバックはありません。エラーメッセージや成功メッセージを見つけるには、イベントログを探す必要があります
#39 ガーリン
率直な意見ですが、cjee21さんのスクリプトは技術的には正確ですが、情報の提示方法がひどい
スクリプトがユーザーに代わって賢明な結論を導き出せるのに、..
cjee21さんのスクリプト 確かに真実を報告しますが、ユーザーの半数は出力を読んで間違った結論を導き出します より論理的な方法で提示されている私のスクリプトを使用することを提案することしかできません
#40
確かに、表示が少し分かりにくいですね… でも、このスクリプトには気に入っている点が2つ
1つ目は、データベースにロードされているすべての証明書、つまり(私見では)そこに存在すべきではないMS以外の証明書も含めて、すべて教えてくれること あなたのスクリプトもそうしているようですが、私が使った中ではこれが初めてでした
もう1つは、UEFI BIOS画面で「デフォルトに戻す」を切り替えた場合にロードされる「デフォルト」の内容を報告してくれること..
#41
今は SB を再度無効にしましたが、再度有効にすればすべてが引き続き機能するという知識があれば安心できると思います..
#42 ガーリン
私のスクリプトのデフォルト表示では、カスタムベンダー証明書は非表示
Verboseモードではインストールされているすべての証明書が表示されますが、UEFI証明書の一覧に「操作可能な」コメントを追加して情報過多にしたくない
デフォルトの問題は、諸刃の剣 工場出荷時に一部の証明書がないからといって UEFIを更新できないわけではありません
回避策は 2つ ..
#44
cjee21さんのスクリプトは、対応PC(互換性のあるBIOS)をお持ちであれば問題なく動作します。しかし、BIOSに問題がある場合は、原因究明やアップデートの手助けにはなりません
#47
garlin's PowerShell scripts 証明書の更新プロセスを進めるのに役立つ優れたパッケージ
これは長い間利用できなかったこと
#48 ガーリン
スクリプトのこのバージョンを試してみてください。これは、(NONE) と報告された Gigabyte PK を回避します
#55 期待通りに動作しました。すべてのデフォルト証明書と有効な証明書が見つかりました!
起動サイクル中にBitLockerプロテクターを無効にするコマンドがリストに含まれているのは良いですね
#52 ガーリン
0x282には0x200が含まれます(これは様々なフラグの合計です)。しかし、前述したように、このタスクはしばしば遅延することがあります。場合によっては、他の設定が正しく行われていることを確認するために再起動を待ってから処理を進めることもあります
#54
管理者権限でPowerShellを開き、0x200コマンドと2番目のコマンド(スケジュールされたタスク)を実行 再起動せずに、SVNアップデートがすぐに適用
431個のdbxファイルなど、その他の部分は変更されていません
コマンド実行後にイベントビューアーを開くと、SVNが適用されたことを示すtpm wmiエントリが表示されます
#56 SBは必要な時に動作するので、特に心配はしていません
#57 このコマンドが登場したのは今回が初めて
#58 SBは再び無効に
#59
問題を理解しようとせずにスクリプトを使うことにこだわるのか、いまだに理解できません
私の場合は BIOSを更新し、Secure Bootキーを削除し、デフォルトのSecure Bootキーを BIOSにインストールしました
Windowsが再起動すると、エラー1801はイベント1808に変わり、2023年の証明書が実際にインストールされたことが確認されました
#60
..メーカーが通常は明らかではない理由でシステムを放棄した、あるいは放棄したのではないかと疑われるシステムを持っている場合、それが常に可能とは限りません
最初の問題は、そもそも問題があるかどうかを理解すること BIOSに 2023 セキュア ブート キーがすべてインストールされているかどうかを確認できるスクリプトあり
キーが不足している場合 (OpROM と KEK が不足していること よくあり) .. それらをどのように入手するか スクリプトはそこで役立ち、提示された解決策を満たす他のスクリプトを示し 問題が特定され、理解され (おそらく大まかに)、解決
MSは、できるだけ多くのシステムを含め、急いで解決策を講じて何百万ものシステムを壊さないようにするため、非常にゆっくりと着実に進めています 失効フェーズを延期し続けています
#61
誰もがOEMから完全なサポート付きのBIOSアップデートを受けられる幸運に恵まれているわけではありません
MSは、セキュアブート証明書を一目で確認できる Windowsセキュリティセンターのアップデートを後日提供すると約束 しています。それまでは、可視性の欠如がサードパーティ製スクリプトが必要となる理由です
#63 ガーリン
>#62
一部の OEMは、オプションの MS UEFI CA 2023 (Linux 用) とオプション ROM (署名付きファームウェアを搭載した一部のグラフィック カード用) をスキップする場合があります。これら 2つが欠落している場合は追加できます
SVNがないということは、CA 2011 (現時点ではオプション) を失効していないか、SVN 7.0 アップデートを適用していないことを意味します
#64
更新:0x0282でスクリプトを実行し、セキュアブートを有効にしたところ、すべて正常に戻りました
#65
AcerノートPC BIOS 1.13 Win11 Home
セキュアブートを無効にする方法は見当たりません
#66 ガーリン
より新しい BIOSがあれば、それをインストールしてみてください
セキュアブート メニューが見つからない場合 (非常に古い PC だと推測されます)、セットアップ モードには適していません。.. より新しい (またはそれほど古くない) ノートパソコンがふさわしいかもしれません
#67
たぶん5年くらい前のものだと思います
#68
Acerのコミュニティフォーラム モデルは違うものの、ほぼ同じもの ..
BIOS ver V1.11 (2022年リリース) は Acerが提供する最後の公式ファームウェア アップデートであり、Secure Bootまたは TPMキーを 2023/2024 規格に更新または更新する組み込みのメカニズムは含まれていません。
BIOS V1.11 のキーの状態 凍結証明書 Secure Boot証明書ストアは 2022レベルで固定されています。Microsoft KEK 2K CA 2023 や Windows UEFI CA 2023 などの新しい証明書がありません
公式サポート: 現在、このモデルのこれらの特定のキーを更新するための Acerからの公式チャネルや後続の BIOSアップデートはありません
TPM 2.0 はサポートされており、切り替えることができますが、標準の Insyde BIOS インターフェイスを介してユーザーが基盤となるファームウェア キーを手動で更新することはできません
既存のセキュアブートまたは TPM 設定を管理する必要がある場合は、..
Secure Boot Certificates 23h2
2026.2.26〜
ttps://www.elevenforum.com/t/secure-boot-certificates-23h2.44856/
#1
23H2
updating Secure Boot certificates for Dell G5 15 5500
2026,3.2〜
ttps://www.elevenforum.com/t/updating-secure-boot-certificates-for-dell-g5-15-5500.44952/
#1
セキュアブートは有効 BitLockerは無効 incontrol.exeを使用中
#7
レジストリ WindowsUEFICA2023Capable 0
Windows UEFI CA 2023が UEFI DBにありません
#13
この PCの最後の BIOSアップデートは 2024年11月、必要なセキュアブートキーは BIOSイメージに含まれている可能性あり
CA 2011証明書を失効させると、古いブートファイルが使用できなくなり、セキュアブートのセキュリティが強化されます。ただし、準備が整うまではこの手順を実行しないでください
Secure boot question-newbie
2026.3.13〜
ttps://www.elevenforum.com/t/secure-boot-question-newbie.45261/
#1 #2
セキュアブートキーをクリアして削除する必要がありました。セキュアブートを有効にすると、キーをクリアしたため、デスクトップが起動できない状態に戻ってしまい
2. Restore Factory Keys
ESRを搭載した W10 Home 64 ビット 19045.7058 2017 HP (Win10)
#3
1. セキュアブートモードを「無効」に変更すると、いつでも起動できるようになります
2. Load Factory Keys またはHPの同等のメッセージを選択
3. すべてが再び正常に動作するようであれば、通常のWindowsで起動します
#4
セキュアブートを再度有効にする前に、工場出荷時のキーが復元されているか、またキーが BIOSに紐付けられているかを確認するにはどうすればよいですか ?
最新のBIOSアップデートをインストールすれば、新しいキーも取得できるということですか ?
#5
いいえ。セキュアブートを無効にして起動してください。そうすれば、チェックスクリプトを実行してシステムの状態を確認できます
セキュアブートを無効にして、正常に動作しているWindowsシステムから修復する方が安全 (?)
#7
1. このスレッドからZIPファイルをダウンロードしてください
garlinのSecure Boot CA 2023更新用PowerShellスクリプト
2. PowerShellに慣れていない場合は、Check-UEFI.batスクリプトを次のように実行できます
Check-UEFI.bat -Verbose
3. スクリプトの出力をここにコピーして UEFIとWindowsの現在の状態を確認しましょう
#8 XxXxX
手順のパートB は完了までに数時間、場合によっては数日かかることがあるため、その状態を表示してください
#11 ガーリン
2017年モデルをお使いのとのことなので、他の多くのHPのビンテージモデルで見られる「問題のある」BIOSではないかと推測します
#13
2026年3月の月次更新プログラム レポート作成を容易にするための新しい PowerShell機能 追加
PowerShellから以下のコマンドを実行
foreach ($var in @('PK','KEK','DB','DBX')) { $var; (Get-SecureBootUEFI -Name $var -Decoded).Subject }
Get-SecureBootSVN (?)
#17
HPは既に、2018年以前のPCはサポート対象外と表明している
しかし、一部のPCは手動でのKEK登録、またはセットアップモードに対応している可能性あり
#18
2019年製のDell Inspironノートパソコン(第10世代Intelプロセッサ)、これもBIOSが新しい認証に対応しないシステムのリストに含まれていますが 手動でCA 2023認証をシステムに正常に適用することができました
#23
Win10には PowerShellの変更が適用されていないようです
Win10はESU(拡張サポートユニット)に含まれているため、機能変更は行われず、セキュリティ修正のみに限定されています。そのため、新しいPowerShellコマンドは利用できません
Secure boot update via Windows update
2026.3.19〜
ttps://www.elevenforum.com/t/secure-boot-update-via-windows-update.45403/
#1
今朝 KEKの更新のため再起動通知 Dell XPS8940 Win11 26200.8037
BIOSアップデートと新しい証明書は適用されていません
KEK 2K CA 2023
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Windows Production PCA 2011
レジストリ WindowsUEFICA2023Capable 1
SkuSiPolicy.p7b (VBS用) のバージョンが間違っています
#3
保留中の唯一のアクションは、SkuSiPolicy.p7bファイルを更新すること
以下のコマンドを管理者として実行してください
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x20 /f
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Updated BIOS. Boot loop freezing.
2026.3.21〜
ttps://www.elevenforum.com/t/updated-bios-boot-loop-freezing.45458/
Security Certificates and Secure Boot
Mar 22, 2026〜
ttps://www.elevenforum.com/t/security-certificates-and-secure-boot.45491/
#2
>BIOSでは「セキュアブート」が[無効]で「アクティブではありません」と表示されています また、BIOSでは「セキュアブートモード」が[標準]と表示されています
セキュアブートの強制適用は無効になっています。どのバージョンのWindowsでも、また起動可能なUSBドライブでも起動できます。
カスタムセキュアブート証明書は許可されておらず、アップデートにはOEMまたはマイクロソフトが署名したキーのみが許可されます
セキュア ブート モードが無効になっているかどうかに関わらず、BIOSに CA 2023 証明書が現在含まれていない場合、Windows はそれらの証明書を追加しようとします。PCのBIOSが1〜2 年以内のものであると仮定すると、CA 2023 証明書は既に BIOS に含まれている可能性あり BIOSの日付は 2025年2月であり、新しい証明書は既に存在している可能性高い
セキュアブートを無効にしたままにすると、次の2つのことが起こります
1. Windowsはセキュアブート モードを切り替えることができません。これは BIOSセットアップ メニューから手動でのみ可能です
2. Windowsは将来のセキュアブートへの準拠のためにシステムを更新しようとする可能性がありますが、セキュアブートが無効になっている限り、Windows が壊れる心配はありません。移行プロセスに関する追加のメッセージや警告が表示される場合があります
#5
Microsoft UEFI CA 2023(Linuxで使用)とOption ROMが欠けています。NUC PCをお使いなので、Option ROMは不要です。必要なグラフィックカードやコントローラーカードを追加できないためです
#7
心配しないでください。セキュアブートは無効になっているので、すべての証明書が完全に最新の状態でなくても問題ありません
#11
証明書の更新状況
(レジストリ)
HKLM\System\CurrentControlSet\Control\SecureBoot\Servicing
UEFICA2023Status 「未開始」「処理中」「更新済み」のいずれか
イベント ビューアー Windowsログ > システム
[操作] メニュー > [検索] を選択し、1808 を検索
更新が完了している場合は、イベント 1808 が存在し、その状況が表示される
#13
YouTube動画を見て、ここに来ました。確認したところ、セキュアブートが無効になっていました
OEM's and their Secure Boot Keys (2023) BIOS Update Policy
Mar 24, 2026〜
ttps://www.elevenforum.com/t/oems-and-their-secure-boot-keys-2023-bios-update-policy.45547/
#1
Intel第9世代MSIノートパソコン 2021年購入
最後のBIOSアップデートは2020年9月29日
(MSIは ?)Intel第7世代から第11世代 / AMD Ryzen 3000H-5000U プロセッサを搭載したモデルのサポートを正式に終了することに決定 ..
アップデートしないと Secure Boot が有効になっているシステムが起動できなくなる
OEM Intel第11世代およびそれ以前の世代に関するポリシー
ASUS デル ギガバイト HP MSI
#3
起動はしますが、証明書は更新されなくなります
#4
MSIは他のメーカーと比べて特に劣っているわけではありません。あなたは過剰に心配しすぎ..
私のノートPCは2022年頃のLenovo製
#5
#6
LenovoとHPのノートパソコンも持っていますが、2021年までは、あまり知られていないアジアのモデルや、Gericomのような倒産したEU/ドイツのブランドも含め、あらゆる有名ブランドのノートパソコンを修理/メンテナンスしてきました ですから、私は偏見を持っていません
#9
ブートキットマルウェア(Windowsが起動する前にPCの起動プロセスに潜んでいる)に対する保護が失われます。セキュアブートが無効になっている場合、ほとんどのウイルス対策ソフトはこれらを検出または阻止できません。また、古いセキュリティ証明書は2026年6月に期限切れになるため、セキュアブートが無効になっている場合、PCはWindowsブートマネージャーの正規バージョンを実行していることを「証明」できなくなります。これにより、特定のセキュリティパッチを入手できなくなる可能性があります
#10
MSI がこの製品のサポート部門を廃止したため、キーを手動で更新しましたが、..
#11 ガーリン
一部のユーザーは、セキュリティ要件を満たさない旧式のデバイスドライバを使用しているため、セキュアブートを無効にして実行する必要があります
Windowsはハードウェア制限に基づいて月次アップデートの取得をブロックしたことはなく、クリーンインストールや次期リリースへのアップグレードの実行のみをブロックします
MSは、サポート対象外のシステムを保護せずに放置するとブランドイメージが悪化するため、そのようなことは避けたいと考えています。これは公式な方針ではありませんが、マイクロソフトは20年間、この方針で運用してきました
#12
Win10 LenovoのノートPC T530シリーズとデスクトップ S30シリーズ
両方とも Mosbyを使ってアップデートし、証明書は完全に最新の状態になり、2023年の証明書でUEFIブートも問題なく動作
Win11 Lenovo P520 こちらもMosbyを使ってアップデート ..2023年の証明書でWin11 UEFIブートも問題なく動作
私は .. OEMメーカーの関与(は、無し)
#13
2024年に Intel第10世代ベースのデスクトップから AMD Ryzen 7 7700Xデスクトップにアップグレード
少なくともセキュアブートは確実にサポートされている .. 今でもシステムで Battlefield 6を実行できます
#14
Mosbyを使ってコンピュータをアップデートした際に、2011年の証明書も失効させましたか ? それとも後でMosbyを使って失効させる予定ですか ? あるいは、Windows Updateが最終的に失効させるまで待つ予定ですか ?
#15
2011年版証明書の失効は Windowsが後でやってくれるでしょう
#16
2018年以降 ASUSから BIOSのアップデートが提供されていない ASUS Z170 Pro Gaming マザーボード
3月上旬から中旬に WinUpdateによってキーが自動的に更新されました ..
#17 ガーリン
#18
KEKのアップデートは既に適用済みですが、もう4月です。マイクロソフトが5月までに最終アップデートをリリースしないとしたら、かなりギリギリのタイミングですね
#19 ガーリン
#20
HPは ..行わないでしょうね。この以前のWin10マシンについては、2020年以降一切サポートしておらず、Win11のアップデートもありません
#21
HPは非常に積極的で、このセキュアブート2023キー交換(2017年(?)から2022年までのPC対象)に関して、他のどのブランドのノートPCよりも早くアップデートを提供してくれました
Lenovo Yoga 9i(2024年版)アップデートが提供され、
Dell XPS 9700は1か月前にアップデートを受けました
#23
2018年後半に製造されたノートPC、HP EliteBook 840 G5(シリアル番号から2018年の最終週に製造と判断)
HP 2日前更新ページ、私のPCが BIOSアップデート一覧から外れていた
HP 2019年製に変更 ? ..
#24--
Secure boot violation after deleted the secure boot keys
2026.3.30〜
ttps://www.elevenforum.com/t/secure-boot-violation-after-deleted-the-secure-boot-keys.45692/
#1
BIOSでセキュアブートキーを削除し、デフォルトのセキュアブートキーをインストールした後、再起動時に赤い「セキュアブート違反」ウィンドウが表示されます
Win11を正しく起動するには、「UEFI Windows」ではなく「その他のOS」を選択する必要があります
UEFIを有効にした状態で Windowsを再び動作させるための解決策はありますか ?
マザーボードは Asus PRIME H310M-Aで、BIOSは2022年の最新アップデートが適用されています
#2
証明書が正しく設定されるまで、BIOS設定でセキュアブートを無効にしてください
#4 ガーリン
「UEFI Windows」は、工場出荷時のキー(主にOEMのPK)を使用していることを示します。工場出荷時のキーで署名された証明書(前回のBIOSアップデートが2021年7月なのでCA 2011)を追加できます
「その他のOS」は、カスタムキー(Linuxやその他の自己署名PKなど)を意味します
セキュアブートモードを無効にして、Windowsから適切なチェックスクリプトを実行して、何が起こっているのかを確認する必要があります。現在の証明書設定に対して、現在のブートマネージャが正しくない可能性があります
#5
「その他のOS」は、ASUSが「セキュアブートを無効にする」という意味で使っている表現です。私のASUS製マザーボードも同様の動作をします
#6
Asusは、他のメーカーとは異なる方法でセキュアブートの設定を扱っています
Asus PRIME H310M-Aマザーボード ..
#7 ガーリン
この画像では、プラットフォーム キー (PK) の状態が「ロード済み」と表示されています。これは工場出荷時の PKを意味していると思われます。KEKが機能するには、同じ PKで署名されている必要があります。KEK CA 2023 (ファームウェアは 2021) の OEMサポートがないため、.DER ファイルを介してキー管理メニューからのみ KEK CA 2023を追加できます ..
1.工場出荷時のデフォルトにリセットします
2.セキュアブートを無効にします
3. ..
#8
その他の OS モード セキュアブート 無効
#9
まずセキュアブートチェックスクリプトのいずれかを実行して、現在の設定を確認してください
0x5944 は「うまくいくことを願う」という楽観的なモードです。セキュアブートを無効にする必要があった場合は、何らかの問題が発生しています
#11
BIOSで「UEFI Windows」モードに戻しても、赤いエラーメッセージは依然として表示されます
しかし、イベントビューアーには証明書のインストールが保留中であり、適用するには「UEFI Windows」モードに戻す必要があると表示
とりあえず、「Other OS」モードに戻したところ、Windows 11は問題なく起動しました
Secure Boot Allowed Signature Database (DB) Update
2026.4.8〜
ttps://www.elevenforum.com/t/secure-boot-allowed-signature-database-db-update.45951/
#1
MSから Windowsアップデート
Let's install Windows 11 on incompatible hardware
Jun 24, 2021〜2026.1.31〜
ttps://www.elevenforum.com/t/lets-install-windows-11-on-incompatible-hardware.133/page-153
3063
セキュアブート証明書の有効期限が間もなく切れますが、セキュアブートをサポートしているもののBIOSアップデートを受け取れない古いコンピューターにはどのような影響があるのでしょうか?
3064 ガーリン
セキュアブートはBIOSメニューからのみ変更できるため、Microsoftはリモートで有効化または無効化できません。MSは ..PCが安全ではないことを示す ..警告を導入する可能性
セキュアブート非対応のPCでも..
3067 ガーリン
セキュアブートが存在するのは、OSベースのセキュリティ対策だけでは不十分だから
3069
X99システムのプラットフォームキーを手動で更新する方法はいくつかあります。私は現在、Windows OEM PKを使用して問題なく動作 BIOSアップデートは行われません
まだ行っていないのは、2011年の証明書の失効
信頼しないでください AMI テスト PK
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
bootmgfw.efi バージョン 26100.30227
レジストリ WindowsUEFICA2023Capable = 2
3070
Production PCA 2011証明書の禁止 これにより、古いWindowsブートローダーの既知の脆弱性を利用して署名されたルートキットコードはすべてブロック
Windows 8からWindows 10 21H2までのすべての古いWindowsリリース、そして古いLinuxバージョンが動作しなくなる
3072
署名証明書は、次の場合に限り有効です。
1. 証明書をセキュリティで保護された証明書ストア (Windows) に追加したか、BIOS (UEFI) に追加した場合
2. 証明書が失効リストに追加されて失効していません。Windowsでは、CRL は週に1回更新される失効リストです。UEFI の場合は DBXリストです
..
3082
3つのスクリプト
3083
CA 2023への移行は複数のステップからなるプロセス 大きく分けて2つの部分
1. 既存のCA 2011と並行して、CA 2023証明書を追加 新旧両方のWindowsリリース、および新旧両方のWindowsブートファイルを起動できます
2. CA 2011証明書を禁止します。パッチが適用されていない古いWindowsを起動することはできず、古いWindowsブートファイルも使用できません
PCの古さ(CPUモデルではなくBIOSの古さ)によっては、..
セキュアブートモードを無効に ..
KB5007651 update
Apr 17, 2025〜2026.4.9〜
ttps://www.elevenforum.com/t/kb5007651-update.35288/page-3
#41 KB5007651が復活
#42 ガーリン
#45
驚いたのは、ダウンロードとインストール完了までの速さです。すべて完了するのにたった5秒ほどしかかかりませんでした。明らかに小さなアップデートですが、重要なアップデートです
#48
今朝、2台のIntel製マシンにはKB5007651が適用されました
#50
ARM64版のダウンロードリンク
#57--
Update bios firmware gigabyte PRIME H610M-A WIFI D4? → Asus PRIME H610M-A WIFI D4 ?
2026.4.11〜
ttps://www.elevenforum.com/t/update-bios-firmware-gigabyte-prime-h610m-a-wifi-d4.46042/
#1
現在使用しているBIOSは2024年のもの
最新版 ver 3810 2025/12/02
簡単で最適なアップデート方法を教えてください
#2
PRIME は ASUSでは ?
Gigabyte H610M GAMING WIFI DDR4 (Rev. 1.0) の最新BIOSは 2B6F ?
#3
PRIME H610M-A WIFI D4は ASUS製のマザーボード
ASUS製のマザーボードであれば、ダウンロード可能なマニュアル
に記載されている EZ Flashの手順に従ってください
アップデートに失敗しマザーボードが故障する可能性はごくわずかですが、ASUSはBIOS復旧方法を提供しています
Secure Boot Certificate
2026.4.16〜
ttps://www.elevenforum.com/t/secure-boot-certificate.46156/
#1
KB5083769 26100.8246
セキュアブートは有効になっていますが、お使いのデバイスは古いブート信頼構成を使用しているため、更新する必要があります
#2 ガーリン
PCが古い機種の場合、必要な証明書はPCのOEMから提供されていません
ノートPCの正確なモデル名は ?
#3 #4
Dell Inspiron 3793(2019年 ?)です BIOSアップデートは利用できません
#8
BIOS に入って.. PowerShell管理者モードで Garlinの UEFI-CA2023.ps1 スクリプトを実行
Windows Hello を使用している場合は、セットアップ モードに入ろうとしないでください。PIN が削除されてしまいます。このフォーラムで Windows Helloを検索してください
#9 ガーリン
Secure Boot CA 2023 に正常にアップデートするには ..OEM (Dell) が、次の2つの形式のいずれかで特定の署名付き証明書を提供する必要があります
1. 最も簡単で最適な方法は、BIOSアップデートで CA 2023 証明書を追加することです
2. それができない場合は、同じ証明書のコピーをソフトウェア形式で MSに提供し、Windowsがそれを配布できるようにします
この証明書を入手していないPCには、2つのオプションが..
#11 ガーリン
>#10 セキュリティブートが有効になり、必要な証明書の更新がすべて適用されました。これ以上の証明書の変更は必要ありません。
これで完了です。教訓としては、常にベンダーのサポートサイトをチェックして、より新しいBIOSアップデートがないか確認することです
#仕上げはまだ !
#14 ガーリン
Windowsセキュリティセンター(通常はDefenderを確認する場所)を開き、デバイスのセキュリティ
これ以上の更新はありません が推奨される回答
(Win11 設定→ プライバシーとセキュリティ→ Windowsセキュリティ→ デバイス セキュリティ→ セキュアブート )
#15
>#14
私はDefenderを使っていませんが、おっしゃったところを確認したら緑色のチェックマークが表示されました
#17 ガーリン
#18 ガーリン
..
PK プラットフォームキー
Microsoft Windows Production PCA 2011 2026年10月
本ページおよび本Wikiの内容は無保証です。
Secure Boot Key update
2026.1.31〜
#1
MiniPC セキュアブート許可キー交換キー(KEK)の更新
(Dell Inspiron 3280 Win11 Homeでは、このアップデートはまだ)
Other update
Secure Boot Allowed Key Exchange Key(KEK) Update
#10
全てのマシンを2023年の証明書に更新し、2011年の証明書は失効させ、セキュアブートも使用
#13
2台のPCでこの更新プログラムを受け取りました。しかし、イベントビューアーには依然としてイベント1801が表示されています
更新された証明書は利用可能ですが、まだ適用されていません
Update "Secure Boot Allowed Key Exchange Key (KEK)" - Causing Problems
Feb 10, 2026〜
#1
2026年2月9日にインストールしたセキュアブート許可キー交換キー(KEK)アップデートが、ブラウザに問題を引き起こしているようです
Firefoxで職場アカウントにログインしようとすると、..
#4
セキュアブートキーをデフォルトにリセットするのはお勧めしません。セキュアブートを無効にしないとシステムが起動しなくなる可能性があります
#5
キャッシュをクリアしてもうまくいきませんでした。Firefoxをアンインストールして再インストールしたら、今は動作するようになりました
#7
このKEKアップデートは、セキュアブート用のBIOSファームウェアアップデートがインストールされていない、または取得されていない古いPCでの移行をスムーズにするためのもの
KEKアップデート 古いCA 2011証明書をキャンセルする前に、新しいセキュアブートCA 2023証明書をBIOSにインストールできるようにするための前提条件
現段階では、KEK CA 2023の追加はWindowsやセキュアブートモードでの起動に影響しません。新しいKEKは、BIOSに既にインストールされている既存のKEKと並行して動作
#8
レジストリ WindowsUEFICA2023Capable
セキュアブート許可キー交換キー(KEK)更新 インストール後、値が 1に
#10
(スクリプト エラー CMD エラー ? )
#11
PowerShell はコマンドラインでパス(フォルダ)を指定しない限りスクリプトを実行しません
CMD ではパス(フォルダ)の指定は強制されません
スクリプトが現在のフォルダ内にある場合は、スクリプトのファイル名の前に「.\」を付ける必要があります
または、完全なパス名を使用します
Can Secure boot be enabled without TPM 2.0?
2026.2.12〜
ttps://www.elevenforum.com/t/can-secure-boot-be-enabled-without-tpm-2-0.44516/
Secure Boot Update Issue for 2014 Dell Laptop
Feb 13, 2026〜 ttps://www.elevenforum.com/t/secure-boot-update-issue-for-2014-dell-laptop.44563/
#1
Windows UEFI CA 2023
Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Windows Production PCA 2011
Microsoft Corporation KEK CA 2011
レジストリ: WindowsUEFICA2023Capable = 2
Windows BootMgr SVN 7.0
#2
KEK CA 2023が登録されていません(おそらく「サポート対象外」のレガシー PC ..
KEK CA 2023がない場合、CA 2023 証明書はどれも有効とみなされません
#3
セキュアブートは現在オフ
#6
Dell Inspiron 15 7537 おそらくいじるには古すぎるでしょう
#7 Copilot このモデルは、.. 新しい Microsoft KEK 2023 証明書をインポートまたは登録することはできません キーを削除すると、..一時的にブートが失敗するリスクが セキュア ブートをオフのままに
#8 USBメモリを1本だけにするという回避策もあるかもしれません
Is My Certificate Situation Secure ?
2026.2.14〜
ttps://www.elevenforum.com/t/is-my-certificate-situation-secure.44548/
#2
ASUSのウェブサイトで、お使いのマザーボードの新しいBIOSアップデートがあるかどうか
確認しましたか?
Secure boot certificate 2023 valid but event present
Feb 15, 2026〜
ttps://www.elevenforum.com/t/secure-boot-certificate-2023-valid-but-event-present.44595/
#1
BIOS更新(日付 01/15/2026) Win11 アクティブ DBとデフォルト DBの証明書の状態を確認するために2つのコマンドを実行すると、両方とも True
イベント 1801: TPM-WMI
BIOS最新で証明書も有効な他の2台のPCでも同じ問題が発生
#4
少し前に同じイベントログが表示されました(約30回)。
セキュアブートキーをリセットしたら、もう表示されなくなりました。自分のマザーボードでやり方を調べる必要がありましたが、意外と簡単でした
ほとんどの場合、特別な対応は必要無し MSがデバイスを「高信頼性」と分類するのに十分なデータを取得すると、アップデートは自動的に適用されます。ただし、手動で解決したい場合は、以下の手順..
#9
batファイルを実行すると、次のような結果が返されます
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
Registry: UEFICA2023Status = Updated
Registry: WindowsUEFICA2023Capable = 2
SUCCESS: NO UPDATES ARE REQUIRED.
#10
同じ問題が発生している方のために、セキュアブートキーを削除し、BIOSでデフォルトのセキュアブートキーをインストールしました
Windowsを再起動すると、エラー1801がイベント1808に変わり、2023証明書が正常にインストールされたことが確認されました
#11
ROM UEFI CA 2023を入手するには何かする必要がありますか?最新のBIOSを入手しました。(ASRock B760 PRO RS)
#15
\Windows\System32\SecureBootUpdates フォルダにはオプションROM 証明書のコピーがありますが、ASRockは前回の BIOSアップデートにこれを含めませんでした。MSは OEMにオプションROM の組み込みを強制していませんが、他の多くのベンダーはそうするでしょう これは、署名済みのファームウェアを持つ一部のGPU にとって便利です
#16
2023 OROMがないとカードに問題が出る可能性があると聞きました。RTX 50シリーズを持っていて、購入後にファームウェアをアップデートしました
#12 ガーリン
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x800 /f
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
#14 23h2 (23H2)
#18
0x2 -> DBXUpdate.bin を追加します (EFI ハッシュ署名を DBX に追加し、W8 ブート マネージャーを禁止します)
0x80 -> DBXUpdate2024.bin を追加します (DBX に追加することで PCA を取り消します。SVN は 2.0 に設定されます)
0x200 -> DBXUpdateSVN.bin を追加します (SVN を 7.0 に上げます)
cjee21 のスクリプトで気に入らないのは、ほとんどの場合無関係な他の2つの SVN 番号(CD と WDS)も報告してしまうことです
SVN を適用することは一種の失効であるためです。SVNを適用すると、ブートマネージャに最低バージョンが強制されます
本来の順序は 0x2、次に 0x80、最後に 0x200 です。あるいは、0x282 を使ってこれら3つのアクションすべてを実行するようにタスクに指示する
SVN は一部のブート可能なUSBドライブをブロック ..これらのドライブは SVN 7.0 に準拠していないためです
#19 SVNはいつ更新されますか?
#21
BIOSを更新して2023年の証明書をデフォルトとして取得し、MOSBYを実行して固有のPKを作成し、3つのDB証明書をすべて取得して、Gigabyteの全く不要なDB証明書を削除しました。DBXも最新のSVNに更新されたと思いますが、2011年のPCA証明書をDBXに取り込ませないようにしたため、失効してしまいました
(Mosby)
#23
EFIに最新のブートマネージャーがインストールされていれば、PCが壊れることはありません
ブートファイルとDBX(またはDB)エントリの組み合わせが間違っていると、セキュアブートモードでのシステムの起動に失敗する可能性があります
起動可能なUSBドライブを新しいブートマネージャーファイルに更新
最も難しいのは、PC用の署名済みKEK CA 2023を取得することです。この部分にMosbyを使用していたなら、Mosbyは役に立ったと言えるでしょう
最新の Monthly Updateセットがインストールされていれば、あとは簡単です 更新ファイルは Monthlyにバンドルされている
#25 Gigabyteのキー
#26
イベントログでイベントID 1833のエントリを探してください。これは、ブートマネージャーの更新が正常に適用されたことを示します
#31
スクリプトの存在は知っていました!ただ、どこで簡単に見つけられるのか、そしてそれが常に正しく動作するスクリプトなのか確認できない
一つ疑問があります。このスクリプトは実際にブートファイルの署名チェーンを調べて、WindowsがCA 2023ブートマネージャーから起動しているかどうか、あるいは同様に更新されていることを確証できる別の方法から起動しているかどうかを確認しているのでしょうか?
(garlin-cant-code/ SecureBoot-CA-2023-Updates
ttps://github.com/garlin-cant-code/SecureBoot-CA-2023-Updates/
< > Code Download ZIP )
( .BATラッパースクリプトのセットを用意しました。これにより、実行ポリシーを変更せずにスクリプトを実行できます(セキュリティ上の懸念があるため)
Check-UEFI.bat
Check-UEFI.bat -audit
Check-DBX.bat
Upgrade-UEFI.bat
Upgrade-UEFI.bat -revoke )
#34
「Option ROM 2023 CA」について言及しています。cjee21さんのスクリプトで追加はできますが、それで十分でしょうか?
#35
必要なハードウェアをお持ちの方はごくわずかで、おそらくほとんどのメーカーが2023年のセキュアブートキーのBIOSアップデートにそれを含めていない (?)
#37
このスクリプトは、以下の点を確認します
1. 最新のSecureBootUpdatesファイルを取得するために、Windowsが2025年10月以降に更新されているかどうか
2. PKが「DO NOT TRUST」または「TEST」に該当しない場合は、注意を促すフラグが立てられます
3. PKのサムプリントをMS GitHubと照合し、KEK JSONリストとの一致を探します。一致した場合は、サポートされている可能性が高いです。一致しない場合は、手動キー登録のフラグを立てます
4. KEK CA 2023、Windows UEFI CA 2023、MS UEFI CA 2023、およびOption ROMの存在を確認します
5. DBXにPCA 2011が存在するかどうかを確認します
6. DBXUpdate.binのEFI証明書ハッシュをDBX変数と比較します。このスクリプトはカウントを想定せず、Windows更新ファイルの内容をDBXと比較します。更新スクリプトには、GitHub からこのファイルの最新バージョンをダウンロードするための -Latest オプションがあります。
7. DBXUpdateSVN.bin の BootMgr SVN 番号を DBX 変数と比較します。更新スクリプトには、GitHub からこのファイルの最新バージョンをダウンロードするための -Latest オプションがあります。重要なのは BootMgrのSVN のみで、CDと WDSのSVN は無関係です
8. EFI パーティションにある bootmgfw.efi ファイルを比較します。ファイルの署名証明書を読み取り、証明書チェーン (適切な KEK -> 適切な DB -> ブート マネージャー証明書、かつセキュア ブートが有効) をチェックして、現在のブート マネージャーが許可されているかどうかを判断します
9. 必要に応じて、リムーバブル メディア上のブート ファイルを確認します。boot.wim/install/wim のイメージ内に EFI_EX フォルダーがあります
10.オンラインで見つけた多くの更新スクリプトの問題点:
アクションの制御にAvailableUpdatesを使用しています。これは機能しますが、セキュアブートタスクのすべてのアクションが即座に実行されるわけではありません。一部のアクションは適用までに遅延が発生します。私の更新スクリプトはすべてのサニティチェックを実行しますが、証明書の更新はPowerShell経由で即座に適用し、必要なファイルコピーを実行します
ほとんどのスクリプトはサニティチェックを行わず、AvailableUpdatesのビットマスクの組み合わせを単に投げて、タスクが適切に動作することを期待するだけです。タスクは正しく動作しますが、タスクからのフィードバックはありません。エラーメッセージや成功メッセージを見つけるには、イベントログを探す必要があります
#39 ガーリン
率直な意見ですが、cjee21さんのスクリプトは技術的には正確ですが、情報の提示方法がひどい
スクリプトがユーザーに代わって賢明な結論を導き出せるのに、..
cjee21さんのスクリプト 確かに真実を報告しますが、ユーザーの半数は出力を読んで間違った結論を導き出します より論理的な方法で提示されている私のスクリプトを使用することを提案することしかできません
#40
確かに、表示が少し分かりにくいですね… でも、このスクリプトには気に入っている点が2つ
1つ目は、データベースにロードされているすべての証明書、つまり(私見では)そこに存在すべきではないMS以外の証明書も含めて、すべて教えてくれること あなたのスクリプトもそうしているようですが、私が使った中ではこれが初めてでした
もう1つは、UEFI BIOS画面で「デフォルトに戻す」を切り替えた場合にロードされる「デフォルト」の内容を報告してくれること..
#41
今は SB を再度無効にしましたが、再度有効にすればすべてが引き続き機能するという知識があれば安心できると思います..
#42 ガーリン
私のスクリプトのデフォルト表示では、カスタムベンダー証明書は非表示
Verboseモードではインストールされているすべての証明書が表示されますが、UEFI証明書の一覧に「操作可能な」コメントを追加して情報過多にしたくない
デフォルトの問題は、諸刃の剣 工場出荷時に一部の証明書がないからといって UEFIを更新できないわけではありません
回避策は 2つ ..
#44
cjee21さんのスクリプトは、対応PC(互換性のあるBIOS)をお持ちであれば問題なく動作します。しかし、BIOSに問題がある場合は、原因究明やアップデートの手助けにはなりません
#47
garlin's PowerShell scripts 証明書の更新プロセスを進めるのに役立つ優れたパッケージ
これは長い間利用できなかったこと
#48 ガーリン
スクリプトのこのバージョンを試してみてください。これは、(NONE) と報告された Gigabyte PK を回避します
#55 期待通りに動作しました。すべてのデフォルト証明書と有効な証明書が見つかりました!
起動サイクル中にBitLockerプロテクターを無効にするコマンドがリストに含まれているのは良いですね
#52 ガーリン
0x282には0x200が含まれます(これは様々なフラグの合計です)。しかし、前述したように、このタスクはしばしば遅延することがあります。場合によっては、他の設定が正しく行われていることを確認するために再起動を待ってから処理を進めることもあります
#54
管理者権限でPowerShellを開き、0x200コマンドと2番目のコマンド(スケジュールされたタスク)を実行 再起動せずに、SVNアップデートがすぐに適用
431個のdbxファイルなど、その他の部分は変更されていません
コマンド実行後にイベントビューアーを開くと、SVNが適用されたことを示すtpm wmiエントリが表示されます
#56 SBは必要な時に動作するので、特に心配はしていません
#57 このコマンドが登場したのは今回が初めて
#58 SBは再び無効に
#59
問題を理解しようとせずにスクリプトを使うことにこだわるのか、いまだに理解できません
私の場合は BIOSを更新し、Secure Bootキーを削除し、デフォルトのSecure Bootキーを BIOSにインストールしました
Windowsが再起動すると、エラー1801はイベント1808に変わり、2023年の証明書が実際にインストールされたことが確認されました
#60
..メーカーが通常は明らかではない理由でシステムを放棄した、あるいは放棄したのではないかと疑われるシステムを持っている場合、それが常に可能とは限りません
最初の問題は、そもそも問題があるかどうかを理解すること BIOSに 2023 セキュア ブート キーがすべてインストールされているかどうかを確認できるスクリプトあり
キーが不足している場合 (OpROM と KEK が不足していること よくあり) .. それらをどのように入手するか スクリプトはそこで役立ち、提示された解決策を満たす他のスクリプトを示し 問題が特定され、理解され (おそらく大まかに)、解決
MSは、できるだけ多くのシステムを含め、急いで解決策を講じて何百万ものシステムを壊さないようにするため、非常にゆっくりと着実に進めています 失効フェーズを延期し続けています
#61
誰もがOEMから完全なサポート付きのBIOSアップデートを受けられる幸運に恵まれているわけではありません
MSは、セキュアブート証明書を一目で確認できる Windowsセキュリティセンターのアップデートを後日提供すると約束 しています。それまでは、可視性の欠如がサードパーティ製スクリプトが必要となる理由です
#63 ガーリン
>#62
一部の OEMは、オプションの MS UEFI CA 2023 (Linux 用) とオプション ROM (署名付きファームウェアを搭載した一部のグラフィック カード用) をスキップする場合があります。これら 2つが欠落している場合は追加できます
SVNがないということは、CA 2011 (現時点ではオプション) を失効していないか、SVN 7.0 アップデートを適用していないことを意味します
#64
更新:0x0282でスクリプトを実行し、セキュアブートを有効にしたところ、すべて正常に戻りました
#65
AcerノートPC BIOS 1.13 Win11 Home
セキュアブートを無効にする方法は見当たりません
#66 ガーリン
より新しい BIOSがあれば、それをインストールしてみてください
セキュアブート メニューが見つからない場合 (非常に古い PC だと推測されます)、セットアップ モードには適していません。.. より新しい (またはそれほど古くない) ノートパソコンがふさわしいかもしれません
#67
たぶん5年くらい前のものだと思います
#68
Acerのコミュニティフォーラム モデルは違うものの、ほぼ同じもの ..
BIOS ver V1.11 (2022年リリース) は Acerが提供する最後の公式ファームウェア アップデートであり、Secure Bootまたは TPMキーを 2023/2024 規格に更新または更新する組み込みのメカニズムは含まれていません。
BIOS V1.11 のキーの状態 凍結証明書 Secure Boot証明書ストアは 2022レベルで固定されています。Microsoft KEK 2K CA 2023 や Windows UEFI CA 2023 などの新しい証明書がありません
公式サポート: 現在、このモデルのこれらの特定のキーを更新するための Acerからの公式チャネルや後続の BIOSアップデートはありません
TPM 2.0 はサポートされており、切り替えることができますが、標準の Insyde BIOS インターフェイスを介してユーザーが基盤となるファームウェア キーを手動で更新することはできません
既存のセキュアブートまたは TPM 設定を管理する必要がある場合は、..
Secure Boot Certificates 23h2
2026.2.26〜
ttps://www.elevenforum.com/t/secure-boot-certificates-23h2.44856/
#1
23H2
updating Secure Boot certificates for Dell G5 15 5500
2026,3.2〜
ttps://www.elevenforum.com/t/updating-secure-boot-certificates-for-dell-g5-15-5500.44952/
#1
セキュアブートは有効 BitLockerは無効 incontrol.exeを使用中
#7
レジストリ WindowsUEFICA2023Capable 0
Windows UEFI CA 2023が UEFI DBにありません
#13
この PCの最後の BIOSアップデートは 2024年11月、必要なセキュアブートキーは BIOSイメージに含まれている可能性あり
CA 2011証明書を失効させると、古いブートファイルが使用できなくなり、セキュアブートのセキュリティが強化されます。ただし、準備が整うまではこの手順を実行しないでください
Secure boot question-newbie
2026.3.13〜
ttps://www.elevenforum.com/t/secure-boot-question-newbie.45261/
#1 #2
セキュアブートキーをクリアして削除する必要がありました。セキュアブートを有効にすると、キーをクリアしたため、デスクトップが起動できない状態に戻ってしまい
2. Restore Factory Keys
ESRを搭載した W10 Home 64 ビット 19045.7058 2017 HP (Win10)
#3
1. セキュアブートモードを「無効」に変更すると、いつでも起動できるようになります
2. Load Factory Keys またはHPの同等のメッセージを選択
3. すべてが再び正常に動作するようであれば、通常のWindowsで起動します
#4
セキュアブートを再度有効にする前に、工場出荷時のキーが復元されているか、またキーが BIOSに紐付けられているかを確認するにはどうすればよいですか ?
最新のBIOSアップデートをインストールすれば、新しいキーも取得できるということですか ?
#5
いいえ。セキュアブートを無効にして起動してください。そうすれば、チェックスクリプトを実行してシステムの状態を確認できます
セキュアブートを無効にして、正常に動作しているWindowsシステムから修復する方が安全 (?)
#7
1. このスレッドからZIPファイルをダウンロードしてください
garlinのSecure Boot CA 2023更新用PowerShellスクリプト
2. PowerShellに慣れていない場合は、Check-UEFI.batスクリプトを次のように実行できます
Check-UEFI.bat -Verbose
3. スクリプトの出力をここにコピーして UEFIとWindowsの現在の状態を確認しましょう
#8 XxXxX
手順のパートB は完了までに数時間、場合によっては数日かかることがあるため、その状態を表示してください
#11 ガーリン
2017年モデルをお使いのとのことなので、他の多くのHPのビンテージモデルで見られる「問題のある」BIOSではないかと推測します
#13
2026年3月の月次更新プログラム レポート作成を容易にするための新しい PowerShell機能 追加
PowerShellから以下のコマンドを実行
foreach ($var in @('PK','KEK','DB','DBX')) { $var; (Get-SecureBootUEFI -Name $var -Decoded).Subject }
Get-SecureBootSVN (?)
#17
HPは既に、2018年以前のPCはサポート対象外と表明している
しかし、一部のPCは手動でのKEK登録、またはセットアップモードに対応している可能性あり
#18
2019年製のDell Inspironノートパソコン(第10世代Intelプロセッサ)、これもBIOSが新しい認証に対応しないシステムのリストに含まれていますが 手動でCA 2023認証をシステムに正常に適用することができました
#23
Win10には PowerShellの変更が適用されていないようです
Win10はESU(拡張サポートユニット)に含まれているため、機能変更は行われず、セキュリティ修正のみに限定されています。そのため、新しいPowerShellコマンドは利用できません
Secure boot update via Windows update
2026.3.19〜
ttps://www.elevenforum.com/t/secure-boot-update-via-windows-update.45403/
#1
今朝 KEKの更新のため再起動通知 Dell XPS8940 Win11 26200.8037
BIOSアップデートと新しい証明書は適用されていません
KEK 2K CA 2023
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Windows Production PCA 2011
レジストリ WindowsUEFICA2023Capable 1
SkuSiPolicy.p7b (VBS用) のバージョンが間違っています
#3
保留中の唯一のアクションは、SkuSiPolicy.p7bファイルを更新すること
以下のコマンドを管理者として実行してください
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x20 /f
powershell Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Updated BIOS. Boot loop freezing.
2026.3.21〜
ttps://www.elevenforum.com/t/updated-bios-boot-loop-freezing.45458/
Security Certificates and Secure Boot
Mar 22, 2026〜
ttps://www.elevenforum.com/t/security-certificates-and-secure-boot.45491/
#2
>BIOSでは「セキュアブート」が[無効]で「アクティブではありません」と表示されています また、BIOSでは「セキュアブートモード」が[標準]と表示されています
セキュアブートの強制適用は無効になっています。どのバージョンのWindowsでも、また起動可能なUSBドライブでも起動できます。
カスタムセキュアブート証明書は許可されておらず、アップデートにはOEMまたはマイクロソフトが署名したキーのみが許可されます
セキュア ブート モードが無効になっているかどうかに関わらず、BIOSに CA 2023 証明書が現在含まれていない場合、Windows はそれらの証明書を追加しようとします。PCのBIOSが1〜2 年以内のものであると仮定すると、CA 2023 証明書は既に BIOS に含まれている可能性あり BIOSの日付は 2025年2月であり、新しい証明書は既に存在している可能性高い
セキュアブートを無効にしたままにすると、次の2つのことが起こります
1. Windowsはセキュアブート モードを切り替えることができません。これは BIOSセットアップ メニューから手動でのみ可能です
2. Windowsは将来のセキュアブートへの準拠のためにシステムを更新しようとする可能性がありますが、セキュアブートが無効になっている限り、Windows が壊れる心配はありません。移行プロセスに関する追加のメッセージや警告が表示される場合があります
#5
Microsoft UEFI CA 2023(Linuxで使用)とOption ROMが欠けています。NUC PCをお使いなので、Option ROMは不要です。必要なグラフィックカードやコントローラーカードを追加できないためです
#7
心配しないでください。セキュアブートは無効になっているので、すべての証明書が完全に最新の状態でなくても問題ありません
#11
証明書の更新状況
(レジストリ)
HKLM\System\CurrentControlSet\Control\SecureBoot\Servicing
UEFICA2023Status 「未開始」「処理中」「更新済み」のいずれか
イベント ビューアー Windowsログ > システム
[操作] メニュー > [検索] を選択し、1808 を検索
更新が完了している場合は、イベント 1808 が存在し、その状況が表示される
#13
YouTube動画を見て、ここに来ました。確認したところ、セキュアブートが無効になっていました
OEM's and their Secure Boot Keys (2023) BIOS Update Policy
Mar 24, 2026〜
ttps://www.elevenforum.com/t/oems-and-their-secure-boot-keys-2023-bios-update-policy.45547/
#1
Intel第9世代MSIノートパソコン 2021年購入
最後のBIOSアップデートは2020年9月29日
(MSIは ?)Intel第7世代から第11世代 / AMD Ryzen 3000H-5000U プロセッサを搭載したモデルのサポートを正式に終了することに決定 ..
アップデートしないと Secure Boot が有効になっているシステムが起動できなくなる
OEM Intel第11世代およびそれ以前の世代に関するポリシー
ASUS デル ギガバイト HP MSI
#3
起動はしますが、証明書は更新されなくなります
#4
MSIは他のメーカーと比べて特に劣っているわけではありません。あなたは過剰に心配しすぎ..
私のノートPCは2022年頃のLenovo製
#5
#6
LenovoとHPのノートパソコンも持っていますが、2021年までは、あまり知られていないアジアのモデルや、Gericomのような倒産したEU/ドイツのブランドも含め、あらゆる有名ブランドのノートパソコンを修理/メンテナンスしてきました ですから、私は偏見を持っていません
#9
ブートキットマルウェア(Windowsが起動する前にPCの起動プロセスに潜んでいる)に対する保護が失われます。セキュアブートが無効になっている場合、ほとんどのウイルス対策ソフトはこれらを検出または阻止できません。また、古いセキュリティ証明書は2026年6月に期限切れになるため、セキュアブートが無効になっている場合、PCはWindowsブートマネージャーの正規バージョンを実行していることを「証明」できなくなります。これにより、特定のセキュリティパッチを入手できなくなる可能性があります
#10
MSI がこの製品のサポート部門を廃止したため、キーを手動で更新しましたが、..
#11 ガーリン
一部のユーザーは、セキュリティ要件を満たさない旧式のデバイスドライバを使用しているため、セキュアブートを無効にして実行する必要があります
Windowsはハードウェア制限に基づいて月次アップデートの取得をブロックしたことはなく、クリーンインストールや次期リリースへのアップグレードの実行のみをブロックします
MSは、サポート対象外のシステムを保護せずに放置するとブランドイメージが悪化するため、そのようなことは避けたいと考えています。これは公式な方針ではありませんが、マイクロソフトは20年間、この方針で運用してきました
#12
Win10 LenovoのノートPC T530シリーズとデスクトップ S30シリーズ
両方とも Mosbyを使ってアップデートし、証明書は完全に最新の状態になり、2023年の証明書でUEFIブートも問題なく動作
Win11 Lenovo P520 こちらもMosbyを使ってアップデート ..2023年の証明書でWin11 UEFIブートも問題なく動作
私は .. OEMメーカーの関与(は、無し)
#13
2024年に Intel第10世代ベースのデスクトップから AMD Ryzen 7 7700Xデスクトップにアップグレード
少なくともセキュアブートは確実にサポートされている .. 今でもシステムで Battlefield 6を実行できます
#14
Mosbyを使ってコンピュータをアップデートした際に、2011年の証明書も失効させましたか ? それとも後でMosbyを使って失効させる予定ですか ? あるいは、Windows Updateが最終的に失効させるまで待つ予定ですか ?
#15
2011年版証明書の失効は Windowsが後でやってくれるでしょう
#16
2018年以降 ASUSから BIOSのアップデートが提供されていない ASUS Z170 Pro Gaming マザーボード
3月上旬から中旬に WinUpdateによってキーが自動的に更新されました ..
#17 ガーリン
#18
KEKのアップデートは既に適用済みですが、もう4月です。マイクロソフトが5月までに最終アップデートをリリースしないとしたら、かなりギリギリのタイミングですね
#19 ガーリン
#20
HPは ..行わないでしょうね。この以前のWin10マシンについては、2020年以降一切サポートしておらず、Win11のアップデートもありません
#21
HPは非常に積極的で、このセキュアブート2023キー交換(2017年(?)から2022年までのPC対象)に関して、他のどのブランドのノートPCよりも早くアップデートを提供してくれました
Lenovo Yoga 9i(2024年版)アップデートが提供され、
Dell XPS 9700は1か月前にアップデートを受けました
#23
2018年後半に製造されたノートPC、HP EliteBook 840 G5(シリアル番号から2018年の最終週に製造と判断)
HP 2日前更新ページ、私のPCが BIOSアップデート一覧から外れていた
HP 2019年製に変更 ? ..
#24--
Secure boot violation after deleted the secure boot keys
2026.3.30〜
ttps://www.elevenforum.com/t/secure-boot-violation-after-deleted-the-secure-boot-keys.45692/
#1
BIOSでセキュアブートキーを削除し、デフォルトのセキュアブートキーをインストールした後、再起動時に赤い「セキュアブート違反」ウィンドウが表示されます
Win11を正しく起動するには、「UEFI Windows」ではなく「その他のOS」を選択する必要があります
UEFIを有効にした状態で Windowsを再び動作させるための解決策はありますか ?
マザーボードは Asus PRIME H310M-Aで、BIOSは2022年の最新アップデートが適用されています
#2
証明書が正しく設定されるまで、BIOS設定でセキュアブートを無効にしてください
#4 ガーリン
「UEFI Windows」は、工場出荷時のキー(主にOEMのPK)を使用していることを示します。工場出荷時のキーで署名された証明書(前回のBIOSアップデートが2021年7月なのでCA 2011)を追加できます
「その他のOS」は、カスタムキー(Linuxやその他の自己署名PKなど)を意味します
セキュアブートモードを無効にして、Windowsから適切なチェックスクリプトを実行して、何が起こっているのかを確認する必要があります。現在の証明書設定に対して、現在のブートマネージャが正しくない可能性があります
#5
「その他のOS」は、ASUSが「セキュアブートを無効にする」という意味で使っている表現です。私のASUS製マザーボードも同様の動作をします
#6
Asusは、他のメーカーとは異なる方法でセキュアブートの設定を扱っています
Asus PRIME H310M-Aマザーボード ..
#7 ガーリン
この画像では、プラットフォーム キー (PK) の状態が「ロード済み」と表示されています。これは工場出荷時の PKを意味していると思われます。KEKが機能するには、同じ PKで署名されている必要があります。KEK CA 2023 (ファームウェアは 2021) の OEMサポートがないため、.DER ファイルを介してキー管理メニューからのみ KEK CA 2023を追加できます ..
1.工場出荷時のデフォルトにリセットします
2.セキュアブートを無効にします
3. ..
#8
その他の OS モード セキュアブート 無効
#9
まずセキュアブートチェックスクリプトのいずれかを実行して、現在の設定を確認してください
0x5944 は「うまくいくことを願う」という楽観的なモードです。セキュアブートを無効にする必要があった場合は、何らかの問題が発生しています
#11
BIOSで「UEFI Windows」モードに戻しても、赤いエラーメッセージは依然として表示されます
しかし、イベントビューアーには証明書のインストールが保留中であり、適用するには「UEFI Windows」モードに戻す必要があると表示
とりあえず、「Other OS」モードに戻したところ、Windows 11は問題なく起動しました
Secure Boot Allowed Signature Database (DB) Update
2026.4.8〜
ttps://www.elevenforum.com/t/secure-boot-allowed-signature-database-db-update.45951/
#1
MSから Windowsアップデート
Let's install Windows 11 on incompatible hardware
Jun 24, 2021〜2026.1.31〜
ttps://www.elevenforum.com/t/lets-install-windows-11-on-incompatible-hardware.133/page-153
3063
セキュアブート証明書の有効期限が間もなく切れますが、セキュアブートをサポートしているもののBIOSアップデートを受け取れない古いコンピューターにはどのような影響があるのでしょうか?
3064 ガーリン
セキュアブートはBIOSメニューからのみ変更できるため、Microsoftはリモートで有効化または無効化できません。MSは ..PCが安全ではないことを示す ..警告を導入する可能性
セキュアブート非対応のPCでも..
3067 ガーリン
セキュアブートが存在するのは、OSベースのセキュリティ対策だけでは不十分だから
3069
X99システムのプラットフォームキーを手動で更新する方法はいくつかあります。私は現在、Windows OEM PKを使用して問題なく動作 BIOSアップデートは行われません
まだ行っていないのは、2011年の証明書の失効
信頼しないでください AMI テスト PK
Windows UEFI CA 2023 Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Microsoft Corporation KEK 2K CA 2023
Microsoft Windows Production PCA 2011
Windows BootMgr SVN 7.0
bootmgfw.efi バージョン 26100.30227
レジストリ WindowsUEFICA2023Capable = 2
3070
Production PCA 2011証明書の禁止 これにより、古いWindowsブートローダーの既知の脆弱性を利用して署名されたルートキットコードはすべてブロック
Windows 8からWindows 10 21H2までのすべての古いWindowsリリース、そして古いLinuxバージョンが動作しなくなる
3072
署名証明書は、次の場合に限り有効です。
1. 証明書をセキュリティで保護された証明書ストア (Windows) に追加したか、BIOS (UEFI) に追加した場合
2. 証明書が失効リストに追加されて失効していません。Windowsでは、CRL は週に1回更新される失効リストです。UEFI の場合は DBXリストです
..
3082
3つのスクリプト
3083
CA 2023への移行は複数のステップからなるプロセス 大きく分けて2つの部分
1. 既存のCA 2011と並行して、CA 2023証明書を追加 新旧両方のWindowsリリース、および新旧両方のWindowsブートファイルを起動できます
2. CA 2011証明書を禁止します。パッチが適用されていない古いWindowsを起動することはできず、古いWindowsブートファイルも使用できません
PCの古さ(CPUモデルではなくBIOSの古さ)によっては、..
セキュアブートモードを無効に ..
KB5007651 update
Apr 17, 2025〜2026.4.9〜
ttps://www.elevenforum.com/t/kb5007651-update.35288/page-3
#41 KB5007651が復活
#42 ガーリン
#45
驚いたのは、ダウンロードとインストール完了までの速さです。すべて完了するのにたった5秒ほどしかかかりませんでした。明らかに小さなアップデートですが、重要なアップデートです
#48
今朝、2台のIntel製マシンにはKB5007651が適用されました
#50
ARM64版のダウンロードリンク
#57--
Update bios firmware gigabyte PRIME H610M-A WIFI D4? → Asus PRIME H610M-A WIFI D4 ?
2026.4.11〜
ttps://www.elevenforum.com/t/update-bios-firmware-gigabyte-prime-h610m-a-wifi-d4.46042/
#1
現在使用しているBIOSは2024年のもの
最新版 ver 3810 2025/12/02
簡単で最適なアップデート方法を教えてください
#2
PRIME は ASUSでは ?
Gigabyte H610M GAMING WIFI DDR4 (Rev. 1.0) の最新BIOSは 2B6F ?
#3
PRIME H610M-A WIFI D4は ASUS製のマザーボード
ASUS製のマザーボードであれば、ダウンロード可能なマニュアル
に記載されている EZ Flashの手順に従ってください
アップデートに失敗しマザーボードが故障する可能性はごくわずかですが、ASUSはBIOS復旧方法を提供しています
Secure Boot Certificate
2026.4.16〜
ttps://www.elevenforum.com/t/secure-boot-certificate.46156/
#1
KB5083769 26100.8246
セキュアブートは有効になっていますが、お使いのデバイスは古いブート信頼構成を使用しているため、更新する必要があります
#2 ガーリン
PCが古い機種の場合、必要な証明書はPCのOEMから提供されていません
ノートPCの正確なモデル名は ?
#3 #4
Dell Inspiron 3793(2019年 ?)です BIOSアップデートは利用できません
#8
BIOS に入って.. PowerShell管理者モードで Garlinの UEFI-CA2023.ps1 スクリプトを実行
Windows Hello を使用している場合は、セットアップ モードに入ろうとしないでください。PIN が削除されてしまいます。このフォーラムで Windows Helloを検索してください
#9 ガーリン
Secure Boot CA 2023 に正常にアップデートするには ..OEM (Dell) が、次の2つの形式のいずれかで特定の署名付き証明書を提供する必要があります
1. 最も簡単で最適な方法は、BIOSアップデートで CA 2023 証明書を追加することです
2. それができない場合は、同じ証明書のコピーをソフトウェア形式で MSに提供し、Windowsがそれを配布できるようにします
この証明書を入手していないPCには、2つのオプションが..
#11 ガーリン
>#10 セキュリティブートが有効になり、必要な証明書の更新がすべて適用されました。これ以上の証明書の変更は必要ありません。
これで完了です。教訓としては、常にベンダーのサポートサイトをチェックして、より新しいBIOSアップデートがないか確認することです
#仕上げはまだ !
#14 ガーリン
Windowsセキュリティセンター(通常はDefenderを確認する場所)を開き、デバイスのセキュリティ
これ以上の更新はありません が推奨される回答
(Win11 設定→ プライバシーとセキュリティ→ Windowsセキュリティ→ デバイス セキュリティ→ セキュアブート )
#15
>#14
私はDefenderを使っていませんが、おっしゃったところを確認したら緑色のチェックマークが表示されました
#17 ガーリン
#18 ガーリン
..
PK プラットフォームキー
Microsoft Windows Production PCA 2011 2026年10月
最新コメント