Secure Boot 関連 ファイル ツール等
最終更新:
icd2010memo 2026年04月08日(水) 21:21:19履歴
Secure Boot 関連 ファイル ツール等 メモ
本ページおよび本Wikiの内容は無保証です。
bcdboot bcdbootユーティリティ
ttps://en.wikipedia.org/wiki/Windows_Boot_Manager
Windows Boot Manager (Web訳)
BCDbootはシステムパーティションの設定や、そのパーティション上のブート環境の修復に使用できます ..
Check_DBXUpdate.bin.ps1
check-securebootdb.ps1
C:\Program Files\check-securebootdb.ps1 (?)
Check_UEFI-CA2023.ps1
cjee21/ Check-UEFISecureBootVariables
Apply 2023 KEK, DB and bootmgfw update.cmd 〇
Netより
Apply 2023 KEK, DB and bootmgfw update.cmd を管理者として実行、 〇
5分くらい待ってから
Check UEFI PK, KEK, DB and DBX.cmd を管理者として実行し、 〇
Currentが全部緑チェックになっていればOK
Check UEFI PK, KEK, DB and DBX.cmdではBIOSのDBに追加されたものしか判りません
Apply DBX update.cmd セキュアブートが有効となっているとブートしなくなる ? △--
Apply revocations.cmd ? まだ実行しない方がいい △--
Apply revocations.cmd は まだ時期尚早
過去のインストールメディアなどはブートローダーファイルに
Microsoft Windows Production PCA 2011 の署名が入っているので、これらを排除してしまうと
セキュアブート状態では Windowsのインストールメディアからブートしなくなってしまう
PCA 2011署名のインストールメディアやPEメディアがセキュアブート .. 起動しなくなる
試す前に、何をしているのかしっかり理解してください。これにより、システム上で起動できなくなる
ものが出てくることがあります
Check Windows state.cmd 〇
Check UEFI PK、KEK、DB、および DBX.cmd 〇
Show UEFI PK、KEK、DB、および DBX.cmd
Show Secure Boot update events.cmd
Windows state.cmd
garlin's PowerShell scripts for updating Secure Boot CA 2023
garlin-cant-code/ SecureBoot-CA-2023-Updates
ttps://github.com/garlin-cant-code/SecureBoot-CA-2023-Updates/
Check-UEFI.bat
Update-UEFI.bat
Update_UEFI-CA2023.ps1
Confirm-SecureBootUEFI
カスタム
DB 許可署名データベース には、MicrosoftとOEMが管理する証明書が含まれている
DBX 不許可署名データベースは Microsoftによって最新の失効情報で更新されている
KEK
Secure Boot Allowed Key Exchange Key(KEK)Update
KEK そのリストを更新してよいかを許可するキー
MSのGitHubにある公式KEKリスト
microsoft/ secureboot_objects
secureboot_objects/PostSignedObjects/KEK/
ttps://github.com/microsoft/secureboot_objects/tree/main/PostSignedObjects/KEK/
証明書の発行者、対象、シリアル番号、サムプリント 、NotBefore / NotAfter(有効期限) ?
OEMの BIOSアップデートでのみ更新可能 ?
KEK CA 2023がない場合、CA 2023 証明書はどれも有効とみなされません
KEKには、Microsoft KEKやその他のOEM KEKが含まれる場合も
KEKを持つすべてのエンティティは、DBとDBXを更新できます
キー登録キー (KEK) は、セキュアブートの署名データベース (db および dbx) の更新に不可欠
KEK の追加が出来ない UEFI も
Get-Secure BootUEFI
Get-SecureBootUEFI -name KEK | Format-List (?) #Microsoft 365 ?
レジストリ
0x0004 Apply the Microsoft Corporation KEK 2K CA 2023 to the KEK
MS セキュアブート証明書を一目で確認できる Windowsセキュリティセンターのアップデートを後日提供 ?!
Make2023BootableMedia.ps1
Mosby
pbatard/ Mosby ttps://github.com/pbatard/Mosby
PK プラットフォームキー、次にキー登録キー(KEK)(キー交換キーとも)
Reset to Default
Restore Factory Keys ?
SBCertificateChecker
SBCertificateChecker_v2.1.zip (?)
セキュアブートキー管理 ?
Secure Boot recovery media(セキュアブート回復メディア)
ブート回復メディア
Secure Boot Violation
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Verify "windows uefi ca 2023.crt"
Nov 20, 2025〜 ttps://learn.microsoft.com/en-us/answers/questions/5628656/verify-windows-uefi-ca-2023-crt
すべてのセキュアブート設定を消去 Erase all Secure Boot Setting
セットアップモード
セキュアブートキーのクリア
ファクトリーリセット
SVN セキュア バージョン番号 ?
Windows Bootmgr SVN、Windows cdboot SVN、Windows wdsmgfw SVN
Microsoft Corporation KEK CA 2011
Netより
DBとDBXの更新 ?
Microsoft Corporation UEFI CA 2023
Netより
最終的に必要な証明書だが、個人ユーザーが手動で入れる必要は無し ..
Microsoft Option ROM UEFI CA 2023
Netより
サードパーティのファームウェア証明書 ?
次期GPU 署名 ?
..
...
BatPsSecureBootCheck.bat ?
BatPsSecureBootCheck.ps1 ?
"Get-SecureBootUEFI -name"
参考) 工場出荷時の設定に戻す、既定値の復元動作
本ページおよび本Wikiの内容は無保証です。
bcdboot bcdbootユーティリティ
ttps://en.wikipedia.org/wiki/Windows_Boot_Manager
Windows Boot Manager (Web訳)
BCDbootはシステムパーティションの設定や、そのパーティション上のブート環境の修復に使用できます ..
Check_DBXUpdate.bin.ps1
check-securebootdb.ps1
C:\Program Files\check-securebootdb.ps1 (?)
Check_UEFI-CA2023.ps1
cjee21/ Check-UEFISecureBootVariables
Apply 2023 KEK, DB and bootmgfw update.cmd 〇
Netより
Apply 2023 KEK, DB and bootmgfw update.cmd を管理者として実行、 〇
5分くらい待ってから
Check UEFI PK, KEK, DB and DBX.cmd を管理者として実行し、 〇
Currentが全部緑チェックになっていればOK
Check UEFI PK, KEK, DB and DBX.cmdではBIOSのDBに追加されたものしか判りません
Apply DBX update.cmd セキュアブートが有効となっているとブートしなくなる ? △--
Apply revocations.cmd ? まだ実行しない方がいい △--
Apply revocations.cmd は まだ時期尚早
過去のインストールメディアなどはブートローダーファイルに
Microsoft Windows Production PCA 2011 の署名が入っているので、これらを排除してしまうと
セキュアブート状態では Windowsのインストールメディアからブートしなくなってしまう
PCA 2011署名のインストールメディアやPEメディアがセキュアブート .. 起動しなくなる
試す前に、何をしているのかしっかり理解してください。これにより、システム上で起動できなくなる
ものが出てくることがあります
Check Windows state.cmd 〇
Check UEFI PK、KEK、DB、および DBX.cmd 〇
Show UEFI PK、KEK、DB、および DBX.cmd
Show Secure Boot update events.cmd
Windows state.cmd
garlin's PowerShell scripts for updating Secure Boot CA 2023
garlin-cant-code/ SecureBoot-CA-2023-Updates
ttps://github.com/garlin-cant-code/SecureBoot-CA-2023-Updates/
Check-UEFI.bat
Update-UEFI.bat
Update_UEFI-CA2023.ps1
Confirm-SecureBootUEFI
カスタム
DB 許可署名データベース には、MicrosoftとOEMが管理する証明書が含まれている
DBX 不許可署名データベースは Microsoftによって最新の失効情報で更新されている
KEK
Secure Boot Allowed Key Exchange Key(KEK)Update
KEK そのリストを更新してよいかを許可するキー
MSのGitHubにある公式KEKリスト
microsoft/ secureboot_objects
secureboot_objects/PostSignedObjects/KEK/
ttps://github.com/microsoft/secureboot_objects/tree/main/PostSignedObjects/KEK/
証明書の発行者、対象、シリアル番号、サムプリント 、NotBefore / NotAfter(有効期限) ?
OEMの BIOSアップデートでのみ更新可能 ?
KEK CA 2023がない場合、CA 2023 証明書はどれも有効とみなされません
KEKには、Microsoft KEKやその他のOEM KEKが含まれる場合も
KEKを持つすべてのエンティティは、DBとDBXを更新できます
キー登録キー (KEK) は、セキュアブートの署名データベース (db および dbx) の更新に不可欠
KEK の追加が出来ない UEFI も
Get-Secure BootUEFI
Get-SecureBootUEFI -name KEK | Format-List (?) #Microsoft 365 ?
レジストリ
0x0004 Apply the Microsoft Corporation KEK 2K CA 2023 to the KEK
MS セキュアブート証明書を一目で確認できる Windowsセキュリティセンターのアップデートを後日提供 ?!
Make2023BootableMedia.ps1
Mosby
pbatard/ Mosby ttps://github.com/pbatard/Mosby
PK プラットフォームキー、次にキー登録キー(KEK)(キー交換キーとも)
Reset to Default
Restore Factory Keys ?
SBCertificateChecker
SBCertificateChecker_v2.1.zip (?)
セキュアブートキー管理 ?
Secure Boot recovery media(セキュアブート回復メディア)
ブート回復メディア
Secure Boot Violation
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Verify "windows uefi ca 2023.crt"
Nov 20, 2025〜 ttps://learn.microsoft.com/en-us/answers/questions/5628656/verify-windows-uefi-ca-2023-crt
すべてのセキュアブート設定を消去 Erase all Secure Boot Setting
セットアップモード
セキュアブートキーのクリア
ファクトリーリセット
SVN セキュア バージョン番号 ?
Windows Bootmgr SVN、Windows cdboot SVN、Windows wdsmgfw SVN
Microsoft Corporation KEK CA 2011
Netより
DBとDBXの更新 ?
Microsoft Corporation UEFI CA 2023
Netより
最終的に必要な証明書だが、個人ユーザーが手動で入れる必要は無し ..
Microsoft Option ROM UEFI CA 2023
Netより
サードパーティのファームウェア証明書 ?
次期GPU 署名 ?
..
...
BatPsSecureBootCheck.bat ?
BatPsSecureBootCheck.ps1 ?
"Get-SecureBootUEFI -name"
参考) 工場出荷時の設定に戻す、既定値の復元動作
最新コメント