У всех в журнале событий windows 11 появилось ошибка TPM-WMI 1801 (Secure Boot CA/keys need to be updated. This device signature information is included here)?
Всем привет! Хочу выполнить чистую установку Win 11 25H2 с созданием загрузочной флэшки через Rufus. Скажите, нужно ли в этом случае ставить флаг Use windows CA2023 (последний)? Asus b450 e gaming, 5700X.
Что такое флаг Use windows CA2023? Флаг "Use Windows CA 2023" активирует использование нового сертификата безопасности Windows UEFI CA 2023, необходимого для поддержки безопасной загрузки и защиты от современных угроз, таких как буткиты. Вот подробности: Что такое Windows UEFI CA 2023 • Это новый сертификат центра сертификации (CA), выпущенный Microsoft в 2023 году для подписывания компонентов загрузки Windows, включая загрузчик и драйверы. • Он приходит на смену устаревающему сертификату Microsoft UEFI CA 2011, срок действия которого истекает в ближайшие годы. Зачем нужен этот флаг • Флаг "Use Windows CA 2023" (или аналогичная настройка в BIOS/UEFI или в инструментах, таких как Rufus) включает поддержку нового сертификата в базе данных безопасной загрузки (Secure Boot DB). • Это необходимо для: • Установки и загрузки новых версий Windows, подписанных новым сертификатом. • Защиты от угроз, таких как буткит BlackLotus, который может обходить Secure Boot и внедрять вредоносное ПО на этапе загрузки. • Поддержки будущих обновлений загрузчика Windows, начиная с 2024 года. Где используется • В BIOS/UEFI некоторых устройств может появиться опция включения поддержки Windows CA 2023. • В утилитах создания загрузочных носителей, например, Rufus 4.10, появилась поддержка Windows UEFI CA 2023, чтобы создавать совместимые образы Windows 11 25H2 и новее. Важно знать • Некоторые старые устройства могут не поддерживать новый сертификат, что может вызвать проблемы с загрузкой. • Microsoft рекомендует обновить BIOS/UEFI и применить обновления Windows, начиная с февраля 2024 года, чтобы обеспечить совместимость. --- Хочешь, я (Copilot) помогу проверить, поддерживает ли твой компьютер этот сертификат или как включить его в BIOS?
Ага, я вот почитала и поняла, что включить надо - включила. Там 2 раздела получилось. При выборе из BIOS первого раздела - пишет Secure Boot Violation. Invalid signature detected. Check Secure Boot Policy in Setup. При выборе второго раздела - пишет много чего, среди этого всего есть уровень [WARN] Unloading existing 'AMI NTFS Driver v0x10000', а в самом конце -уровень [FAIL] Load failure: [26] Securite Violation. Secure Boot status при этом Enabled. Может его на время установки отключать надо?
Хочу выполнить чистую установку Win 11 25H2 с созданием загрузочной флэшки через Rufus. Скажите, нужно ли в этом случае ставить флаг Use windows CA2023 (последний)?
А я вот первый раз об этом слышу и создал флешку с помощью rufus и сделал чистую установку. Отключил только шифрование. И всё у меня работает. Интересно
hellonet, а Вы включали эти самые новые сертификаты? Там флажок в самом низу. Все таки не нужно видимо Secure Boot отключать, может надо как-то перерегистрировать ключи, не знаю пока, но дико интересно. Хочу новые сертификаты, а то вроде как старые в июле 2026 уже все. Может быть конечно у меня дистрибутив какой-то не такой, но скачивала вроде как с доверенного источника (правда уже не помню с какого))
Добавлено (11.11.2025, 16:29) --------------------------------------------- Ну в общем проверила без флага CA 2023 - все ок, с флагом ошибка, описанная мною выше.
а Вы включали эти самые новые сертификаты? Там флажок в самом низу.
Я не такой продвинутый. Я, если честно, про них и знать не знал, пока у вас не прочел. Да и сейчас не знаю что это и для чего они нужны :-). Не зря говорят - меньше знаешь, крепче спишь. Я просто скачиваю оригинальный дистрибутив и с помощью rufus делаю загрузочную флешку и устанавливаю и всё. Вот теперь буду думать. Зря я вас прочитал. :-). Это как анекдот про студента, профессора и его бороду - и так неудобно и эдак
Добавлено (11.11.2025, 17:04) --------------------------------------------- Сейчас позвонил своему товарищу программисту инженеру-электронщику. Работает ещё и сисадмином, обслуживает сеть из около сотни компов. Он тоже про это развертывание сертификата Windows UEFI CA 2023 впервые слышит. Так что можно про него забыть и забить
hellonet, ахах)) Я кажется разобралась в проблеме. Просто сбросила все ключи Secure Boot в дефолт (там некоторые были указаны как External, внешние типа) - поэтому ошибка была. По крайней мере ошибки больше этой нет, установка запустилась. Я упорная))
Сейчас позвонил своему товарищу программисту инженеру-электронщику. Работает ещё и сисадмином, обслуживает сеть из около сотни компов. Он тоже про это развертывание сертификата Windows UEFI CA 2023 впервые слышит. Так что можно про него забыть и забить
Ну, как пишут на просторах буржуинского интернета, проверить можно так:
Windows 11 26200.7705 сегодня прилетело : Secure Boot Allowed Signature Database (DB) Update
В данном случае это прилетает не всем, а только в случае отсутствия.
Secure Boot Allowed Signature Database (DB) Update— это обновление прошивки UEFI, которое обновляет список доверенных цифровых подписей, чтобы ваш компьютер мог безопасно загружаться после истечения старых сертификатов Microsoft. Оно связано с глобальным обновлением Secure Boot‑сертификатов, срок действия которых заканчивается в 2026 году. Если его не установить, некоторые системы могут перестать загружаться с устаревших загрузчиков или установочных носителей.
Что именно обновляется Secure Boot использует несколько баз данных в UEFI: • DB (Allowed Signature Database) — список разрешённых цифровых подписей загрузчиков и драйверов. • DBX (Forbidden Signatures) — список запрещённых подписей. Ваше обновление касается DB, то есть добавляет новые доверенные сертификаты Microsoft.
Можете теперь проверить установлен ли последний сертификат Microsoft UEFI CA 2023 для загрузки с Secure Boot.
Проверить можно скачав архив - UEFICheck in RU.zip После разархивации запускаем файл UEFICheck_RU.bat от имени Администратора.
Windows 11 26200.7705 сегодня прилетело : Secure Boot Allowed Signature Database (DB) Update : вроде установлен
Все верно. Secure Boot Allowed Signature Database (DB) Update и установил Вам сертификат Microsoft UEFI CA 2023. Я же об этом и писал в своем предыдущем сообщении.
ЦитатаNicRim ()
У меня не установлен последний сертификат и обновления Secure Boot Allowed Signature Database (DB) Update нет.
Он станет актуален в связи с истечением срока действия предыдущего сертификата Microsoft Windows Production PCA 2011 в июне 2026 года. С высокой вероятностью ваша плата идёт с Microsoft UEFI CA 2011, а сертификат UEFI CA 2023 добавляется только через обновления Windows (и при необходимости — через обновление прошивки UEFI, если GIGABYTE выпустит соответствующий патч). Какая же материнская плата у olgerd66, то он не указал.
А чего такие патчи выпускает только GIGABYTE? Почему спрашиваю, для моей мат. платы вот только ASUS выложили четыре дня назад новую прошивку, в ней есть, наверно, почти всё, особенно улучшения для игр(т.к. плата игровая), но тоже нет этого сертификата.
В связи с введением в действие Постановления Правительства Российской Федерации от 14.11.2023 № 1905 т.н. "о запрете популяризации VPN" с 1 марта 2024 года - любое обсуждение способов обхода блокировок и VPN на портале запрещено!
Почему спрашиваю, для моей мат. платы вот только ASUS выложили четыре дня назад новую прошивку, в ней есть, наверно, почти всё, особенно улучшения для игр(т.к. плата игровая), но тоже нет этого сертификата.