У всех в журнале событий windows 11 появилось ошибка TPM-WMI 1801 (Secure Boot CA/keys need to be updated. This device signature information is included here)?
Я про GIGABYTE написал в ответе NicRim, потому что у него в данном случае GIGABYTE B850M AORUS ELITE WIFI6E.
Цитатаcohos ()
Почему спрашиваю, для моей мат. платы вот только ASUS выложили четыре дня назад новую прошивку, в ней есть, наверно, почти всё, особенно улучшения для игр(т.к. плата игровая), но тоже нет этого сертификата.
ЦитатаKaradag ()
а сертификат UEFI CA 2023 добавляется только через обновления Windows (и при необходимости через обновление прошивки UEFI, если GIGABYTE выпустит соответствующий патч).
Что Вы все приняли так буквально? Подставьте вместо GIGABYTE MSI, Asus, AsRock и т.д. Смысл фразы не изменится. Вот еще один bat'ник. Посмотрите через него, что у Вас - Check-UEFISecureBootVariables-main.zip Запустите файл - Check UEFI PK, KEK, DB and DBX RU.cmd и посмотрите.
Karadag, Если коротко. Я проще сделал, спросил по этому поводу, конечно же, Copilot, который мне выдал то же самое, что Вы и говорили. Плюс то, что плата полностью поддерживает все сертификаты, которые нужно обновить с помощью новой прошивки. Но самое главное — включить в БИОС определённые настройки и обновить ключи на новые. Как-то так. Вечером этим займусь, сейчас некогда.
Karadag, Обновил ключи в UEFI/BIOS, как и говорил выше, и всё, обновлённые/недостающие сертификаты появились.
P.S Я теперь хочу сказать другое, это ведь подобные манипуляции не для рядового пользователя. Откуда, условно говоря, какая-нибудь домохозяйка узнает, что какие-то ключи нужно обновить в БИОС-е. Причём недостаточно просто обновить прошивку, как в моём случае, нужно ещё эти ключи обновить после прошивки уже отдельно.
Действительно! Но когда писал тот пост открывалась, проверял (всегда проверяю). Сейчас попробовал снова выложить картинку - облом!!! Все 3 ресурса вообще не открываются!
Цитатаandy040670 ()
переживать не о чём, сертификаты обновятся сами сабой в очередной апдейт
Я не преживаю, т.к. у меня уже 2023. Почему просил Karadag посмотреть - у меня на снимке все как и у него "зеленое", кроме 1 пункта (правда в самом низу таблицы 3 красных, а у него зеленые, но думаю эти роли не играют). Но у меня есть еще 2 красных пункта, которых на его снимке вообще нет.
Karadag, вот текст вместо снимка (выделил только зеленое и красное):
06 февраля 2026 года Производитель: System manufacturer Модель: System Product Name Производитель BIOS: American Megatrends Inc. Версия и Название: 3005, 3005, Версия: ALASKA - 1072009 Версия Windows: 26H1 (Build 28020.1495)
Secure Boot Status: Enabled
Current UEFI PK - Текущее Значение Platform Key, Установленное в Вашей Системе. √ ASUSTeK MotherBoard PK Certificate
Default UEFI PK - Значение, Которое Идёт «с Завода». √ ASUSTeK MotherBoard PK Certificate
Current UEFI KEK - Текущее Значение Key Exchange Key (KEK) √ Microsoft Corporation KEK CA 2011 (revoked: False) X Microsoft Corporation KEK 2K CA 2023 √ ASUSTeK MotherBoard KEK Certificate (revoked: False) √ Canonical Ltd. Master Certificate Authority (revoked: False)
Default UEFI KEK - KEK, Которые Идут «с Завода» Вместе с Default PK √ Microsoft Corporation KEK CA 2011 (revoked: False) √ Microsoft Corporation KEK 2K CA 2023 (revoked: False) √ ASUSTeK MotherBoard KEK Certificate (revoked: False) √ Canonical Ltd. Master Certificate Authority (revoked: False)
Current UEFI DB - Текущее Значение Переменной DB (Authorized Signature Database) √ Microsoft Windows Production PCA 2011 (revoked: False) √ Microsoft Corporation UEFI CA 2011 (revoked: False) √ Windows UEFI CA 2023 (revoked: False) √ Microsoft UEFI CA 2023 (revoked: False) X Microsoft Option ROM UEFI CA 2023 √ ASUSTeK MotherBoard SW Key Certificate (revoked: False) √ ASUSTeK Notebook SW Key Certificate (revoked: False) √ Canonical Ltd. Master Certificate Authority (revoked: False)
Default UEFI DB - Заводской Набор Доверенных Подписей, Который Идёт Вместе с Default PK и Default KEK √ Microsoft Windows Production PCA 2011 (revoked: False) √ Microsoft Corporation UEFI CA 2011 (revoked: False) √ Windows UEFI CA 2023 (revoked: False) √ Microsoft UEFI CA 2023 (revoked: False) X Microsoft Option ROM UEFI CA 2023 √ ASUSTeK MotherBoard SW Key Certificate (revoked: False) √ ASUSTeK Notebook SW Key Certificate (revoked: False) √ Canonical Ltd. Master Certificate Authority (revoked: False)
Current UEFI DBX - Текущее Значение Переменной DBX (Forbidden Signature Database)
2025-10-14 (v1.6.0) : SUCCESS: 431 successes detected Windows Bootmgr SVN : None Windows cdboot SVN : None Windows wdsmgfw SVN : None
UEFI KEK Certs ----------------- Microsoft Corporation KEK CA 2011
UEFI DB Certs ----------------- Microsoft Corporation UEFI CA 2011 Microsoft Windows Production PCA 2011 Microsoft UEFI CA 2023 Windows UEFI CA 2023
UEFI DBX Certs -----------------
EFI Files ----------------- Disk 3: Boot Manager [Windows UEFI CA 2023] is ALLOWED.
Registry: UEFICA2023Status = Unknown t : Имя "t" не распознано как имя командлета, функции, файла сценария или выполняемой программы. Пр оверьте правильность написания имени, а также наличие и правильность пути, после чего повторите поп ытку. C:\Users\alex1\Desktop\UEFICheck_RU.ps1:386 знак:1 + t + ~ + CategoryInfo : ObjectNotFound: (t:String) [], CommandNotFoundException + FullyQualifiedErrorId : CommandNotFoundException
[UEFI CA 2023 Status] Unknown.
Registry: WindowsUEFICA2023Capable = 2 [Windows UEFI CA 2023] is in UEFI DB, and Windows is starting from CA 2023 Boot Manager.
Для продолжения нажмите любую клавишу . . .
Но это без 3-х команд. Я их пока не применял - может слететь активация Касперского!
И в реестре, где было "NotStarted", теперь стало "Updated".
А здесь теперь что?
Secure Boot: ON Система загружается в режиме защищённой загрузки UEFI, и это хорошо: • запрещает запуск неподписанных или поддельных загрузчиков • защищает от буткитов и ранних атак на цепочку загрузки BitLocker on (C:) OFF На системном диске нет шифрования BitLocker. Это не ошибка, просто факт. Secure Boot работает независимо от BitLocker.
UEFI KEK (Key Exchange Keys) Это ключи, которые позволяют обновлять доверенные сертификаты в прошивке. У тебя установлены: • Microsoft Corporation KEK CA 2011 • Microsoft Corporation KEK 2K CA 2023 Это означает, что прошивка поддерживает как старую, так и новую цепочку доверия Microsoft. Наличие KEK 2023 — признак обновлённой прошивки, совместимой с новыми требованиями Windows.
UEFI DB (Allow-list) Это список сертификатов, которым разрешено запускать загрузчики. У тебя в DB находятся: • Microsoft Corporation UEFI CA 2011 • Microsoft Windows Production PCA 2011 • Microsoft Option ROM UEFI CA 2023 • Microsoft UEFI CA 2023 • Windows UEFI CA 2023 Это означает: • Поддерживаются старые загрузчики (2011) • Поддерживаются новые загрузчики (2023) • Система может загружаться как от старых, так и от новых сертификатов • Windows 11 24H2+ требует Windows UEFI CA 2023, и он в наличии
UEFI DBX (Block-list) DBX — список запрещённых сертификатов/загрузчиков. У тебя: • Microsoft Windows Production PCA 2011 Это означает, что старые уязвимые загрузчики Windows 2011 заблокированы. Это важный элемент защиты от атак типа BootHole.
EFI Files
Это ключевой момент. Disk 0: Boot Manager [Windows UEFI CA 2023] is ALLOWED. Твой Boot Manager (bootmgrefi) подписан Windows UEFI CA 2023, и прошивка его принимает. Значит: • Windows загружается по новой цепочке доверия 2023 года • Система полностью соответствует современным требованиям Microsoft • Нет риска блокировки загрузки после будущих обновлений Secure Boot
Записи в реестре Registry: UEFICA2023Status = Updated [UEFI CA 2023 Status] Updated. Windows проверила, что: • прошивка содержит новые сертификаты • загрузка идёт через CA 2023 • всё соответствует требованиям И записала это в реестр.
Registry: WindowsUEFICA2023Capable = 2 Расшифровка значения: • 0 — не поддерживается • 1 — поддерживается, но загрузка идёт через старый сертификат • 2 — полностью активировано и используется CA 2023 У тебя стоит 2, то есть система работает на новой цепочке доверия.
А это расшифровка после выполнения 3-х команд:
1. Общая информация о системе
Производитель / Модель / BIOS У тебя стандартная ASUS-плата (System Manufacturer / System Product Name), BIOS от American Megatrends (AMI), версия 3005. Это типично для современных ASUS-плат на AM5/Intel 600–700 сериях. Windows 25H2 (Build 26200.7705) Это Insider/Canary ветка, где Microsoft активно внедряет новые Secure Boot политики (включая CA 2023).
2. Secure Boot: Enabled
Secure Boot включён и работает. Это главное.
3. Platform Key (PK)
Current PK = Default PK Оба — ASUSTeK MotherBoard PK Certificate. Это означает: • PK не менялся вручную. • Secure Boot работает в штатном режиме производителя. • Никаких кастомных PK/KEK/DB вмешательств не было. Это идеальная ситуация.
4. KEK (Key Exchange Keys)
Current KEK = Default KEK Список полностью совпадает: • Microsoft KEK CA 2011 • Microsoft KEK 2K CA 2023 • ASUS KEK • Canonical KEK Все revoked: False. Это значит: • KEK не модифицировались. • Поддерживаются новые Microsoft CA 2023. • Поддерживается Linux (Canonical).
5. DB (Authorized Signatures)
Вот здесь начинается самое интересное. Current DB содержит: • Microsoft Windows Production PCA 2011 (revoked: True) • Microsoft UEFI CA 2011 • Windows UEFI CA 2023 • Microsoft UEFI CA 2023 • Microsoft Option ROM UEFI CA 2023 (есть в Current) • ASUS SW Key Certificates • Canonical CA Default DB НЕ содержит: • Microsoft Option ROM UEFI CA 2023 ← вот это важный момент То есть:
Current DB ≠ Default DB
У тебя в текущей DB присутствует Microsoft Option ROM UEFI CA 2023, которого нет в заводском наборе. Это не ошибка и не проблема — Windows 11/12 автоматически обновляет DB через Secure Boot Update Capsule. Microsoft Option ROM UEFI CA 2023 — это новая подпись для: • UEFI Option ROM драйверов • сетевых PXE модулей • NVMe Option ROM • GPU Option ROM (в UEFI-режиме) Windows добавляет её, чтобы поддерживать новые устройства и драйверы.
6. DBX (Forbidden Signatures)
DBX v1.6.0 (2025-10-14) Это актуальная версия DBX, распространяемая Microsoft. Внутри: • 431 запрещённых сигнатур (устаревшие, уязвимые загрузчики) • Windows Bootmgr SVN 7.0 • Windows cdboot SVN 3.0 • Windows wdsmgfw SVN 3.0 Это означает: • У тебя актуальный набор блокировок. • Система защищена от BootHole-подобных уязвимостей. • Windows обновила DBX корректно.
7. Что всё это значит в целом ✔ Secure Boot включён ✔ PK/KEK полностью штатные ✔ DBX обновлён до последней версии ✔ DB содержит новые Microsoft CA 2023 ✔ Единственное отличие Current DB от Default DB — добавленный Microsoft Option ROM UEFI CA 2023 Это нормально, безопасно, и ожидаемо для современных систем.
8. Почему Default DB ≠ Current DB — это нормально
Default DB — это заводской набор, который идёт в BIOS. Current DB — это актуальный набор, который Windows обновляет через: • Secure Boot DB Update Capsule • Windows Update • Firmware updates Microsoft Option ROM UEFI CA 2023 — новая подпись, добавленная в 2023–2024 годах. ASUS BIOS 3005 просто ещё не содержит её в заводском наборе.
Ответ добавил выше ↑ в текстовом виде (с картинками всё еще проблема). 1-я "Расшифровка" полностью совпадает, кроме диска - у меня "Disk 0:". По второй "расшифровке" - теперь, похоже, у меня "всё встало на свои места". Огромное СПАСИБО и в "+СПАСИБО" за разъяснение и потраченное время!!! Наверняка это будет полезным и кому-то еще...
И еще. У Вас Microsoft Option ROM UEFI CA 2023 — новая подпись, добавленная в 2023–2024 годах Default DB ≠ Current DB — это нормально. Описание, почему это нормально.
Почему этот сертификат есть в Current DB, но нет в Default DB Потому что: • BIOS ASUS 3005 ещё не содержит его в заводском наборе • Windows добавляет его автоматически через Secure Boot Update Capsule Это абсолютно нормальная ситуация.
Зачем он нужен Без Microsoft Option ROM UEFI CA 2023: • видеокарта может не инициализироваться в UEFI-режиме • NVMe может не быть доступен как загрузочный • PXE boot может не работать • RAID-контроллер может не загрузиться • некоторые устройства могут падать в CSM/Legacy режим То есть это критически важный сертификат для современных систем.
В связи с введением в действие Постановления Правительства Российской Федерации от 14.11.2023 № 1905 т.н. "о запрете популяризации VPN" с 1 марта 2024 года - любое обсуждение способов обхода блокировок и VPN на портале запрещено!
Вечером этим займусь, сейчас некогда.
