У всех в журнале событий windows 11 появилось ошибка TPM-WMI 1801 (Secure Boot CA/keys need to be updated. This device signature information is included here)?
cohos, Karadag, значит так - во время своего "долгого" (целых 2-х суток!!!) молчания в этой теме, я специально провел несколько экспериментов на поддерживаемом настольнике (на котором были "полностью" обновлены все Сертификаты, но одна красная галка оставалась) была ошибка при обновлении.
1. брал разные "резервки" 26200 (№1, №2, №3) из крайних (даже не подряд идущие), кроме самой крайней 26200.7840; 2. повторял с каждой в отдельности: - очищал UEFI KEY-сы, загружал "резервку" №1 (№2, №3) и проверял на крайнее обновление 26200.7840. - устанавливал KEY-сы "по умолчанию", снова загружал "резервку" №1 (№2, №3) и проверял на крайнее обновление 26200.7840. - обновлял KEY-сы постепенно (каждый раз что-то "красное" "зеленело", до момента, когда больше не "зеленело", но 1 "красный с завода" пункт оставался), снова загружал "резервку" №1 (№2, №3) и проверял на крайнее обновление 26200.7840. 3. итог: - с любой сборкой и с любым "состоянием" KEY-сов, обновление на 26200.7840 заканчивалось "Ошибкой" и предложением "Повторить"; - получается, что Сертификат (его обновление) "НЕ при делах"; - похоже, что-то майки действительно "накрутили" в 26200.7840. 4. для себя: - "выработал план действий" и набросал инструкцию, что делать на данном этапе, пока майки полностью не перейдут на "UEFI CA 2023"; - оставляю три "красных" пункта, пока они сами не обновятся "по воздуху" (с ними загрузка с флешек идет и по 2011 и по 2023, т.е. пока как и раньше у меня). -------------------------------------- 14 февраля 2026 года Производитель: System manufacturer Модель: System Product Name Производитель BIOS: American Megatrends Inc. Версия и Название: 3005, 3005, Версия: ALASKA - 1072009 Версия Windows: 25H2 (Build 26200.7840)
Secure Boot Status: Enabled
Current UEFI PK - Текущее Значение Platform Key, Установленное в Вашей Системе. √ ASUSTeK MotherBoard PK Certificate
Default UEFI PK - Значение, Которое Идёт «с Завода». √ ASUSTeK MotherBoard PK Certificate
Current UEFI KEK - Текущее Значение Key Exchange Key (KEK) √ Microsoft Corporation KEK CA 2011 (revoked: False) √ Microsoft Corporation KEK 2K CA 2023 (revoked: False) √ ASUSTeK MotherBoard KEK Certificate (revoked: False) √ Canonical Ltd. Master Certificate Authority (revoked: False)
Default UEFI KEK - KEK, Которые Идут «с Завода» Вместе с Default PK √ Microsoft Corporation KEK CA 2011 (revoked: False) √ Microsoft Corporation KEK 2K CA 2023 (revoked: False) √ ASUSTeK MotherBoard KEK Certificate (revoked: False) √ Canonical Ltd. Master Certificate Authority (revoked: False)
Current UEFI DB - Текущее Значение Переменной DB (Authorized Signature Database) √ Microsoft Windows Production PCA 2011 (revoked: False) √ Microsoft Corporation UEFI CA 2011 (revoked: False) √ Windows UEFI CA 2023 (revoked: False) √ Microsoft UEFI CA 2023 (revoked: False) √ Microsoft Option ROM UEFI CA 2023 (revoked: False) √ ASUSTeK MotherBoard SW Key Certificate (revoked: False) √ ASUSTeK Notebook SW Key Certificate (revoked: False) √ Canonical Ltd. Master Certificate Authority (revoked: False)
Default UEFI DB - Заводской Набор Доверенных Подписей, Который Идёт Вместе с Default PK и Default KEK √ Microsoft Windows Production PCA 2011 (revoked: False) √ Microsoft Corporation UEFI CA 2011 (revoked: False) √ Windows UEFI CA 2023 (revoked: False) √ Microsoft UEFI CA 2023 (revoked: False) X Microsoft Option ROM UEFI CA 2023 √ ASUSTeK MotherBoard SW Key Certificate (revoked: False) √ ASUSTeK Notebook SW Key Certificate (revoked: False) √ Canonical Ltd. Master Certificate Authority (revoked: False)
Current UEFI DBX - Текущее Значение Переменной DBX (Forbidden Signature Database)
2025-10-14 (v1.6.0) : SUCCESS: 431 successes detected Windows Bootmgr SVN : None Windows cdboot SVN : None Windows wdsmgfw SVN : None
. Для Продолжения Нажмите Любую Клавишу... ➤
У других не обязательно будет так же, т.к. наверняка зависит от UEFI BIOS-а. В моем ключи PK И KEK на всех этапах оставались "Default" (кроме "очистки" - когда вообще нет ключей).
я специально провел несколько экспериментов на поддерживаемом настольнике
Ну вот. И Касперский не помешал экспериментам. А если серьезно, то работа проделана хорошая. Надеюсь, другим поможет и все меньше и меньше будет непонято по сертификатам.
Ну, тут я все-таки рискнул и до начала экспериментов отключил "Устройство" от Подписки на Касперского. Лучше сразу уменьшить счетчик на "одну" активацию при активации на вновь установленной Системе, чем при экспериментах потерять несколько (а может и все, если их оставалось мало). --- По этому поводу уточню - после экспериментов, на основании полученного "опыта" (кстати, Вам Karadag за скрипты и Вам cohos за информацию о своих результатах в постах, и всем, кто делился своей информацией, еще раз спасибо - они сократили время и поддерживали во время экспериментов), я, с полной уверенностью в результате того, что будет, установил "начисто" 26200.7623 (спецом) с KEY-сами по дефолту, обновил KEY-сы (оставив 3 "красных" на "будущее") и, как и должно быть - получив "ошибку" и "повторить" при обновлении "по воздуху", запустил из Параметров Восстановление "по воздуху"... Всё прошло предсказуемо!!! 26200.7840, Касперский активирован, загрузки с флешек (обычные и с "галкой" CA2023 от Rufus-а) - всё на месте!!! ===
ЦитатаKaradag ()
Надеюсь, другим поможет и все меньше и меньше будет непонято по сертификатам.
Лично я придерживаюсь точки зрения - если есть более новая версия BIOS/UEFI для материнки - стоит ее установить.
ЦитатаKaradag ()
Полностью согласен.
Друзья мои! Я с вами полностью согласен. Но я очень осторожен в этих делах, и премного щепетилен. У меня нет ИБП сейчас в наличии, и хотя вариант того, что свет отрубится именно при обновлении BIOS крайне нереален и маловероятен, тем не менее! Я кладу на весы все ЗА и все ПРОТИВ. По "закону подлости", (надеюсь вам известно о таковом), я могу получить в случае обновления BIOS вместо материнской платы - кирпич, со всеми вытекающими последствиями. Если же я не обновляю пока BIOS, то что я в итоге теряю? Наш уважаемый коллега пишет:
ЦитатаKaradag ()
В Вашем BIOS'е изначально не было сертификата Windows UEFI CA 2023, потому у Вас и False.
Ну и что? Если положить на весы 1. Последствия "закона подлости" и 2. Преимущества обновлённого сертификата Windows UEFI CA 2023, я скорее всего выберу вариант №1 и обновлять пока не стану. По крайней мере до того момента, пока не возьму у кого то напрокат этот самый ИБП.
P.S. Я правильно кумекаю, или в моих словах присутствуют нотки дилетантизма, и сочные задатки полного ламерства?
По "закону подлости", (надеюсь вам известно о таковом)
Еще бы не знать! "Плавали - знаем"! Но ведь и "Спортивный интерес" (с его финальными "результатами") еще ни кто не отменял! Так ведь? Да и "шампанское" после "риска", тоже не отменяли!
Vietcongg, А у вас на MSI разве нет технологии, аналогичной как на моей материнской плате есть ASUS USB BIOS FlashBack ? MSI – Flash BIOS Button(полный аналог ASUS FlashBack). Суть технологии на примере ASUS:
Цитата
Что такое USB BIOS FlashBack ASUS USB BIOS FlashBack — это аппаратная функция на материнских платах ASUS, позволяющая прошить BIOS без процессора, оперативной памяти и даже без запуска системы. Достаточно только питания платы и USB‑накопителя. Это уникальная технология, которая служит для восстановления «убитого» BIOS или обновления прошивки в условиях, когда обычные методы недоступны.
Я так понимаю это вы имеете в виду поставить характеристики моего железа к себе в подпись?
Тут вот ИИ выдал интересные факты по Вашей плате. Особенно последняя строчка меня немного удивила.
✔ 1. Проверка Secure Boot в BIOS MSI Шаги: 1. Перезагружаешь ПК. 2. Входишь в BIOS (клавиша DEL). 3. Переходишь в раздел: Settings → Security → Secure Boot Что смотреть: • Secure Boot: Enabled • Secure Boot Mode: Standard • Secure Boot Status: Enabled (или Active) Если всё так — Secure Boot работает корректно.
✔ 2. Проверка ключей Secure Boot (PK, KEK, DB, DBX) В том же меню: Settings → Security → Secure Boot → Key Management Там должны быть: • Platform Key (PK) • Key Exchange Key (KEK) • db (Allowed Signatures) • dbx (Forbidden Signatures) Что важно: • Если ключи загружены — всё нормально. • Если ключи пустые — Secure Boot работать не будет, но это не связано с Option ROM CA 2023.
✔ 3. Проверка, используется ли Option ROM Это важно, потому что сертификат Microsoft Option ROM UEFI CA 2023 нужен только если у тебя включён CSM и используются старые Option ROM. Проверка: 1. В BIOS: Settings → Advanced → Windows OS Configuration 2. Смотри параметр: CSM (Compatibility Support Module) Интерпретация: • CSM Disabled → Option ROM не используется → сертификат Option ROM CA 2023 тебе не нужен. • CSM Enabled → система может загружать старые Option ROM → тогда важно, чтобы устройства имели корректные подписи. На B550 обычно CSM выключен по умолчанию.
✔ 5. Проверка обновлений DBX (через Windows) Открываешь: Панель управления → Безопасность и обслуживание → Безопасность → Secure Boot Если Windows пишет, что Secure Boot включён — значит DBX обновлён до актуального состояния. Windows сама подтягивает DBX‑обновления от Microsoft.
✔ Итог Для MSI MPG B550 Gaming Plus: • отдельного скрипта нет и не нужно; • всё проверяется через BIOS и Windows; • если CSM выключен и Secure Boot включён — сертификат Option ROM CA 2023 тебе не нужен вообще.
Microsoft Option ROM UEFI CA 2023 - это новый сертификат Microsoft для Secure Boot, предназначенный для подписи Option ROM‑модулей (встроенного ПО устройств: сетевых карт, RAID‑контроллеров, видеокарт и т. д.), которые загружаются на этапе UEFI до старта ОС. Он заменяет старые сертификаты 2011 года, срок действия которых начинает истекать в 2026 году.
Для чего он нужен
Этот сертификат используется для:
• Поддержания цепочки доверия Secure Boot — чтобы прошивки устройств могли загружаться на современных системах без ошибок безопасности. • Обеспечения совместимости после 2026 года, когда старые сертификаты перестанут считаться доверенными. • Разделения подписи Option ROM и UEFI‑приложений, так как Microsoft теперь требует отправлять их отдельно и подписывать разными сертификатами.
Нужно ли что‑то делать пользователю
Обычно — нет. Windows 10/11 автоматически обновляет Secure Boot DB и добавляет новые сертификаты через Windows Update. Производители материнских плат также выпускают обновления BIOS/UEFI с новыми ключами.
Спасибо. Вы меня обнадёжили. Я правильно понимаю: У меня режим BIOS UEFI, и следовательно GSM выключен априори? Так как при выборе в BIOS есть только: или GSM, или UEFI.
В связи с введением в действие Постановления Правительства Российской Федерации от 14.11.2023 № 1905 т.н. "о запрете популяризации VPN" с 1 марта 2024 года - любое обсуждение способов обхода блокировок и VPN на портале запрещено!