Полезные советы

Ошибка Secure Boot Violation — как исправить?

Ошибка Secure Boot Violation — как исправить?

При очередном включении ПК или ноутбука с Windows 11/10 или другой операционной системы, либо при попытке загрузки с загрузочной флешки, некоторые пользователи могут увидеть сообщение об ошибке с заголовком «Secure Boot Violation». Текст ошибки может отличаться: «The system found unauthorized changes on the firmware, operating system or drivers», «Invalid signature detected» и другие.

В этой инструкции подробно о возможных причинах ошибки и способах её исправить в различных ситуациях. Примечание: если вы столкнулись с ошибкой после недавнего обновления или сброса БИОС/UEFI для ранее исправно работавшей с Безопасной загрузкой (Secure Boot) Windows 11, вероятнее всего вам пригодится вторая часть инструкции.

Причины ошибки и варианты решения

Ошибка Secure Boot Violation — как исправить?

Ошибки Secure Boot Violation связаны с тем, что при включенной безопасной загрузке (Secure Boot) загрузка с данного накопителя невозможна, так как загрузчик не содержит необходимой подписи. В некоторых случаях ошибка может появляться даже если всего день назад всё исправно работало. Возможные примеры ситуаций, при которых можно столкнуться с рассматриваемой ошибкой:

  • Пользователь хотел включить безопасную загрузку в БИОС, но установленная система её не поддерживает (используется загрузчик, не являющейся доверенным с «точки зрения» UEFI).
  • Ошибка из-за несоответствия подписей EFI-загрузчика Windows 11/10 на диске и разрешенными подписями в DB UEFI, связано с истечением срока действия сертификатов Microsoft Windows Production PCA 2011 в 2026 году и переходом на Windows UEFI CA 2023. Может происходить после сброса/обновления БИОС. Решение подробно рассмотрено в отдельном разделе инструкции ниже.
  • В БИОС/UEFI включена опция Secure Boot, но вы используете загрузочную флешку, которая не может работать с этой опцией, так как использует недоверенный загрузчик.
  • Были сброшены параметры БИОС/UEFI, из-за чего был выбран другой накопитель для загрузки, изменились параметры режима загрузки (UEFI/Legacy), включилась ранее отключенная опция Secure Boot.
  • После сброса или обновления БИОС могли обновиться (или быть удалены добавленные ОС) ключи безопасности.
  • Были подключены новые накопители: USB, SSD, HDD, компьютер «пробует» загрузиться с них.
  • Для загрузочной флешки Ventoy — отдельная инструкция по ошибке Verification failed: 0x1A Security Violation.
  • Редко — были изменены загрузочные файлы Windows или другой ОС, вручную или вредоносным ПО, повреждены данные на диске из-за ошибок файловой системы, были установлены неподписанные драйверы устройств.

В базовом варианте обычно достаточно выполнить следующие шаги:

  1. Зайдите в БИОС/UEFI, обычно это клавиша F2 на ноутбуке или Del на ПК, но возможны и другие варианты.
  2. Убедитесь, что в параметрах загрузки (обычно — вкладка Boot) установлено верное устройство загрузки, если это не так — измените его. В случае Windows выберите «Windows Boot Manager» (при условии, что такой пункт присутствует), а не конкретный диск, сохраните настройки БИОС (обычно F10) и перезагрузитесь, проверьте, была ли решена проблема. Может иметь смысл отключить ненужные съемные накопители.
  3. Проверьте, решает ли проблему отключение Secure Boot в БИОС (установите значение параметра в Disabled, обычно где-то на вкладке «Security»). Подробнее в статье (только нужно будет сделать наоборот): Как включить безопасную загрузку Secure Boot.

    Ошибка Secure Boot Violation — как исправить?

  4. Если отключение Secure Boot помогло и речь идёт о загрузке уже установленной Windows, но требуется обратно включить эту функцию, возможно, сработает отключение проверки цифровой подписи драйверов.
  5. Проверьте, исчезает ли ошибка, если включить режим загрузки Legacy (CSM) вместо UEFI. Актуально в случае отсутствия пункта «Windows Boot Manager» при выборе вариантов загрузки. В некоторых случаях включение Legacy выглядит как выбор ОС между Windows и «Other OS» — следует выбрать Other OS.

    Ошибка Secure Boot Violation — как исправить?

  6. Можно попробовать удалить ключи защиты в разделе Key management или аналогичном в БИОС, а затем создать их заново. Пункты могут называться по-разному в различных версиях БИОС.

Истечение срока действия сертификатов безопасной загрузки

Несмотря на то, что для многих пользователей будут актуальны решения, представленные далее в инструкции, в 2026 году самым актуальным фактором, вызывающим появление ошибки Secure Boot Violation, является истечение сроков действия сертификатов безопасной загрузки Microsoft Windows Production PCA 2011, которые использовались до сих пор.

В связи с отзывом указанного сертификата Windows 11 автоматически, в фоновом режиме с помощью Центра обновлений выполняет следующие действия:

  • Добавляет новые сертификаты Windows UEFI CA 2023 в список разрешённых (DB) в UEFI
  • Если первый этап выполнен успешно (или указанные сертификаты уже присутствуют в списке разрешённых (могут добавляться в обновлениях БИОС/UEFI производителем или изначально присутствовать на новых материнских платах), обновляет файлы загрузчика новыми, подписанными с помощью Windows UEFI CA 2023.

Как это может приводить к ошибкам Secure Boot Violation, а также некоторые дополнительные нюансы:

  • Если в UEFI вашей материнской платы не содержится Windows UEFI CA 2023 от производителя, при этом эти сертификаты были успешно добавлены в DB самой Windows, то после сброса ключей Secure Boot в UEFI (или сброса CMOS/БИОС) вы можете получить следующую ситуацию: загрузчик подписан новым сертификатом, в то время как в UEFI он отсутствует в списке разрешённых. Результат — рассматриваемая ошибка.
  • По истечении срока действия сертификата Microsoft Windows Production PCA 2011 он может быть помещён в базу данных запрещённых (DBX) в UEFI самой Windows или при обновлении БИОС от производителя (на момент написания статьи этого не происходило). Если при этом загрузчик подписан старым сертификатом вы получите то же сообщение об ошибке.
  • Использование опции «Use Windows UEFI CA 2023» в Rufus создаёт накопитель, подписанный новым сертификатом: при его отсутствии в списке DB в UEFI вы не сможете загрузиться с такой флешки с включенной опцией Secure Boot. Некоторые актуальные образы Windows 11 со сторонних сайтов также имеют загрузчики, подписанные новыми сертификатами.
  • Перемещение диска с ОС между разными компьютерами также может приводить к «Secure Boot Violation» из-за указанного фактора.
Читайте также:  Средиземноморская диета: пирамида и рецепты для похудения

Большинство обращений пользователей по проблеме в последние месяцы связаны с первым фактором: поломкой работы Secure Boot после сброса БИОС или очистки ключей Secure Boot.

Способы это исправить:

  1. Простой (и самый правильный) вариант для материнских плат, которые продолжают получать обновления БИОС: зайдите на официальный сайт производителя материнской платы и проверьте, доступны ли обновления БИОС, особенно те, в описании которых есть указание на Windows UEFI CA 2023. При наличии — загрузите и установите, строго следуя инструкциям производителя (процедура потенциально опасна, будьте внимательны). После этого загрузка с включенной опцией Secure Boot станет возможна.
  2. Отключить Secure Boot, если функция вам не требуется.
  3. Вручную подменить файлы загрузчика на разделе EFI на подписанные нужными сертификатами (действия будут описаны далее).

Если вы решите пойти третьим путём, учитывайте следующие моменты:

  • Все действия описаны для Windows 11, которая уже установлена на диске, ранее исправно загружалась с включенной опцией Secure Boot, но после каких-то действий, приводящих к сбросу ключей безопасной загрузки в UEFI стала сообщать о Secure Boot Violation.
  • Выполнение действий требует некоторых навыков и понимания выполняемых команд, всё под вашу ответственность.

Шаги по замене файлов загрузчика на подписанные нужным сертификатом (проверено на Windows 11 25H2, в дальнейшем могут быть изменения):

  1. Загрузите компьютер с отключенной функцией Secure Boot.
  2. Запустите Терминал Windows (Windows PowerShell) от имени администратора (можно использовать меню по правому клику на кнопке «Пуск», после чего выполните следующие команды:
    mountvol z: /s ([System.Security.Cryptography.X509Certificates.X509Certificate2]::CreateFromSignedFile("z:EFIbootbootx64.efi")).Issuer mountvol z: /d

    После выполнения второй команды обратите внимание на параметр «CN». Если там указано Windows UEFI CA 2023, судя по всему, проблема именно в том, что загрузчик подписан новым сертификатом, а UEFI о нём «не знает».

    Ошибка Secure Boot Violation — как исправить?

  3. Примечание: если для проверки подписи использовать команду PowerShell Get-AuthenticodeSignature вы можете получить сведения о подписи, отличающиеся от тех, что выдаёт команда на первом шаге. Однако, происходит это не из-за фактического наличия второй подписи (Dual Signature), а потому что PowerShell проверяет подпись по каталогам безопасности и видит старую подпись системы для файла (не ту, что фактически вшита в файле .efi).
  4. Выполните команду
    ([System.Security.Cryptography.X509Certificates.X509Certificate2]::CreateFromSignedFile("C:WindowsBootEFIbootmgfw.efi")).Issuer

    и обратите внимание на то же самое поле. Если там указано Microsoft Windows Production PCA 2011 — отлично, это — резервная копия файла загрузчика, подписанная старым сертификатом, которую можно использовать.

  5. Для замены файлов загрузчика по порядку используйте команды PowerShell (Внимание: рекомендую предварительно создать загрузочную флешку с дистрибутивом Windows или WinPE, она пригодится для восстановления загрузки, если что-то пойдет не так):
    mountvol z: /s Rename-Item z:EFIbootbootx64.efi bootx64.efi.bak Copy-Item C:WindowsBootEFIbootmgfw.efi z:EFIbootbootx64.efi Rename-Item z:EFIMicrosoftBootbootmgfw.efi bootmgfw.efi.bak Copy-Item C:WindowsBootEFIbootmgfw.efi z:EFIMicrosoftBootbootmgfw.efi mountvol z: /d

    Ошибка Secure Boot Violation — как исправить?

  6. Закройте окно терминала (PowerShell) и перезагрузите компьютер, при перезагрузке зайдите в UEFI и включите Secure Boot. Если всё прошло удачно, загрузка будет выполнена успешно с включенной безопасной загрузкой.

Если замена файлов загрузчика привела к ошибкам при загрузке (не связанным с Secure Boot), загрузитесь с загрузочной флешки или WinPE, после чего выполните следующие действия (пример для установочной флешки):

  1. Нажмите клавиши Shift+F10 (иногда — Shift+Fn+F10) прямо в программе установки, это откроет командную строку.
  2. По порядку выполните следующие команды, заменив N в третьей команде на номер раздела с загрузчиком (EFI, FAT32, обычно — 100-300 Мб):
    diskpart list volume select volume N assign letter=Z exit del z:EFIbootbootx64.efi ren z:EFIbootbootx64.efi.bak bootx64.efi del z:EFIMicrosoftBootbootmgfw.efi ren z:EFIMicrosoftBootbootmgfw.efi.bak bootmgfw.efi
  3. Закройте программу установки, снова установите загрузку с Windows Boot Manager в UEFI. Это не решит проблему с Secure Boot Violation, но вернёт вас к исходному состоянию загрузчика, с которого вы начинали.

Если ваша ситуация с ошибкой Secure Boot Violation отличается от приведённых в статье, опишите её в деталях в комментариях ниже, я постараюсь помочь.

Источник

Вам также может понравиться...

Добавить комментарий