
При очередном включении ПК или ноутбука с Windows 11/10 или другой операционной системы, либо при попытке загрузки с загрузочной флешки, некоторые пользователи могут увидеть сообщение об ошибке с заголовком «Secure Boot Violation». Текст ошибки может отличаться: «The system found unauthorized changes on the firmware, operating system or drivers», «Invalid signature detected» и другие.
В этой инструкции подробно о возможных причинах ошибки и способах её исправить в различных ситуациях. Примечание: если вы столкнулись с ошибкой после недавнего обновления или сброса БИОС/UEFI для ранее исправно работавшей с Безопасной загрузкой (Secure Boot) Windows 11, вероятнее всего вам пригодится вторая часть инструкции.
Причины ошибки и варианты решения

Ошибки Secure Boot Violation связаны с тем, что при включенной безопасной загрузке (Secure Boot) загрузка с данного накопителя невозможна, так как загрузчик не содержит необходимой подписи. В некоторых случаях ошибка может появляться даже если всего день назад всё исправно работало. Возможные примеры ситуаций, при которых можно столкнуться с рассматриваемой ошибкой:
- Пользователь хотел включить безопасную загрузку в БИОС, но установленная система её не поддерживает (используется загрузчик, не являющейся доверенным с «точки зрения» UEFI).
- Ошибка из-за несоответствия подписей EFI-загрузчика Windows 11/10 на диске и разрешенными подписями в DB UEFI, связано с истечением срока действия сертификатов Microsoft Windows Production PCA 2011 в 2026 году и переходом на Windows UEFI CA 2023. Может происходить после сброса/обновления БИОС. Решение подробно рассмотрено в отдельном разделе инструкции ниже.
- В БИОС/UEFI включена опция Secure Boot, но вы используете загрузочную флешку, которая не может работать с этой опцией, так как использует недоверенный загрузчик.
- Были сброшены параметры БИОС/UEFI, из-за чего был выбран другой накопитель для загрузки, изменились параметры режима загрузки (UEFI/Legacy), включилась ранее отключенная опция Secure Boot.
- После сброса или обновления БИОС могли обновиться (или быть удалены добавленные ОС) ключи безопасности.
- Были подключены новые накопители: USB, SSD, HDD, компьютер «пробует» загрузиться с них.
- Для загрузочной флешки Ventoy — отдельная инструкция по ошибке Verification failed: 0x1A Security Violation.
- Редко — были изменены загрузочные файлы Windows или другой ОС, вручную или вредоносным ПО, повреждены данные на диске из-за ошибок файловой системы, были установлены неподписанные драйверы устройств.
В базовом варианте обычно достаточно выполнить следующие шаги:
- Зайдите в БИОС/UEFI, обычно это клавиша F2 на ноутбуке или Del на ПК, но возможны и другие варианты.
- Убедитесь, что в параметрах загрузки (обычно — вкладка Boot) установлено верное устройство загрузки, если это не так — измените его. В случае Windows выберите «Windows Boot Manager» (при условии, что такой пункт присутствует), а не конкретный диск, сохраните настройки БИОС (обычно F10) и перезагрузитесь, проверьте, была ли решена проблема. Может иметь смысл отключить ненужные съемные накопители.
- Проверьте, решает ли проблему отключение Secure Boot в БИОС (установите значение параметра в Disabled, обычно где-то на вкладке «Security»). Подробнее в статье (только нужно будет сделать наоборот): Как включить безопасную загрузку Secure Boot.

- Если отключение Secure Boot помогло и речь идёт о загрузке уже установленной Windows, но требуется обратно включить эту функцию, возможно, сработает отключение проверки цифровой подписи драйверов.
- Проверьте, исчезает ли ошибка, если включить режим загрузки Legacy (CSM) вместо UEFI. Актуально в случае отсутствия пункта «Windows Boot Manager» при выборе вариантов загрузки. В некоторых случаях включение Legacy выглядит как выбор ОС между Windows и «Other OS» — следует выбрать Other OS.

- Можно попробовать удалить ключи защиты в разделе Key management или аналогичном в БИОС, а затем создать их заново. Пункты могут называться по-разному в различных версиях БИОС.
Истечение срока действия сертификатов безопасной загрузки
Несмотря на то, что для многих пользователей будут актуальны решения, представленные далее в инструкции, в 2026 году самым актуальным фактором, вызывающим появление ошибки Secure Boot Violation, является истечение сроков действия сертификатов безопасной загрузки Microsoft Windows Production PCA 2011, которые использовались до сих пор.
В связи с отзывом указанного сертификата Windows 11 автоматически, в фоновом режиме с помощью Центра обновлений выполняет следующие действия:
- Добавляет новые сертификаты Windows UEFI CA 2023 в список разрешённых (DB) в UEFI
- Если первый этап выполнен успешно (или указанные сертификаты уже присутствуют в списке разрешённых (могут добавляться в обновлениях БИОС/UEFI производителем или изначально присутствовать на новых материнских платах), обновляет файлы загрузчика новыми, подписанными с помощью Windows UEFI CA 2023.
Как это может приводить к ошибкам Secure Boot Violation, а также некоторые дополнительные нюансы:
- Если в UEFI вашей материнской платы не содержится Windows UEFI CA 2023 от производителя, при этом эти сертификаты были успешно добавлены в DB самой Windows, то после сброса ключей Secure Boot в UEFI (или сброса CMOS/БИОС) вы можете получить следующую ситуацию: загрузчик подписан новым сертификатом, в то время как в UEFI он отсутствует в списке разрешённых. Результат — рассматриваемая ошибка.
- По истечении срока действия сертификата Microsoft Windows Production PCA 2011 он может быть помещён в базу данных запрещённых (DBX) в UEFI самой Windows или при обновлении БИОС от производителя (на момент написания статьи этого не происходило). Если при этом загрузчик подписан старым сертификатом вы получите то же сообщение об ошибке.
- Использование опции «Use Windows UEFI CA 2023» в Rufus создаёт накопитель, подписанный новым сертификатом: при его отсутствии в списке DB в UEFI вы не сможете загрузиться с такой флешки с включенной опцией Secure Boot. Некоторые актуальные образы Windows 11 со сторонних сайтов также имеют загрузчики, подписанные новыми сертификатами.
- Перемещение диска с ОС между разными компьютерами также может приводить к «Secure Boot Violation» из-за указанного фактора.
Большинство обращений пользователей по проблеме в последние месяцы связаны с первым фактором: поломкой работы Secure Boot после сброса БИОС или очистки ключей Secure Boot.
Способы это исправить:
- Простой (и самый правильный) вариант для материнских плат, которые продолжают получать обновления БИОС: зайдите на официальный сайт производителя материнской платы и проверьте, доступны ли обновления БИОС, особенно те, в описании которых есть указание на Windows UEFI CA 2023. При наличии — загрузите и установите, строго следуя инструкциям производителя (процедура потенциально опасна, будьте внимательны). После этого загрузка с включенной опцией Secure Boot станет возможна.
- Отключить Secure Boot, если функция вам не требуется.
- Вручную подменить файлы загрузчика на разделе EFI на подписанные нужными сертификатами (действия будут описаны далее).
Если вы решите пойти третьим путём, учитывайте следующие моменты:
- Все действия описаны для Windows 11, которая уже установлена на диске, ранее исправно загружалась с включенной опцией Secure Boot, но после каких-то действий, приводящих к сбросу ключей безопасной загрузки в UEFI стала сообщать о Secure Boot Violation.
- Выполнение действий требует некоторых навыков и понимания выполняемых команд, всё под вашу ответственность.
Шаги по замене файлов загрузчика на подписанные нужным сертификатом (проверено на Windows 11 25H2, в дальнейшем могут быть изменения):
- Загрузите компьютер с отключенной функцией Secure Boot.
- Запустите Терминал Windows (Windows PowerShell) от имени администратора (можно использовать меню по правому клику на кнопке «Пуск», после чего выполните следующие команды:
mountvol z: /s ([System.Security.Cryptography.X509Certificates.X509Certificate2]::CreateFromSignedFile("z:EFIbootbootx64.efi")).Issuer mountvol z: /dПосле выполнения второй команды обратите внимание на параметр «CN». Если там указано Windows UEFI CA 2023, судя по всему, проблема именно в том, что загрузчик подписан новым сертификатом, а UEFI о нём «не знает».

- Примечание: если для проверки подписи использовать команду PowerShell Get-AuthenticodeSignature вы можете получить сведения о подписи, отличающиеся от тех, что выдаёт команда на первом шаге. Однако, происходит это не из-за фактического наличия второй подписи (Dual Signature), а потому что PowerShell проверяет подпись по каталогам безопасности и видит старую подпись системы для файла (не ту, что фактически вшита в файле .efi).
- Выполните команду
([System.Security.Cryptography.X509Certificates.X509Certificate2]::CreateFromSignedFile("C:WindowsBootEFIbootmgfw.efi")).Issuerи обратите внимание на то же самое поле. Если там указано Microsoft Windows Production PCA 2011 — отлично, это — резервная копия файла загрузчика, подписанная старым сертификатом, которую можно использовать.
- Для замены файлов загрузчика по порядку используйте команды PowerShell (Внимание: рекомендую предварительно создать загрузочную флешку с дистрибутивом Windows или WinPE, она пригодится для восстановления загрузки, если что-то пойдет не так):
mountvol z: /s Rename-Item z:EFIbootbootx64.efi bootx64.efi.bak Copy-Item C:WindowsBootEFIbootmgfw.efi z:EFIbootbootx64.efi Rename-Item z:EFIMicrosoftBootbootmgfw.efi bootmgfw.efi.bak Copy-Item C:WindowsBootEFIbootmgfw.efi z:EFIMicrosoftBootbootmgfw.efi mountvol z: /d

- Закройте окно терминала (PowerShell) и перезагрузите компьютер, при перезагрузке зайдите в UEFI и включите Secure Boot. Если всё прошло удачно, загрузка будет выполнена успешно с включенной безопасной загрузкой.
Если замена файлов загрузчика привела к ошибкам при загрузке (не связанным с Secure Boot), загрузитесь с загрузочной флешки или WinPE, после чего выполните следующие действия (пример для установочной флешки):
- Нажмите клавиши Shift+F10 (иногда — Shift+Fn+F10) прямо в программе установки, это откроет командную строку.
- По порядку выполните следующие команды, заменив N в третьей команде на номер раздела с загрузчиком (EFI, FAT32, обычно — 100-300 Мб):
diskpart list volume select volume N assign letter=Z exit del z:EFIbootbootx64.efi ren z:EFIbootbootx64.efi.bak bootx64.efi del z:EFIMicrosoftBootbootmgfw.efi ren z:EFIMicrosoftBootbootmgfw.efi.bak bootmgfw.efi
- Закройте программу установки, снова установите загрузку с Windows Boot Manager в UEFI. Это не решит проблему с Secure Boot Violation, но вернёт вас к исходному состоянию загрузчика, с которого вы начинали.
Если ваша ситуация с ошибкой Secure Boot Violation отличается от приведённых в статье, опишите её в деталях в комментариях ниже, я постараюсь помочь.