こんにちは。パソコンドック24 名古屋・庄内緑地公園店です。
2例ほど実際のセキュアブート違反で起動できないパソコンの修復事例をブログにしました。
1・Secure Boot Violation エラーで起動しない
2・【無効な署名が検出されました】HP 24-df0043jp AiO 証明書エラー
それぞれ回復した対処法が違っていますが、推測も交えて説明していきます。
また、2例ほど別のパソコンであった症状を紹介します。
最終的には確認と更新の手法をまとめて記載します。
セキュアブートOFF状態でもセキュアブート証明書は更新される?
当店で使用している事務用・受付け用パソコン3台のお話です。
セキュアブート証明書の更新トラブルが起きたため、店内すべてのパソコンを確認しました。
その中で受付け専用の2台と事務用パソコン1台で、セキュアブートがOFFになっているのが見つかりました。
通常、Windows11をインストールする際にはセキュアブートをONで作業しますがなぜかOFFのままで使用していたようです。
これでは安全面で問題があるので、セキュアブートをONにしました。
再起動でそのまま起動して問題なく使用できたのですが、確認してみたところセキュアブートキーは更新済みの状態でした。
(確認方法は後述)
セキュアブートOFFの状態では証明書更新がおこなわれないと読んだ記憶がありますが、どうやらOFFでも更新自体はおこなわれるようです。
(すべてのパソコンに当てはまるかどうかはわかりません)
証明書更新はできているのに「更新が必要」
もう一つ実例です。
店舗での販売用中古デスクトップパソコンでデバイスセキュリティを確認したところ、
「セキュアブートはオンになっていますが、デバイスは古いブート構成を使用しており、サービス可能な状態を維持するために更新する必要があります。」
となっていました。
セキュアブート証明書自体の更新は終わっていましたが、1ヶ所おかしなところがありました。
DBx(無効証明書の登録)欄に、Microsoft Windows PCA 2010 とありますが、上にあるところに2010に当たるものはありません。
DBxの更新で、Microsoft Windows Production PCA 2011を登録してみました。
登録後にはデバイスセキュリティは「セキュアブートがオンになっており、必要なすべての証明書の更新が適用されました。これ以上の証明書の更新は必要ありません。」と変化しました。
※デバイスセキュリティの確認法は
「Secure Boot Violation エラーで起動しない」
をご覧ください。
セキュアブート証明書の整合性
セキュアブート証明書違反が起きる仕組みを説明します。
BIOS側の証明書には PK・KEK・DB・DBxの4種類がありますが、その役割は他の解説ページに譲ります。
KEK・DB内の4つの証明書と、Windows Boot Managerにある証明書が更新されます。
KEK
旧 Microsoft Corporation KEK CA 2011 → 新 Microsoft Corporation KEK 2K CA 2023
DB(データベース)
旧 Microsoft Windows Production PCA 2011 → 新 Windows UEFI CA 2023
旧 Microsoft UEFI CA 2011 → 新 Microsoft UEFI CA 2023 + Microsoft Option ROM UEFI CA 2023(新設)
Windows Boot Manager
旧 Microsoft Windows Production PCA 2011 → 新 Windows UEFI CA 2023
この中で、証明書違反で起動できなくなるのに関係があるのは、Windows Boot Manager とDBにある「Microsoft Windows Production PCA 2011」と「Windows UEFI CA 2023」です。
単純に書くと起動不能が起こる組み合わせは、下記の2つです。
DB:Microsoft Windows Production PCA 2011 ー Windows Boot Manager:Windows UEFI CA 2023
DB:Windows UEFI CA 2023 ー Windows Boot Manager:Microsoft Windows Production PCA 2011
正常な組み合わせは
DB:Microsoft Windows Production PCA 2011 ー Windows Boot Manager:Microsoft Windows Production PCA 2011
DB:Windows UEFI CA 2023 ー Windows Boot Manager:Windows UEFI CA 2023
何らかの理由により、DBもしくはWindows Boot Managerのどちらかのみが更新できなかったときに起動できなくなります。
現状では2011と2023の署名は両方有効なので、片方が更新できない場合でもすぐに起動不能にはなりませんので、予定外の症状であろうといえます。
一番ありそうなのは、Windows Boot ManagerがWindows UEFI CA 2023になったのに、BIOS側が更新に失敗してMicrosoft Windows Production PCA 2011のままになってしまうパターンでしょうか。
以下は推測した原因です。
「1・Secure Boot Violation エラーで起動しない」
BIOS更新後キーのデフォルトリセットで起動しているので、Boot Managerキーが更新されていなくて2011のままなのにBIOS側は2023のみになり2011がなかった可能性がある。
「2・【無効な署名が検出されました】HP 24-df0043jp AiO 証明書エラー」
こちらは Boot Manager のキーが2023になっているのに、BIOS側の更新が失敗して2011しかなかった可能性がある。
セキュアブート証明書の確認方法
現状の更新状態を調べたいとき(起動不能の復旧後や予防での確認)には、PowerShellでBIOS側の証明書の確認をします。
PowerShellを管理者権限で起動します。
証明書確認
>foreach ($var in @(‘PK’,’KEK’,’DB’,’DBX’)) { “`n${var}:”; (Get-SecureBootUEFI -Name $var -Decoded).Subject }
この写真では矢印の部分は2011でそれ以外の部分に2023があります。
両方があるのが、正常に更新済みの場合です。
2023がない場合は更新前か失敗の時となります。
Windows Boot Manager 証明書の確認
PowerShellを管理者として起動させます。
>diskpart
>list disk
ドライブのリストが出ます。
通常はWindowsのドライブはdisk 0と思います。
>sel disk 0
>list part
パーティションリスト表示
Boot Manager のあるパーティションは先頭のパーティーションで、通常は100Mほどのサイズです。
>sel part 1
>assign letter=z
パーティーションをzドライブとしてマウントします。
>exit
DSKPARTの終了
>copy z:\EFI\Microsoft\Boot\bootmgfw.efi d:\
(\は¥になります。コピー先ドライブはdとしていますが、任意のドライブ・フォルダーです)
bootmgfw.efi(Boot Manager)をdドライブにコピーします。
EFIシステムパーティションのマウントを解除
> diskpart
>sel disk 0
>list part
>sel part *(*はzドライブのナンバー)
>remove letter=z
>exit
コピー済みの bootmgfw.efi を右クリックしてプロパティを開きます。
「デジタル署名」を選択し、”Microsoft Windows”のエントリを選択し、「詳細」をクリックします。
「証明書の表示」をクリック。
発行者の欄に証明書が表示されています。
証明書の手動更新
各証明書を確認して2023がなかったり、不具合がある場合の手動更新方法です。
PowerShellの管理者実行でおこないます。
BIOS側証明書の追加
>reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
>Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
成功したら再起動します。
通常はこれでキーが4つ追加されます。
成功していたら、Boot Managerを更新します。
>Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
もう一度再起動します。
これで更新ができているはずですので、証明書の確認をしておきます。
「証明書更新はできているのに「更新が必要」」の項目のような場合の、DBxの更新。
通常は自動でおこなわれるのを待ちますので、必要ありません。
DBxの更新
>reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x2 /f
>Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
再起動
DBx に PCA 2011 の追加(強制失効)
>reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
>Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
再起動
他にも少しありますが、ここまででひとまず終了です。
注意点
BitLocker暗号化がないことが前提です。
コマンドでの更新はレジストリを変更しますので、あくまで自己責任です。
当店でお客様の環境を変更する場合は、コピーしたSSDに交換しておこなっています。
リスクがあることを理解した上でおこなってください。
最後まで読んでくださった方、お疲れ様でした。
長文で申し訳ありません。
トラブルから復帰できる幸せを願っております。
名古屋・庄内緑地公園店オフィシャルサイト
名古屋・庄内緑地公園店オフィシャルサイトでもブログを公開中です。
ぜひご覧ください。
公開:
