Ошибка Обновленные сертификаты безопасной загрузки доступны на этом устройстве, но еще не применены ко встроенному ПО в просмотре событий

При просмотре событий в Windows 11/10 пользователи могут обратить внимание на событие с кодом 1801 от источника TPM-WMI и описанием «Обновленные сертификаты безопасной загрузки доступны на этом устройстве, но еще не применены ко встроенному ПО» или «Secure Boot certificates have been updated but are not yet applied to the device firmware. Review the published guidance to complete the update and ensure full protection».

В этой инструкции о том, что это за ошибка, почему возникает, нужно ли предпринимать какие-либо действия и как именно вы можете её исправить, если решите это сделать.

Срок действия сертификатов Microsoft Windows Production PCA 2011

Для загрузки с включённым режимом безопасной загрузки (Secure Boot) загрузчики подписываются специальным сертификатом безопасности, а в UEFI хранится, в том числе, список разрешённых сертификатов. Используемый на большинстве компьютеров с включенной безопасной загрузкой сертификат Microsoft Windows Production PCA 2011 истекает в июне 2026 года и для безопасной загрузки потребуется сертификат Windows UEFI CA 2023, а также загрузчик Windows, подписанный новым сертификатом.

Ошибка TPM-WMI с кодом события 1801 «Обновленные сертификаты безопасной загрузки доступны на этом устройстве, но еще не применены ко встроенному ПО», которое появляется на совместимых системах после установки обновления KB5066128 через некоторое время после каждой загрузки — не совсем ошибка, а, скорее — предупреждение о предстоящих изменениях.

Указанное событие говорит о том, что сами сертификаты на компьютере (в Windows) были обновлены, но в настоящий момент времени не выполняются (одновременно) 2 условия:

• В списке разрешённых сертификатов в UEFI DB присутствуют актуальные Windows UEFI CA 2023
• Для загрузки системы используется загрузчик, подписанный актуальным сертификатом

На официальной странице справки, касающейся обновления сертификатов безопасной загрузки в разделе для домашних пользователей прямо указано, что все необходимые действия будут в дальнейшем выполнены с помощью Центра обновлений Windows.

Наблюдаемое событие (на момент написания этого материала и до лета 2026) не влияет на работу системы и не требует от вас каких-либо действий. Однако, при желании, вы можете выполнить все действия вручную уже сейчас.

Установка Windows UEFI CA 2023 и подписанного загрузчика

Прежде чем приступить к описанию действий, позволяющих убрать рассматриваемую ошибку в просмотре событий, установить сертификаты в UEFI и заменить загрузчик Windows на подписанный новым сертификатом, несколько важных нюансов:

• Это не рекомендация, а пример действий. Рекомендация — дождаться, когда всё необходимое будет выполнено через Центр обновления.
• Если вы не уверены в своих силах, лучше не браться, потенциально возможны: проблемы с загрузкой и необходимость восстанавливать загрузчик или отключать Secure Boot, проблемы с BitLocker (желательно приостановить, убедиться, что у вас есть ключ восстановления в учётной записи Майкрософт или в другом расположении).

Теперь пример порядка действий:

1. Запустите Терминал Windows (Windows PowerShell) от имени администратора, сделать это можно по правому клику на кнопке «Пуск».
2. По порядку введите команды (первая включает режим обновления, вторая — запускает задание обновления):

   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

   
3. Через некоторое время (5 минут) перезагрузите компьютер, проверьте наличие новых сертификатов в списке разрешённых в базе UEFI с помощью команды PowerShell

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name db).Bytes) -match "Windows UEFI CA 2023"

   Если команда выдаст True, переходим к следующему шагу. Значение «False» говорит о том, что что-то пошло не так при добавлении.
4. Откройте редактор реестра (Win+R — regedit) и перейдите к разделу

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

   и обратите внимание на значение параметра UEFICA2023Status.
5. Если он равен Updated, процесс уже завершён и в части разрешённых сертификатов, и в части загрузчика. Посмотреть подписи текущего загрузчика можно с помощью signtool.exe (не входит в состав Windows):
6. Если значение UEFICA2023Status равно InProgress, повторите шаг 2, через некоторое время снова зайдите в указанный раздел реестра и проверьте, изменилось ли значение на Updated (обновлено).

Если всё прошло успешно и на компьютере включена безопасная загрузка, рассматриваемая ошибка в просмотре событий перестанет появляться, а последние события TPM-WMI, связанные с сертификатами, будут иметь уровень «Сведения» и описания «Обновление базы данных безопасной загрузки для установки сертификата ЦС UEFI 2023 для дополнительного ПЗУ Майкрософт применено», «Обновление базы данных безопасной загрузки для установки сертификата ЦС UEFI 2023 Майкрософт применено»:

Дополнительная информация

В завершение некоторая дополнительная информация, которая может быть полезной в контексте рассмотренной темы.

Значения параметра UEFICA2023Status в разделе реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

• NotStarted — обновление не запущено
• InProgress — обновление в процессе (в том числе, когда выполнен лишь один из этапов, например, добавление сертификатов в базу данных UEFI)
• Updated — обновление полностью завершено (используются новые сертификаты и подписанный ими загрузчик)

Значения параметра WindowsUEFICA2023Capable:

• 0x0 — Windows UEFI CA 2023 отсутствуют в базе данных UEFI и загрузчике
• 0x1 — новые сертификаты есть в списке разрешённых UEFI
• 0x2 — из официальной документации: сертификат есть в базе данных разрешённых, и система загружается с использованием загрузчика, подписанного Windows UEFI CA Однако в моём тесте на двух устройствах, при статусе NotStarted или InProgress фактически использовался загрузчик, подписанный Microsoft Windows Production PCA 2011, несмотря на значение 2 в этом параметре (который означал лишь наличие сертификата в списке разрешенных в базе).

В некоторых случаях первый этап (добавление сертификатов в DB) проходит успешно, однако загрузчик не меняется. Его можно заменить и вручную: в самой Windows файлы загрузчика, подписанные новой подписью, присутствуют в папке

C:\Windows\Boot\EFI_EX\

Важно: это не руководство к действию, и я не рекомендую выполнять следующие команды, если вы не готовы к потенциальным проблемам с загрузкой ОС или BitLocker при отсутствии ключа восстановления. Учитывайте, если команда из 3-го шага инструкции выше сообщает «False», безопасная загрузка с новым загрузчиком не сможет быть выполнена.

Пример команд для замены загрузчика на новый для запуска в командной строке от имени администратора (не в PowerShell):

mountvol z: /s
ren z:\EFI\boot\bootx64.efi bootx64.efi.bak
xcopy C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi z:\EFI\boot\bootx64.efi
xcopy C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi z:\EFI\Microsoft\Boot\bootmgfw.efi
mountvol z: /d

Надеюсь, материал помог разобраться в сути сообщения в «Просмотре событий» и, если это требовалось — выполнить обновление сертификатов безопасной загрузки и самого загрузчика Windows.