Windows bootmgr encountered a security validation or internal error — варианты решения
При загрузке с флешки Windows 11/10, созданной с помощью Rufus, многие пользователи сталкиваются с сообщением об ошибке «FAIL Windows bootmgr encountered a security validation or internal error», даже в случае использования оригинального последнего образа. Причём установка с этой же флешки на другом компьютере может происходить без ошибок.
В этой инструкции подробно о том, чем вызвана такая ошибка и способы её исправить, если вы с ней столкнулись.
Способы исправить ошибку

Сначала об основных способах исправить ошибку «Windows bootmgr encountered a security validation or internal error», загрузиться с флешки, созданной с помощью Rufus и установить Windows 11/10, если вы с ней столкнулись, а в следующем разделе — о её причинах. Есть следующие варианты решения:
- Отключить Secure Boot в UEFI и сохранить настройки, загрузиться с флешки — установка должна запуститься без ошибок. Более того, в большинстве случаев в уже установленной ОС вы можете включить безопасную загрузку, и она будет исправно работать (если этого не произошло, предварительно установите доступные обновления Windows).
- Перезаписать накопитель, включив отметку «Использовать загрузчики, подписанные Windows CA 2023 (требуется совместимый целевой компьютер)». Дополнительно можно отметить «Применить SkuSiPolicy.p7b при установке».

- Скопировать файл SKUSiPolicy.p7b из папки
C:\Windows\System32\SecureBootUpdates
рабочей ОС в папкуefi\microsoft\boot\
на основном разделе накопителя. Работоспособность метода зависит от образа: где-то может решить проблему, где-то привести к ошибке 0xc0000428. - Сбросить ключи безопасной загрузки на заводские. Важно: в случае, если на компьютере уже установлена ОС, и загрузчики были обновлены на подписанные сертификатами UEFI CA 2023, сброс ключей может сделать невозможной загрузку имеющейся ОС (решение — SecureBootRecovery.efi). Нужная опция обычно находится в настройках «Security», параметрах Secure Boot на вкладке «Boot», в разделе Advanced. Пункты могут иметь такие названия как Restore Factory Keys, Install Default Secure Boot Keys, Reset to Default.
- Не гарантированный метод, с осторожностью и строго следуя инструкциям производителя: обновить БИОС материнской платы. Это может не помочь, а для некоторых образов и усугубить ситуацию (если в обновлении старые сертификаты безопасной загрузки были добавлены в список отозванных DBX).
Я рекомендую использовать один из первых 3-х методов: первые два сработают с наибольшей вероятностью, третий безопасен и легко откатывается простым удалением файла.
Оставшиеся 2 — под вашу ответственность и при условии, что вы понимаете, что именно делаете и возможные последствия. Последний метод срабатывает для отдельных материнских плат, для некоторых — не меняет что-либо, а в некоторых случаях может привести к полной невозможности запуска старых образов (где загрузчики подписаны сертификатами CA 2011) с включенной опцией Secure Boot.
Причины
Источником ошибки являются обновления, связанные с миграцией с загрузчиков, подписанных сертификатами Microsoft Windows Production PCA 2011 на Windows UEFI CA 2023, а также блокировкой уязвимостей, таких как Black Lotus.
На компьютерах, для которых Windows смогла подтвердить возможность миграции, в ходе обновлений (KB5025885, KB5042562, KB5074109, KB5094126 и другие):
- Новые сертификаты Windows UEFI CA 2023 добавляются в список разрешённых (DB) в UEFI.
- Загрузчики текущей ОС меняются на подписанные новыми сертификатами.
- Активируется UEFI Lock путём добавления переменных SkuSiPolicyVersion и SkuSiPolicyUpdateSigners в NVRAM материнской платы, связывающий процедуру безопасной загрузки с файлом политики целостности кода SkuSiPolicy.p7b
- Старые сертификаты и/или хэши конкретных уязвимых файлов могут быть помещены в список отозванных DBX.
Эти факторы могут приводить к следующей картине: при загрузке с флешки, созданной в Rufus (в контексте ошибки «Windows bootmgr encountered a security validation or internal error»):
- Загрузчик UEFI:NTFS с отдельного скрытого раздела накопителя успешно запускается, монтирует раздел NTFS, находит оригинальный файл Windows Boot Manager в
efi\boot\bootx64.efi
и передаёт ему управление. - Загрузчик опрашивает энергонезависимую память материнской платы и, если обнаруживает активный UEFI Lock, также проверяет наличие SkuSiPolicy.p7b. При его отсутствии происходит «вылет» с кодом EFI_NO_MAPPING (код ошибки 17), который Rufus представляет в виде: «Windows bootmgr encountered a security validation or internal error». То же самое может происходить для образов, содержащих загрузчики с уязвимостями (даже если загрузчик не находится в списке отозванных DBX, а файл политик присутствует). Для этого в коде UEFI:NTFS (загрузчик, используемый в Rufus) предусмотрен соответствующий обработчик:
Status = gBS->StartImage(ImageHandle, NULL, NULL); if (EFI_ERROR(Status)) { // Windows bootmgr simply returns EFI_NO_MAPPING on any internal error or security // violation, instead of halting and explicitly reporting the issue, leaving many // users extremely confused as to why their media did not boot. This can happen, for // instance, if the machine has had the BlackLotus UEFI lock enabled and the user // attempts to boot a pre 2023.05 version of the Windows installers. // We therefore take it upon ourselves to report what Windows bootmgr will not report. if (Status == EFI_NO_MAPPING && WindowsBootMgr) PrintError(L" Windows bootmgr encountered a security validation or internal error"); else PrintErrorStatus(L" Start failure"); } - В случае, если проблема в отозванном (добавлен в DBX) или повреждённом загрузчике, UEFFI заблокирует его ещё до старта и текст ошибки в консоли UEFI:NTFS будет отличаться: «Load Failure: [26] Security Violation».
При этом второй пункт актуален для старых загрузчиков, подписанных Microsoft Windows Production PCA 2011, новые, CA 2023 позволяют выполнить успешную загрузку и при отсутствии политики на накопителе.
Активная дискуссия, связанная с проблемами безопасной загрузки, вызванных приведёнными факторами ведётся на GitHub проекта Rufus , где автор утилиты и другие участники делятся своими находками, решениями и наблюдениями.
