Windows bootmgr encountered a security validation or internal error — варианты решения

Способы исправить ошибку Windows bootmgr encountered a security validation or internal errorПри загрузке с флешки Windows 11/10, созданной с помощью Rufus, многие пользователи сталкиваются с сообщением об ошибке «FAIL Windows bootmgr encountered a security validation or internal error», даже в случае использования оригинального последнего образа. Причём установка с этой же флешки на другом компьютере может происходить без ошибок.

В этой инструкции подробно о том, чем вызвана такая ошибка и способы её исправить, если вы с ней столкнулись.

Способы исправить ошибку

Сообщение об ошибке FAIL Windows bootmgr encountered a security validation or internal error при загрузке с флешки

Сначала об основных способах исправить ошибку «Windows bootmgr encountered a security validation or internal error», загрузиться с флешки, созданной с помощью Rufus и установить Windows 11/10, если вы с ней столкнулись, а в следующем разделе — о её причинах. Есть следующие варианты решения:

  1. Отключить Secure Boot в UEFI и сохранить настройки, загрузиться с флешки — установка должна запуститься без ошибок. Более того, в большинстве случаев в уже установленной ОС вы можете включить безопасную загрузку, и она будет исправно работать (если этого не произошло, предварительно установите доступные обновления Windows).
  2. Перезаписать накопитель, включив отметку «Использовать загрузчики, подписанные Windows CA 2023 (требуется совместимый целевой компьютер)». Дополнительно можно отметить «Применить SkuSiPolicy.p7b при установке». Опция Использовать загрузчики, подписанные Windows CA 2023 в Rufus
  3. Скопировать файл SKUSiPolicy.p7b из папки
    C:\Windows\System32\SecureBootUpdates
    рабочей ОС в папку
    efi\microsoft\boot\
    на основном разделе накопителя. Работоспособность метода зависит от образа: где-то может решить проблему, где-то привести к ошибке 0xc0000428.
  4. Сбросить ключи безопасной загрузки на заводские. Важно: в случае, если на компьютере уже установлена ОС, и загрузчики были обновлены на подписанные сертификатами UEFI CA 2023, сброс ключей может сделать невозможной загрузку имеющейся ОС (решение — SecureBootRecovery.efi). Нужная опция обычно находится в настройках «Security», параметрах Secure Boot на вкладке «Boot», в разделе Advanced. Пункты могут иметь такие названия как Restore Factory Keys, Install Default Secure Boot Keys, Reset to Default.
  5. Не гарантированный метод, с осторожностью и строго следуя инструкциям производителя: обновить БИОС материнской платы. Это может не помочь, а для некоторых образов и усугубить ситуацию (если в обновлении старые сертификаты безопасной загрузки были добавлены в список отозванных DBX).

Я рекомендую использовать один из первых 3-х методов: первые два сработают с наибольшей вероятностью, третий безопасен и легко откатывается простым удалением файла.

Оставшиеся 2 — под вашу ответственность и при условии, что вы понимаете, что именно делаете и возможные последствия. Последний метод срабатывает для отдельных материнских плат, для некоторых — не меняет что-либо, а в некоторых случаях может привести к полной невозможности запуска старых образов (где загрузчики подписаны сертификатами CA 2011) с включенной опцией Secure Boot.

Причины

Источником ошибки являются обновления, связанные с миграцией с загрузчиков, подписанных сертификатами Microsoft Windows Production PCA 2011 на Windows UEFI CA 2023, а также блокировкой уязвимостей, таких как Black Lotus.

На компьютерах, для которых Windows смогла подтвердить возможность миграции, в ходе обновлений (KB5025885, KB5042562, KB5074109, KB5094126 и другие):

  • Новые сертификаты Windows UEFI CA 2023 добавляются в список разрешённых (DB) в UEFI.
  • Загрузчики текущей ОС меняются на подписанные новыми сертификатами.
  • Активируется UEFI Lock путём добавления переменных SkuSiPolicyVersion и SkuSiPolicyUpdateSigners в NVRAM материнской платы, связывающий процедуру безопасной загрузки с файлом политики целостности кода SkuSiPolicy.p7b
  • Старые сертификаты и/или хэши конкретных уязвимых файлов могут быть помещены в список отозванных DBX.

Эти факторы могут приводить к следующей картине: при загрузке с флешки, созданной в Rufus (в контексте ошибки «Windows bootmgr encountered a security validation or internal error»):

  1. Загрузчик UEFI:NTFS с отдельного скрытого раздела накопителя успешно запускается, монтирует раздел NTFS, находит оригинальный файл Windows Boot Manager в
    efi\boot\bootx64.efi
    и передаёт ему управление.
  2. Загрузчик опрашивает энергонезависимую память материнской платы и, если обнаруживает активный UEFI Lock, также проверяет наличие SkuSiPolicy.p7b. При его отсутствии происходит «вылет» с кодом EFI_NO_MAPPING (код ошибки 17), который Rufus представляет в виде: «Windows bootmgr encountered a security validation or internal error». То же самое может происходить для образов, содержащих загрузчики с уязвимостями (даже если загрузчик не находится в списке отозванных DBX, а файл политик присутствует). Для этого в коде UEFI:NTFS (загрузчик, используемый в Rufus) предусмотрен соответствующий обработчик:
    Status = gBS->StartImage(ImageHandle, NULL, NULL);
    	if (EFI_ERROR(Status)) {
    		// Windows bootmgr simply returns EFI_NO_MAPPING on any internal error or security
    		// violation, instead of halting and explicitly reporting the issue, leaving many
    		// users extremely confused as to why their media did not boot. This can happen, for
    		// instance, if the machine has had the BlackLotus UEFI lock enabled and the user
    		// attempts to boot a pre 2023.05 version of the Windows installers.
    		// We therefore take it upon ourselves to report what Windows bootmgr will not report.
    		if (Status == EFI_NO_MAPPING && WindowsBootMgr)
    			PrintError(L"  Windows bootmgr encountered a security validation or internal error");
    		else
    			PrintErrorStatus(L"  Start failure");
    	}
  3. В случае, если проблема в отозванном (добавлен в DBX) или повреждённом загрузчике, UEFFI заблокирует его ещё до старта и текст ошибки в консоли UEFI:NTFS будет отличаться: «Load Failure: [26] Security Violation».

При этом второй пункт актуален для старых загрузчиков, подписанных Microsoft Windows Production PCA 2011, новые, CA 2023 позволяют выполнить успешную загрузку и при отсутствии политики на накопителе.

Активная дискуссия, связанная с проблемами безопасной загрузки, вызванных приведёнными факторами ведётся на GitHub проекта Rufus , где автор утилиты и другие участники делятся своими находками, решениями и наблюдениями.

Оставить комментарий

Нажимая кнопку «Отправить», вы даете согласие на обработку персональных данных и соглашаетесь с Политикой конфиденциальности.
Интересное
Новое
Список инструкций Windows 11 Windows 10 Подписаться