Windowsセキュリティ セキュアブート証明書の更新が自動的に行われない場合の対処法まとめ
天宮です。あなたのPCは、Windowsセキュリティのセキュアブート証明書の更新はお済ですか?更新できているかの確認方法については、Microsoftホームページで紹介されています。Windows セキュリティ アプリのセキュアブート証明書の更新状態 [デバイス のセキュリティ ] > [セキュア ブート] 緑色のチェックマークで、セキュアブートがオンで、必要なすべての証明書更新プログラムが適用されています。それ以上の証明書の変更は必要ありません。と表示が出ていたらOKということらしい。セキュアブート証明書の更新というのはWindows Updateで自動的に適応されていくとなっているが、古いPCの場合、いつまで待っても自動的に更新などされる気配なし……おそらく、発売開始から数年レベルの新しめのPCを使っている人たちは自動的に更新されてると思われるから念のため確認だけしておけば良いかと。問題なのは、旧型PCの場合です。天宮も、販売用含め結構な数の旧型PCを持っています。Windows Updateで自動的に適応されたPCなど一つもなく、人力で強制的に証明書を更新させるべくあの手この手と試す日々でした(苦笑)賢い人たちが作ってくれてるコマンドスクリプトを活用させて頂くことで証明書更新できる可能性はグッと高まります。結構な数のPCで作業したけど、PCの型式やBIOSの違いにより手順はマチマチで簡単に更新作業が完了するのもあればOSが起動できなくなり原因が分かるまで何度もOSを再インストールしたようなケースもありました。自分なりの作業マニュアルとして流れをまとめてみました。※下記の流れが最適とは限りませんから参考程度にして下さい=================セキュアブート証明書更新マニュアル=================※ Windows Update は、最新の状態に更新済み■PCのセキュアブート状況を確認PC画面下部のタスクバー検索窓に[msinfo32]と入力してシステム情報を開く※「Windowsキー + R」で開いてもOK「システム要約」項目のBIOSモード:UEFIセキュアブートの状況:有効上記の表示があればセキュアブートが機能している無効になっている場合は、PCの電源を入れてすぐに[F2]キーなどメーカー指定のファンクションキーでBIOS画面を開きセキュリティの項目にあるセキュアブートを有効(Enabled)に変更■セキュアブート証明書の状態を確認管理者権限でPowerShellを開き、以下の証明書状態確認コマンドを実行※PowerShellを管理者権限で開くには、スタートメニューで「PowerShell」と検索し、 検索結果の「Windows PowerShell」を右クリックして「管理者として実行」を選択1.「Microsoft Corporation KEK 2K CA 2023」更新確認コマンド[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'2.「Windows UEFI CA 2023」更新確認コマンド[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'3.「Microsoft UEFI CA 2023」更新確認コマンド[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'4.「Microsoft Option ROM UEFI CA 2023」更新確認コマンド[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Option ROM UEFI CA 2023'結果が「True = 新証明書が適用済み」「False = 証明書未更新」コマンド入力がメンドクサイという場合は下記サイトからセキュアブートチェッカーというツールをダウンロードSBCertificateChecker_v2.2.zip解凍して、中にある「SBCertificateChecker.exe」を実行各種証明書の状況が表示します【期限切れとなる証明書】Microsoft Corporation KEK CA 2011Microsoft Windows Production PCA 2011Microsoft UEFI CA 2011 *Microsoft UEFI CA 2011 *【新しい証明書】Microsoft Corporation KEK 2K CA 2023Windows UEFI CA 2023Microsoft UEFI CA 2023Microsoft Option ROM UEFI CA 2023=セキュアブート証明書が未更新の場合=■Windwosの復元ポイントを作成画面下部タスクバーの検索に「復元ポイント」と入力して[作成]ボタンからCドライブの復元ポイントを作成しておく■BIOSを最新の状態にする”PC型番 BIOS アップデート”などで検索して最新のBIOSがある場合は更新する■レジストリからセキュアブート証明書更新通知を行う方法タスクバーの検索窓もしくは 「Windowsキー + R」で起動する検索に 「regedit」と入力し、管理者権限でレジストリエディタを起動 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot フォルダを開く AvailableUpdates レジストリ値〔0〕のところに5944(16進数)を入力するこれでWindowsに対してセキュアブート証明書更新作業を進めるよう指示を出す何度もPCを再起動して”SBCertificateChecker”で確認してみる【レジストリで指示を出しても証明書の更新がされない場合】=== Windows 11 の場合 ===■BitLocker ドライブ暗号化を作業中一時的に無効にする「スタートボタン」→「設定」→「プライバシーとセキュリティ」→「デバイスの暗号化」→BitLockerをOFFにする■高速スタートアップを一時的にOFFにするタスクバーの電源アイコンを右クリック→電源オプションを開くもしくは検索窓に「コントロールパネル」→「ハードウェアとサウンド」→「電源ボタンの動作の変更」でもOK→「現在利用可能ではない設定を変更します」→「高速スタートアップを有効にする」のチェックを外して一時的に停止にする■コマンドスクリプトをフルパスで実行するgarlin-cant-code / SecureBoot-CA-2023-Updates上記サイトの〔Code〕>〔Dounload ZIP〕からダウンロード※Windows 10 では上記サイトのスクリプト実行不可でしたSecureBoot-CA-2023-Updatesフォルダの中にあるスクリプトファイルをデスクトップにコピペ※Cドライブ直下にファイルを配置した方がコマンド入力はラクです・Check_UEFI-CA2023.ps1・UEFI-CA2023.ps1タスクバーの検索窓にPowerShellと入力して管理者権限で PowerShell を起動以下のコマンドを入力することで、実行ポリシーを付与するSet-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process[Y]はい を入力してEnter■UEFI-CA2023をチェックするスクリプトを実行デスクトップに配置【例】C:\Users\PC名\Desktop\Check_UEFI-CA2023.ps1Cドライブ直下に配置【例】C:\Check_UEFI-CA2023.ps1※PC名のところは実行させるPC名に変更すること■UEFI-CA2023を更新するスクリプトを実行デスクトップに配置【例】C:\Users\PC名\Desktop\Update_UEFI-CA2023.ps1Cドライブ直下に配置【例】C:\Update_UEFI-CA2023.ps1スクリプトの出力で”証明書が無い”という表示が出たら== Windows 10 の場合 ==に記載している★マークの所を実行して3つのスクリプトを実行してから再度C:\Users\PC名\Desktop\Check_UEFI-CA2023.ps1のところにに戻り手順通り進める■Update_UEFI-CA2023.ps1が完了したらPowerShellで確認[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name db).Bytes) -match "Windows UEFI CA 2023"出力が True ならOK■”SBCertificateChecker”でも確認してみる・Boot Manager:2023年版(更新済み)・Windows UEFI CA 2023:検出(新ブートマネージャー対応))更新ができたら上記が緑色の文字で表示している=== Windows 10 の場合 ===■[Windows 10 Pro] BitLocker ドライブ暗号化を無効にする※10 Home の場合はBitLocker機能は無い「コントロールパネル」→「システムとセキュリティ」→「BitLocker ドライブ暗号化」をクリックして無効にする■高速スタートアップを一時的にOFFにするタスクバーの電源アイコンを右クリック→電源オプションを開くもしくは検索窓に「コントロールパネル」→「ハードウェアとサウンド」→「電源ボタンの動作の変更」でもOK→「現在利用可能ではない設定を変更します」→「高速スタートアップを有効にする」のチェックを外して一時的に停止にする★管理者権限のPowerShellにて3つのスクリプトを実行ITニュース. 2026年6月にセキュアブート証明書の有効期限切れ、企業は対策が必要な場合も上記サイトに記載されている、以下の3つのスクリプトのコードをそれぞれメモ帳にコピペして拡張子「ps1」ファイルを3つ作成check-securebootdb.ps1allowautoupdate-securebootdb.ps1updatenow-securebootdb.ps1※コマンド実行できない場合は、拡張子を表示して.ps1.textと二重拡張子になっている場合があるから、エクスプローラーの「表示」「ファイル名拡張子」「登録されている拡張子は表示しない」のチェックを外して確認。作成した3つのps1ファイルをデスクトップかCドライブ直下にコピペして順にフルパスで実行する以下のコマンドを入力することで、実行ポリシーを付与するSet-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process[Y]はい を入力してEnterスクリプトを順に実行デスクトップに配置【例】C:\Users\PC名\Desktop\check-securebootdb.ps1デスクトップに配置【例】C:\Users\PC名\Desktop\allowautoupdate-securebootdb.ps1デスクトップに配置【例】C:\Users\PC名\Desktop\updatenow-securebootdb.ps1Cドライブ直下に配置【例】C:\check-securebootdb.ps1Cドライブ直下に配置【例】C:\allowautoupdate-securebootdb.ps1Cドライブ直下に配置【例】C:\updatenow-securebootdb.ps1PCを2回再起動してから再度、check-securebootdb.ps1 を実行SecureBoot: ONSecureBoot DB already been updated. Nothing to do any ore.と表示されていればOK■”SBCertificateChecker”で確認してみる電源ボタンを押しPCスリープ状態にして10~30分程度放置後にPC再起動するとブートマネージャー更新されやすい傾向あり数回のPC再起動、PCスリープ、2~3日様子を見ても証明書は更新されたがブートマネージャーが更新されない場合は次に進む※古いマザーボードの場合セキュアブート証明書の更新はできても bootmgfw(ブートマネージャー)がいつまでも更新されないことがある■Check-UEFISecureBootVariables スクリプトを実行cjee21 / Check-UEFISecureBootVariables上記サイトの〔Code〕>〔Dounload ZIP〕からダウンロード「Check-UEFISecureBootVariables-main」フォルダ内のツール管理者権限のPowerShellで Check Windows state.cmd を実行する「bootmgfw signature CA : Windows UEFI CA 2023」と表示されればOK※古いマザーボードの場合セキュアブート証明書の更新はできても bootmgfw(ブートマネージャー)が更新されないことがある「Check-UEFISecureBootVariables-main」フォルダ内にある・Apply DBX update.cmd ※注意(BIOS容量が少ない旧型PCの場合は実行しない方が良い)・Apply 2023 KEK, DB and bootmgfw update.cmd・Apply revocations.cmdを管理者権限で実行してからPC再起動電源ボタンを押しPCスリープ状態にして10~30分程度放置後にPC再起動するとブートマネージャー更新されやすい傾向あり再度「Check-UEFISecureBootVariables」ツールを使い管理者権限でCheck Windows state.cmdを実行する「bootmgfw signature CA : Windows UEFI CA 2023」と表示されればOKセキュアブート証明書の更新ができずPCが起動できなくなった場合は、BIOSセットアップのセキュリティでセキュアブートを無効にして継続使用もしくは新しいPCに買い替えですかね。===================セキュアブート証明書更新マニュアル===================今日も最後まで読んでいただきありがとうございます、感謝!ブログランキングの応援ありがとうございます。人気ブログランキング投票にほんブログ村ランキング投票
