#77

Дата выхода: 05.10.2021
Актуальная версия: 23H2 (22631.6649) / 24H2 (26100.7840) / 25H2 (26200.7840) / 26H1 (28000.1575)

КРАТКОЕ ВВЕДЕНИЕ | ЗАГРУЗКА ОБРАЗОВ | ТРЕБОВАНИЯ К СИСТЕМЕ

Windows 11 — операционная система следующего поколения для персональных компьютеров и рабочих станций, разработанная корпорацией Microsoft в рамках семейства Windows NT, является наследницей Windows 10.

Просто официальные баги, будут фиксить в превью патчах, и патчах вторника - как и было неоднократно, что касалось драйвера например NTFS

А к примеру ReFS так и не прижилась в win 11, учитывая вагон недостатков.
https://habr.com/ru/articles/923190/

Так и в случае нового NVME драйвера, почему он захайден до сих пор самой MS, и где какой косяк вылезет - ещё вопрос.

доброго времени всем. Посмотрите пожалуйста, какой по дефолту период статистики в журнале проблем и стабильности (cmd perfmon /rel) в 11 винде ? У меня отображается крайняя 30 дневная стата, на 10 винде. Хотел узнать у всех ли так, спасибо

WhiteRatify
У меня на 25н2 информация только за 30 дней, хотя винда установлена почти 60 дней назад.

Genrix спасибо, похоже так у всех на 10/11 винде. Выходит майки считают месячный лог достаточным для быстрой оценки стабильности системы.

Коллеги, хелп! Как пофиксить эту чертовскую ошибку? Не понимаю что не так. В биосе включен secure boot. Что винде не нравится?)

Fley
Windows 11 #18606711

Та же ошибка. Secure Boot включен. TPM не трогал. Сейчас зашёл посмотреть, при включении пк появляется. Есть какие то траблы связанные с этой ошибкой? И есть ли смысл её фиксить если проблем с ОС никаких нет?

Это не "ошибка". Это скорее "критическое" предупреждение об устаревшей подписи загрузчика и\или сертифкатов в SecureBoot. Не знаю есть ли у них отдельные ошибки на каждый случай.
Какие будут последствия когда и как Майкрософт полностью отзовёт сертификат от 2011 года - неизвестно. Но я очень сильно сомневаюсь, что "смертельные". Слишком много систем с ними.

Суть в том, что новый загрузчик должен быть подписан сертификатом 2023 и этот сертификат должен быть в UEFI. 2011 же должен находится в базе отозванных.
Я бы не пытался бездумно "чинить" эту проблему. Если накосячить и оставить загрузчик 2011, при этом добвив этот сертификат в отозванные, то может что-то случится.

Скорее всего через некоторое время майкрософт будет принудительно это "чинить", что может привести к... интересным последствиям на некоторых системах.

shuler37 батла 6 запустилась, и я забил)

У меня с ней вообще проблем не было.Ага. Прочитал. Подожду когда починят.

ХЗ что там чинить, у меня сертификаты уже стоят. Способов целых три. Через винду, через обнову на новый биос, через добавление сертификатов через биос с USB. Проверил все три - все работают.

Все команды от админа в консоли
Установить сертификат

Запланировать обновление

Перезагрузиться один раз, потом второй раз сразу.
проверить статус

Должно быть Updated, может быть InProgress.
ЗЫ Если после перезагрузки InProgress висит, просто либо ждите минут 5 и чекайте статус, либо заново запустите и подождите минут 5 и презагрузите.
Ну и команды чтобы проверить что сертификаты стоят:


В итоге будет так:

Способ с установкой через Винду должен пахать на любой матери с поддержкой TPM 2.0.

Только это не полный апдейт, а подготовка к нему:

Без внесения PCA 2011 в dbx

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

и патча SVN бут менеджера, загрузчик не защищён от буткитов, и от подмены. Это вероятно и сделает Майкрософт летом 2026 в принудительном порядке.

при внесении этих изменений, все загрузчики, включая windows текущие, на флешках загрузочные -подписанные старым 2011, без внесения сертификатов 2023 - просто не загрузятся.

Добавлено спустя 7 минут 7 секунд:


На Msi платах надо переключить SB в кастом/Max security, а потом обновите систему через wu и поработайте, нное время- в журнале увидите апдейт,если его нет пару перезагрузок между делом -должно пропатчится

Вручную если: скриптом который вам давал по ссылке antiOVER, там же в теме - я описываю что делает скрипт(как можно сделать всё самому в терминале), вольный пересказ мануала MS.

Конкретно вам нужны только пункты 1-2 -этого будет достаточно.

Windows 11 #18593541

Вот для этого результата

#77

3-4 пункты не инсталлируйте для безопасности, по ссылке я рассказываю почему. И тут в последнем сообщении.

Ключ в DBX легко добавляется из Винды.

В консоли от Админа. Перезагрузится 2 раза.


SVN обновляется вместе с BIOS и он у каждого вендора свой. Обновить SVN из Винды невозможно. Большинство старых матерей никогда не получат нового SVN 7.0. Это отдельная тема не связанная с обновлением сертификатов. В старом SVN нашли дыры и залатали их в новом. Для работы Винды обновление SVN не требуется.

я и не говорил что нельзя в Ос обновить)





всё обновляется на поддерживаемом оборудовании - я имею ввиду SVN для конкретной записи dbx с конкретным Guid, тут наверное вы и я недопоняли друг друга), и патч этот нужен не для работы Ос, а против отката и подмены бут менеджера с старой SVN. Чем пользуется различная низкоуровневая малварь -буткиты и руткиты - Black Lotus например.



https://www.comss.ru/page.php?id=14063

Для проверки версии SVN в DBX: Guid от ms (уязвимость CVE-2023-24932) - есть простенький парсер на PS скрипте.

$DBXSVN=([Regex]::Matches((((Get-SecureBootUEFI dbx).Bytes |% {'{0:x2}' -f $_}) -join ''),'01612b139dd5598843ab1c185c3cb2eb92...........')).Value | sort | select -last 1; if ($DBXSVN.Count) { 'SVN {0}.{1}' -f [int]::Parse($DBXSVN.Substring(36,4),[System.Globalization.NumberStyles]::HexNumber), [int]::Parse($DBXSVN.Substring(40,4),[System.Globalization.NumberStyles]::HexNumber) } else { 'No SVN.' }



7.0 - значит и в bootmgfw.efi должен быть не ниже, иначе я бы не загрузился с учётом этих правок.

Все эти исправления начиная с 9 июля 2024 года, доставляются в кумулятивах- включая SVN, по документации MS. Но с одной оговоркой, они опциональны, и пункты 3-4 надо обновлять руками, в доказательства к этому- можно использовать скрипт, или просто глазами посмотреть количество записей до развёртывания и после.

У меня лично так: после всех стандартных апдейтов Ос и перезагрузок: 431 записей в dbx, полностью обновлённая "машина" - 438 DBX записей, базовый набор на свежем биосе или с очисткой SB: 416.

Естественно конкретные цифры у всех будут разные с поправкой на платформу, изначальную версию биоса, и у кого какие апдейты в Ос были применены или нет.

Если не ошибаюсь, в теме было, что штатная "Очистка диска" портит\ломает систему.
Какая есть безопасная альтернатива очистки от временных файлов, накопленного "мусора"?
Кто какой прогой пользуется?
(громоздкие, включающие деинсталяторы софта я знаю)

"Починят" - никогда. Старый сертификат скомпрометирован и нет никакого способа что-то с этим сделать, кроме как добавить его в недоверенные и использовать новый.
"Ремонт" будет заключаться в том что загрузчик будет подписан новым сертификатом, старый добавлен в недоверенные.

Как тут уже упомянули, после добавления старого сертификата в недоверенные ВСЕ загрузчики им подписанные, включая старые установочные флешки, перестанут загружаться.
Если всё сделано максимально правильно, то есть если у вас есть старая винда на флешке без обновлённой подписи, то UEFI не позволит её загрузить без сброса ключей (не надо так делать). Причём через некоторое время в новых UEFI ключ будет по-умолчанию в исключениях и это не поможет, но думаю это будут откладывать долго.

Почему они всё ещё этого не сделали? Да потому что последствия "непредсказуемые" в случае если они добавят 2011 сертификат в недоверенные. Я думаю сейчас меньшинство систем содержат загрузчик подписанный 2023 сертификатом.

Добавлено спустя 3 минуты 17 секунд:

Это кстати касается почти всех. Я сомневаюсь, что даже текущая версия подписана новым сертификатом из коробки. Может её до сих пор надо переподписывать новым сертифкатом...

Глупость. Ничего не портит и не ломает.
Единственное что выключить удаление того, что не хотите удалять.
Пользуйтесь.

Я бы не спросил, если бы после применения "очистки" не пропадал звук (вообще везде, кроме системного = ) в браузере, в Daum PotPlayer...
Восстанавливается звук после тапа на Проверка - см. картинку.
Монитор подключен через DP, внешняя акустика к выходу звука монитора.

kiberman
Для использования нового SVN 7.0
От админа в консоли, 2 раза перезагрузить.