VM 17(真正支援windows 11),建立windows 11虛擬機時只能選Uefi (安全開機secure boot是選項,依需要勾選)。
最近在windows 11虛擬機,Uefi secure boot硬體環境,測試經常在用的繁體中文pe iso檔開機,發現,如只用繁體中文pe iso檔開機,可正常開機,如換掛載較新簡體pe iso檔或繁體中文windows 11 22h2 iso,順利開機後關機,再掛載繁體中文pe iso檔,卻無法開機。刪除windows 11虛擬機,重新建立Uefi secure boot硬體環境的windows 11虛擬機,再測試,結果一樣。
USBOX_V7[ISO版].iso在windows 11虛擬機,Uefi secure boot硬體環境,開機測試
為了進一步測試,下載了多款PE iso檔,都能順利開機,有開機選單時,英文、簡體中文的bootmgr,顯示英文、簡體中文可以正常顯示。因此,想拿開機選單是英文PE iso檔來修改。但,顯示英文選單,改為顯示繁體中文選單(修改BCD檔選單為繁體中文),開機選單會變成亂碼,也就是,不能單獨只改bcd檔選單,要bootmgr也要支援繁體中文,才能正確顯示繁體中文開機選單。
PE iso檔,Bootmgr是繁體中文或bootmgr是簡體中文,本來就稀有,大部分的pe iso檔,bootmgr是英文,開機選單也是英文,開機模版也較新。
自己常在用的繁體中文pe iso檔。它的開機模版較舊,以致Uefi secure boot 開機,可開機,但無穩定可重複性。
為了解決繁體中文pe iso檔 Uefi secure boot正常開機,無法穩定可重複問題,改了幾天,修改可能的檔案,測驗了N次,依舊無功而返。
改用網友Charei1028, Windows11_23H2_x64 PE iso檔的boot及efi 資料夾,替換繁體中文pe iso檔的boot、efi 資料夾(要先備份繁體中文pe iso的boot、efi 資料夾),然後,把備份的繁體中文boot\bcd、efi\microsoft\boot\bcd 檔存回繁體中文pe iso檔。終於修改完成,測試成功,且掛載不同的PE iso開機,關機後,再掛載修改過的繁體中文pe iso檔,仍可正常開機,並具有可重複性。
本來以為這樣就結案了,再去看幾個下載的pe iso檔,發現efi \Microsoft\boot資料夾,只有網友Charei1028, Windows11_23H2_x64 PE iso檔內的efi\microsoft\boot資料夾有skusipolicy.p7b(新版已移除)。如把Uefi 安全開機可重複性的繁體中文pe iso內efi\microsoft\boot\skusipolicy.p7b檔刪掉,就無法uefi 安全開機。因此,又再測試,原本未修改的繁體中文pe iso檔,只在efi\microsoft\boot資料夾添加skusipolicy.p7b,測試Uefi安全開機,真的只加一個檔,就可以Uefi安全開機,且掛載不同的PE iso開機,關機後,再掛載修改過的繁體中文pe iso檔,仍可正常開機且有可重複性。測試環境是VM 17 windows 11 虛擬機 secure boot ,windows 11 22h2 22621.2134,上述測試結果沒問題。改用實機測試,就不一定成立。實機測試,uefi secure boot ,有二個PE無法開機,折騰很久,改了可能影響開機的檔案,仍功敗垂成,最後,替換新版的boot及efi資料夾,重新建立BCD檔英文介面開機選單,添加skusipolicy.p7b,才能順利開機,二個無法開機的PE內核是windows 11 PE 22000.768、windows 11 PE 22000.778,可以正常開機的內核是新的Windows11 25398.287、22621.2070,新的內核不需添加skusipolicy.p7b,新舊內核並存的多啟動PE,即使UEFI secure boot替換新版的boot及efi資料夾,仍需添加skusipolicy.p7b。因此,須在不同廠牌的筆電、電腦實機測試,才能驗證以上的製作方式是否通用。
如用windows 11 22h2 iso,efi\microsoft\boot資料夾winsipolicy.p7b,取代修改過的繁體中文pe iso檔內的efi\microsoft\boot\skusipolicy.p7b,繁體中文pe iso變成無法UEFI 安全開機。
問題解決了,卻產生二個疑問:
1.skusipolicy.p7b檔用途?用滑鼠點二下,顯示,是憑證檔,有效日期到2026年10月。程式碼完整性開機原則(SKUSiPolicy.p7b) 使用Windows 的程式碼完整性功能,以防止未受信任的Windows 開機管理程式在啟用安全開機時載入,詳細請參考以下三篇資料來源:
https://support.microsoft.com/zh-tw/topic/kb5025885-%E5%A6%82%E4%BD%95%E7%AE%A1%E7%90%86%E8%88%87-cve-2023-24932-%E6%9C%89%E9%97%9C%E4%B9%8B%E5%AE%89%E5%85%A8%E9%96%8B%E6%A9%9F%E8%AE%8A%E6%9B%B4%E7%9A%84-windows-%E9%96%8B%E6%A9%9F%E7%AE%A1%E7%90%86%E7%A8%8B%E5%BC%8F%E6%92%A4%E9%8A%B7-41a975df-beb2-40c1-99a3-b3ff139f832d
🔺KB5027455:封鎖易受攻擊的 Windows 開機管理員的指導方針:
https://support.microsoft.com/zh-hk/topic/kb5027455-%E5%B0%81%E9%8E%96%E6%98%93%E5%8F%97%E6%94%BB%E6%93%8A%E7%9A%84-windows-%E9%96%8B%E6%A9%9F%E7%AE%A1%E7%90%86%E5%93%A1%E7%9A%84%E6%8C%87%E5%B0%8E%E6%96%B9%E9%87%9D-522bb851-0a61-44ad-aa94-ad11119c5e91
https://www.asus.com/tw/support/FAQ/1050561/
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10350
2.為什麼沒有skusipolicy.p7b檔的 pe iso檔,還是可以Uefi安全開機?
用vm 17建立windows 11虛擬機
SKUSiPolicy.P7b可從已安裝完成的windows 11 C:\Windows\System32\SecureBootUpdates資料夾複製出來,也可以從windows 11 iso的install.wim檔Windows\WinSxS\amd64_microsoft-windows-s..boot-firmwareupdate.....資料夾取出。
