網頁

2023年8月5日 星期六

VM 17 windows 11虛擬機,UEFI 安全開機(Secure Boot) ,程式碼完整性開機原則,skusipolicy.p7b

 VM 17(真正支援windows 11),建立windows 11虛擬機時只能選Uefi (安全開機secure boot是選項,依需要勾選)。

最近在windows 11虛擬機,Uefi secure boot硬體環境,測試經常在用的繁體中文pe iso檔開機,發現,如只用繁體中文pe iso檔開機,可正常開機,如換掛載較新簡體pe iso檔或繁體中文windows 11 22h2 iso,順利開機後關機,再掛載繁體中文pe iso檔,卻無法開機。刪除windows 11虛擬機,重新建立Uefi secure boot硬體環境的windows 11虛擬機,再測試,結果一樣。

USBOX_V7[ISO版].iso在windows 11虛擬機,Uefi secure boot硬體環境,開機測試
可以顯示BCD設定選單

PE無法開機,0xc0e90002 錯誤

為了進一步測試,下載了多款PE iso檔,都能順利開機,有開機選單時,英文、簡體中文的bootmgr,顯示英文、簡體中文可以正常顯示。因此,想拿開機選單是英文PE iso檔來修改。但,顯示英文選單,改為顯示繁體中文選單(修改BCD檔選單為繁體中文),開機選單會變成亂碼,也就是,不能單獨只改bcd檔選單,要bootmgr也要支援繁體中文,才能正確顯示繁體中文開機選單。

PE iso檔,Bootmgr是繁體中文或bootmgr是簡體中文,本來就稀有,大部分的pe iso檔,bootmgr是英文,開機選單也是英文,開機模版也較新。

自己常在用的繁體中文pe iso檔。它的開機模版較舊,以致Uefi secure boot 開機,可開機,但無穩定可重複性。

為了解決繁體中文pe iso檔 Uefi secure boot正常開機,無法穩定可重複問題,改了幾天,修改可能的檔案,測驗了N次,依舊無功而返。

改用網友Charei1028, Windows11_23H2_x64 PE iso檔的boot及efi 資料夾,替換繁體中文pe iso檔的boot、efi 資料夾(要先備份繁體中文pe iso的boot、efi 資料夾),然後,把備份的繁體中文boot\bcd、efi\microsoft\boot\bcd 檔存回繁體中文pe iso檔。終於修改完成,測試成功,且掛載不同的PE iso開機,關機後,再掛載修改過的繁體中文pe iso檔,仍可正常開機,並具有可重複性。

本來以為這樣就結案了,再去看幾個下載的pe iso檔,發現efi \Microsoft\boot資料夾,只有網友Charei1028, Windows11_23H2_x64 PE iso檔內的efi\microsoft\boot資料夾有skusipolicy.p7b(新版已移除)。如把Uefi 安全開機可重複性的繁體中文pe iso內efi\microsoft\boot\skusipolicy.p7b檔刪掉,就無法uefi 安全開機。因此,又再測試,原本未修改的繁體中文pe iso檔,只在efi\microsoft\boot資料夾添加skusipolicy.p7b,測試Uefi安全開機,真的只加一個檔,就可以Uefi安全開機,且掛載不同的PE iso開機,關機後,再掛載修改過的繁體中文pe iso檔,仍可正常開機且有可重複性。測試環境是VM 17 windows 11 虛擬機 secure boot ,windows 11 22h2 22621.2134,上述測試結果沒問題。改用實機測試,就不一定成立。實機測試,uefi secure boot ,有二個PE無法開機,折騰很久,改了可能影響開機的檔案,仍功敗垂成,最後,替換新版的boot及efi資料夾,重新建立BCD檔英文介面開機選單,添加skusipolicy.p7b,才能順利開機,二個無法開機的PE內核是windows 11 PE 22000.768、windows 11 PE 22000.778,可以正常開機的內核是新的Windows11 25398.287、22621.2070,新的內核不需添加skusipolicy.p7b,新舊內核並存的多啟動PE,即使UEFI secure boot替換新版的boot及efi資料夾,仍需添加skusipolicy.p7b。因此,須在不同廠牌的筆電、電腦實機測試,才能驗證以上的製作方式是否通用。

如用windows 11 22h2 iso,efi\microsoft\boot資料夾winsipolicy.p7b,取代修改過的繁體中文pe iso檔內的efi\microsoft\boot\skusipolicy.p7b,繁體中文pe iso變成無法UEFI 安全開機。


問題解決了,卻產生二個疑問:

1.skusipolicy.p7b檔用途?用滑鼠點二下,顯示,是憑證檔,有效日期到2026年10月。

程式碼完整性開機原則(SKUSiPolicy.p7b) 使用Windows 的程式碼完整性功能,以防止未受信任的Windows 開機管理程式在啟用安全開機時載入,詳細請參考以下三篇資料來源:

看過以下幾篇文章之後,就可以知道,只用繁體中文pe iso檔開機,可正常開機,如換掛載較新簡體pe iso檔或繁體中文windows 11 22h2 iso,順利開機後關機,再掛載繁體中文pe iso檔,卻無法開機的原因了。須再加入程式碼完整性開機原則(SKUSiPolicy.p7b),才能UEFI 安全開機(Secure Boot)。 

🔺KB5025885:如何管理與 CVE-2023-24932 有關之安全開機變更的 Windows 開機管理程式撤銷:
https://support.microsoft.com/zh-tw/topic/kb5025885-%E5%A6%82%E4%BD%95%E7%AE%A1%E7%90%86%E8%88%87-cve-2023-24932-%E6%9C%89%E9%97%9C%E4%B9%8B%E5%AE%89%E5%85%A8%E9%96%8B%E6%A9%9F%E8%AE%8A%E6%9B%B4%E7%9A%84-windows-%E9%96%8B%E6%A9%9F%E7%AE%A1%E7%90%86%E7%A8%8B%E5%BC%8F%E6%92%A4%E9%8A%B7-41a975df-beb2-40c1-99a3-b3ff139f832d

🔺KB5027455:封鎖易受攻擊的 Windows 開機管理員的指導方針:
https://support.microsoft.com/zh-hk/topic/kb5027455-%E5%B0%81%E9%8E%96%E6%98%93%E5%8F%97%E6%94%BB%E6%93%8A%E7%9A%84-windows-%E9%96%8B%E6%A9%9F%E7%AE%A1%E7%90%86%E5%93%A1%E7%9A%84%E6%8C%87%E5%B0%8E%E6%96%B9%E9%87%9D-522bb851-0a61-44ad-aa94-ad11119c5e91

🔺[Notebook/Desktop/AIO] 疑難排解 - 執行ASUS Recovery還原或雲端還原後,開機出現藍屏(復原畫面):
https://www.asus.com/tw/support/FAQ/1050561/

https://learn.microsoft.com/zh-tw/windows/security/operating-system-security/system-security/trusted-boot

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10350


2.為什麼沒有skusipolicy.p7b檔的 pe iso檔,還是可以Uefi安全開機?

用vm 17建立windows 11虛擬機




uefi secure boot

UEFI 安全開機,簡體PE開機選單

UEFI 安全開機,繁體中文PE開機選單

windows 11 22h2 iso,efi\microsoft\boot資料夾有winsipolicy.p7b。

Windows11_23H2_x64 PE iso檔內的efi\microsoft\boot資料夾有skusipolicy.p7b

windows 11 22h2 iso,install.wim windows\boot\efi資料夾有winsipolicy.p7b檔

wepe  efi\microsoft\boot資料夾無skusipolicy.p7b檔,仍能uefi 安全開機。

kuerpe win11 efi\microsoft\boot資料夾無skusipolicy.p7b檔,仍能uefi 安全開機。

SKUSiPolicy.P7b可從已安裝完成的windows 11 C:\Windows\System32\SecureBootUpdates資料夾複製出來,也可以從windows 11 iso的install.wim檔Windows\WinSxS\amd64_microsoft-windows-s..boot-firmwareupdate.....資料夾取出。

沒有留言:

張貼留言