Fini les vérifications obscures dans les journaux système. Windows 11 commence à afficher, dans Sécurité Windows, si votre PC a bien reçu les nouveaux certificats Secure Boot ou s’il faut agir.
Commentaires : Windows 11 affiche enfin si votre PC a bien reçu les nouveaux certificats Secure Boot
Si j’ai bien compris, il faudra aller le désactiver dans le BIOS si on veut pouvoir booter sur une clé USB dans le cas d’une restauration avec un programme du genre Macrium Reflect…
Le petit voyant de couleur est une information extremement limité.
Il y a tellement de raison d’avoir des blocages, de nombreuses clé de registre à lire pour connaitre l’avancée dans les étapes, les EventID du gestionnaire d’evenement pour savoir ou ca bloque ?
Je viens de vérifier j’ai secure boot et les clés de sécurité à jour.
tout est ok dans windows security et j’ai bien le badge vert.
j’ai fait hier une sauvegarde de mon disque système et je n’ai rien désactiver dans le bios
j’ai uniquement suspendu bitlocker le temps de faire ma sauvegarde avec O&O diskimage
Ce depend de si le boot de la clé est signé ou non et surtout en quelle version. Une distrib linux qui n’est pas signée c’est desactivation obligatoire oui, une distrib signée cela dependra comme windows de la version sur la clé et celle du bios uefi
Pour reflect, dans le cas d’une vielle clé Reflect signé en CA2011 elle ne fonctionnera plus quand CA2011 sera désactivé. Une clé uniquement signé CA2023 ne fonctionnera pas sur un pc qui connaît que CA2011. A moins comme tu l’as dit de désactiver secure boot le temps de faire l’action
A priori faudra juste refaire la clé en choisissant CA2023
https://kbx.macrium.com/macrium-reflect-x/managing-the-boot-media-signing-certificate-for-macrium-reflect-rescue-media
1 « J'aime »
Si vous disposez de toute la chaine de certificats CA2023 il suffira de mettre à jour le BootLoader de votre clé USB en 2023. Actuellement elle est probablement en PCA2011.
Pour l’instant l’étape poussée par Microsoft est d’installer les certificate 2023 ainsi que le boot loader en version CA2023 également.
Les certificats PCA2011 ne seront pas supprimé tout de suite. (celui qui certifie Windows donc le bootloader) fonctionnera jusqu’en Octobre 2026.
Le secureboot: une fumisterie Microsoft pour gêner les autres OS, mais qui ne cause que des déboires sans diminuer les risques liés aux multiples failles de windows.
1 « J'aime »
Je pense qu’a la rentrée cela va être bien marrant ce truc
Dans mon cas j’ai la coche verte mais le texte dit que c’est pas top top quand même
La premiere commande powershell en haut dit que j’ai le CA2023 utilisable et modifiable par windows update
la deuxieme dit que CA2023 est même en « dur » dans le bios, même si je vire tous les certificats le bios saura remettre celui de la premiere commande
La 3ieme commande donne un CA2023Capable « 2 » donc windows a vu qu’il est présent et utilisable
Par contre le reste c’est « pas démarré », et mise a jour « en observation- nécessite + de donnée »…
(les commande powershell et l’interpretation sont de https://lecrabeinfo.net/tutoriels/secure-boot-comment-verifier-si-les-certificats-2023-sont-bien-installes-sur-votre-pc/ )
1 « J'aime »
Ok, donc sur mon laptop d’1 mois, je laisse le secure boot activé et je crée une nouvelle clé USB ?
Mon ordinateur est a jour mais je n’ai pas le menu démarrage sécurisé dans la sécurité Windows.
Absolument pas : Vou ne voulez pas de cette chaine de sécurité ou bien vous avez un Système d’exploitation qui ne peut pas utiliser ce systèmes de certificats ? Pas de soucis vous désactiver le Secure Boot.
Vous voulez éviter que votre ordinateur soit contaminé par un boot loader compromis (non signé), vous activer Secureboot et vous mettez à jour les certificiats si necessaire.
Il faut d’abord vérifier que toute la chaine SecureBoot est bien en CA2023 : le KEK 2023 et le dans DB, Windows CA 2023 installé dans les bases actives. l’étape suivante est le Boot loader qui doit être signé en CA2023.
Pour l’instant vous pouvez toujours démarrer votre ordinateur avec une clé USB dont le boot loader est en PCA2011 car les certificts sont toujours présent sur votre ordinateur.
Microsoft les supprimera rééelleement fin 2026 ou debut 2027.
Si vous voulez modifier le bootloader de votre clé USB :
https://support.microsoft.com/fr-fr/topic/mise-à-jour-du-support-de-démarrage-windows-pour-utiliser-le-gestionnaire-de-démarrage-pca2023-signé-d4064779-0e4e-43ac-b2ce-24f434fcfa0f