Reprise du message précédent :

J'ai le numéro de série mais pour avoir la date, c'est la galère.
La version de Windows, elle, est marquée comme datant du 11/10/2024 (?). Curieux, j'ai acheté l'appareil en septembre 2023

Bonjour
sorti d’usine autour du 10 août 2023
Si.
Dixit mon IA préférée qui l'a trouvé par l'intelligence... pure ! (je rigole)
 

(suite)
Pour mon A317-53 (très difficile à lire au dos de la machine) sorti le 10 août 2023 (je me répète)
D'après l'article Acer
https://community.acer.com/fr/kb/ar [...] er-protege
pour le BIOS il y a marqué "en cours"
D'après mon IA préférée la mise à jour du démarrage sécurisé (par Windows Update), pourra intervenir sans cela mise à jour du BIOS

comme bien souvent, il s'agit donc de décrypter le nom du modèle, entre le nom commercial et le nom technique. Tu as donc bien trouvé pour le tien

Quant à Windows, la date est sûrement de l'update windows11 de 24h2, alors que tu avais une version + ancienne à l'achat.

Bref, dans ton cas, machine récente, tu dois déjà avoir les CA2023 'current' par Windows update, et tu auras bientot les 'default' avec le bios upgrade.
Cas facile donc, tu n'as probablement rien à faire, et peu besoin de Mosby...

Tu peux vérifier l'état des MAJ avec les scripts proposés.

Oui, je vais regarder
Merci !

Version 3.2 de Mosby:
 
https://github.com/pbatard/Mosby/releases/tag/v3.2

J'ai lancé un mosby -u sur mes deux machines pour mettre à jour Windows BootMgr SVN en v8.0, ça a fonctionné:

Après avoir lancé Apply DBX update.cmd, et patienté deux minutes, plus aucun échec, tout est en vert:
 
 

 
il est bon de préciser ce qui a changé dans cette 3.2:
 

le 2nd pt permet de mieux comprendre ton msg suivant avec `mosby -u  

Pour ceux qui utilisent Strelec, il faut désactiver secure boot maintenant.
On peut mettre à jour les fichiers de boot. J'ai testé en récupérant ces fichiers d'un iso Win11.
Si y'en a qui veulent, j'ai créer un script qui fonctionne avec les versions récentes de Strelec.
https://drive.google.com/drive/fold [...] sp=sharing
Ce lien contient les 2 .efi issus de l'iso Win11

J'ai pourtant pu démarrer sur Sergei Strelec il y a peu (via Ventoy).

Dans mon atelier, j'ai eu pleins de PC qui ne bootaient pas Strelec avec secureboot, je regarderai mon SDD ventoy.

je connaissais HirensCD, je vois que Strelec serait plus complet.
Le site https://sergeistrelec.name/version_history_en_new.html  tout en russe est peu pratique, et par ces temps malheureusement pas une marque de confiance.
Surtout, un repair boot cd incapable de bien gérer ces histoires de certificats, c est bien balo.
Je vois que certaines images sont dites x86/native x86 mais j'ai du mal à piger comment si winpe semble désormais exclusivement en x64

Il faut par contre "enroller" la clé SB de Ventoy.
 
Et il y a un petit bug entre les deux, il faut donc lancer l'installation des pilotes graphiques une fois sur le bureau, sinon l'écran reste en 800x600.
 

 
Oui SS est bien plus complet, et mis à jour régulièrement. Hirens c'est un truc de boomer    
L'auteur est russe, normal que le site soit en Russe    
Si tu n'as pas confiance ne l'utilise pas.
Le changelog est malgré tout en anglais pour la version EN, et sinon il y a la traduction auto des navigateurs.
SS existe en version x86/x64 et en x64 native, pour ceux qui n'ont pas besoin d'une version x86 ça fait une iso plus légère.
Il y a WinPE 10 et WinPE11 dessus.
 
Bref, essaie-le, tu verras si tu es convaincu. Pour moi c'est devenu un indispensable.

Bonjour
 
je ne m'y connais rien et vient de lire le post...
 
J'ai une CM asrock Z77 extreme 4. elle est agée mais monté avec un i7 elle fonctionne très bien encore ! dernier bios mis en dl sur le site d'asrock
 

 
je suis bien en bios UEFI et secure boot activé.
 
pour les certificats 2023, je ne sais plus quoi faire :
 
le sav d'asrock m'a répondu :
 
Bonjour, Je suis désolé, mais cette carte mère est en fin de support (EoS) depuis plusieurs années.
Nous ne sommes pas en mesure de fournir un BIOS spécifique contenant des clés Secure Boot plus récentes.
Quoi qu'il en soit, d'après ce que nous savons, Microsoft les publiera également via les mises à jour Windows.
Consultez notre FAQ, Méthode 1 : https://www.asrock.com/support/faq.asp?id=551
Vous pouvez également contacter Microsoft pour savoir s'ils prévoient de le faire pour Windows 10 et votre matériel.
La méthode 2 n'est pas disponible.
 
j'ai ça comme message :
 

 
j'ai essayé le script Check UEFI PK, KEK, DB and DBX.cmd, comme vous l'indiquez mais ça me renvoie ce message :
 

 
je l'ai téléchargé sur le bureau et lancé clic droit souris "executer en tant qu'administrateur".
 
je dois mal l'utiliser ?
 
Je suis un peu perdu sur ce coup là.
 
que dois je faire ?
 
encore merci pour l'aide
 
cordialement
 
 
 
 

Tout ça me dépasse un peu...
Est-ce qu'avec Mosby, je pourrais installer les certificats secure boot dans l'uefi de mon vieux dell 3060 dont le bios ne recevra pas de mise à jour ?
Le but étant de ne pas galérer dans le cas où j'aurais à faire un clear cmos plus tard.

Ta question m'intéresse également en prévision de possibles galères avec du matos un peu ancien.

Bonjour
 
je ne m'y connais rien et vient de lire le post...
 
J'ai une CM asrock Z77 extreme 4. elle est agée mais monté avec un i7 elle fonctionne très bien encore ! dernier bios mis en dl sur le site d'asrock
 

 
je suis bien en bios UEFI et secure boot activé.
 
pour les certificats 2023, je ne sais plus quoi faire :
 
le sav d'asrock m'a répondu :
 
Bonjour, Je suis désolé, mais cette carte mère est en fin de support (EoS) depuis plusieurs années.
Nous ne sommes pas en mesure de fournir un BIOS spécifique contenant des clés Secure Boot plus récentes.
Quoi qu'il en soit, d'après ce que nous savons, Microsoft les publiera également via les mises à jour Windows.
Consultez notre FAQ, Méthode 1 : https://www.asrock.com/support/faq.asp?id=551
Vous pouvez également contacter Microsoft pour savoir s'ils prévoient de le faire pour Windows 10 et votre matériel.
La méthode 2 n'est pas disponible.
 
j'ai ça comme message :
 

 
j'ai essayé le script Check UEFI PK, KEK, DB and DBX.cmd, comme vous l'indiquez mais ça me renvoie ce message :
 

 
je l'ai téléchargé sur le bureau et lancé clic droit souris "executer en tant qu'administrateur".
 
je dois mal l'utiliser ?
 
Je suis un peu perdu sur ce coup là.
 
que dois je faire ?
 
encore merci pour l'aide.
 
Je viens d'essayer le Claude-Boucher / CheckCA2023
 
j'ai ça comme message :
 

 
 
cordialement

C'est le cmd qu'il faut lancer, pas le ps1.

c'est pourtant bien le cmd que je lance :
 

 

 
et dans le script, il y a bien le .ps1 (trait rouge)
 
je ne comprends pas...

Peut-être ton Windows alors. Quelle version (commande winver) ?
 
Sinon, tu peux lancer Mosby en suivant le tuto de la FP.

+1.
tolunq, ta situation est proche de la mienne (Asrock en Z87).
Mosby te permet de MAJ le KEK.
Comme dit,
1. prépare la clef USB.
2. redémarre ton PC dessus pour t assurer que Mosby fonctionne.
3. sans rien faire, redémarre et va dans le bios (del ou f2 si comme sur ma Asrock); va dans sécurité pour faire un RAZ des clef secureboot, cela va forcer le bios à passer en mode setup et permet ensuite d installer Mosby.
4. démarre tout de suite après sur la clef usb (f11) et lance / active Mosby avec génération des certificats comme a expliqué Umi.

Une fois cela terminé, CheckCA2023 devrait te montrer le KEK en 2023.

Quant au script Check UEFI PK, KEK, DB and DBX", si le cmd ne fonctionne pas, tu peux essayer d ouvrir un powershell en admin, aller dans le sous rep ps1 et lancer le dit script direct.

Il est aussi possible que les scripts soient bloqués par défaut sur ton Windows.
Tjs dans un powershell admin, tu peux tapper.

puis

Je ne sais pas si il y a + de restrictions avec Win10 IoT.
Mais tout cela est étonnant puisque le CheckCA2023 se lance.

Justement, le cmd permet de passer outre la "executionpolicy", donc ce n'est pas ça.

et il faut bien lancer le cmd en "cmd admin" et NON pas en powershell admin.

Bon j'ai tenté, mosby m'a dit que tout avait fonctionné.
Par contre si j'active secure boot dans le bios, windows ne boot pas...

Windows devrait pourtant démarrer puisque Mosby installe les clés Microsoft 2011 et 2023.
 
Fais un reset des clés Secure Boot depuis le BIOS, tu te retrouveras avec la config par défaut.

J'ai essayé, ça n'a rien changé  
Je réessayerai de lancer mosby demain mais je sens que je suis bon pour une réinstallation de w11

Étrange.
Normalement Mosby doit justement tout remettre d'aplomb.
Après difficile de te dépanner sans avoir accès à la machine.
 
Bah au pire tu peux laisser SB désactivé, c’est pas dramatique non-plus.

certes, désactiver SB est tjs une possibilité.
mais tout le topic est justement de trouver une alternative robuste avec SB actif..
 
Mat44, as tu bien mis BitLocker en pause avant de jouer avec les clefs SB?
 
Je vois que ton Dell 3060 n'est pas si vieux puisque avec core 8em gen.
N'y a t il pas une MAJ de bios de Dell récente?
Je vois que le dernier est de nov 2024 (enfin si c'est ta machine): n' a t il pas déjà les CA2023 ?
Si oui, tu n'as pas vraiment besoin de Mosby...
 

Dell ne met rien à jour au delà de 2020. https://www.dell.com/support/kbdoc/ [...] ur-du-bios

 
Bonjour et merci pour l'aide.
 
tu es donc un peu dans le même cas que moi alors. moi en Z77 et toi en Z87.
Ma CM est vieille (2011 ou 2014) mais elle marche super bien et ça me fait flic de devoir en racheter une car vu les prix....  
 
et toi tu en es où alors ? tu as essayé Mosby et ça t'as installée lex certif 2024 ? avec windows qui démarre bien avec le secure boot qui reste mis ?
 
ça fait 2 fois que j'essaye des scripts et ça fait 2 fois que mon pc plante avec un écran bleu donc 2 fois obligé de restaurer le système. je viens de le faire car hier soir j'ai essayé un script du post pour installer les certifs.
comme windows j'ai ceci :
 

 
j'ai été obligé de passer sur cette version car pc incompatible avec win 11 et impossible de me m'inscrire au MAJ win 10 sur microsoft en septembre dernier.
J'ai donc acheté un version lot
 
par contre je suis novice dans ces histoires de scripts et je n'y comprends pas grand chose. donc je vais essayer avec Mosby mais j'espère pas faire HS mon windows.
 
J'essayerai la semaine prochaine car là je suis pas mal occupé et ça va demander du temps et de la patience.
 
je vais aussi essayer de joindre par mail microsoft pour savoir s'ils comptent mettre ces certifs pour ma asrock Z77 extreme 4.
 
Merci encore pour l'aide apportée
 
cordialement
 
 

 
Non, comme Timoonn l'a dit, pas de maj du bios sur mon modèle.  
 
Sinon, j'ai relancé mosby, j'ai à nouveau accès à w11 avec SB activé.
J'en suis là:

@Mat44: donc c'est bon, comme tu peux le voir Mosby a bien installé les certificats et tout le reste.
 
Pour la partie en rouge, lance Apply DBX update.cmd, ça devrait passer en vert après quelques minutes.

oui, Mosby est la seule solution qui m'a permis d'avoir tout les CA2023. Essaie, c est vraiment le plus simple en fait.

J ai eu auparavant aussi des freeze de ma machine en z87 comme je décrivais là dessus:
https://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
Je suis aussi sous Windows 10.
(nos machines pourraient bien passer sous Windows 11 avec Rufus ou les clefs de registres qui désactivent la verif du CPU et TPM, mais Win11 va juste les alourdir, Win10 est + léger et + réactif)

peut être la même chez toi avec ton écran bleu?

j avais aussi reporté cela sur les sessions "Ask me anything" Secure Boot, MS en a déjà fait 3-4.
La solution fut alors de bloquer la tache planifiée de Windows qui permet de mettre à jour les dits certificats SecureBoot
\Microsoft\Windows\PI\Secure-Boot-Update
dans le gestionnaire de tâches.

Après avoir fait le patch avec Mosby l autre jour, j ai pu réactivé cette tache sous Windows, et qui enfin ne bronche plus.

Donc comme dit, fait la clef usb avec Mosby et installe le pour forcer la MAJ de tout les CA2023.

comme dit Umi, c est donc bon pour les CA2023, tu n'auras pas mieux.
Ce qui est intéressant chez toi est que la PK est resté celle de Dell et non celle de Mosby - et Mosby est pourtant listé + bas dans la DB active: j'imagine que tu as bien activé la génération de clef dans Mosby comme Umi l a décrit.

 
FutMan, as tu essayé Mosby sur ton Acer après les "erase all" finalement?

 
encore un écran bleu ce soir juste après l'installation des maj de juin...
 

 
obligation de restaurer à un point de restauration antérieur (6 juin)... le dernier valide !
 
Je vais lire ton post sur le freeze.
par contre je n'ai pas trouvé dans le gestionnaire de taches, comment bloquer la tache planifiée que tu me parles. si tu pouvais m'indiquer où faire cela...
 
la semaine prochaine, j'essaye Mosby mais faut que je m'achète avant une clé usb. de combien de go la prendre ? Une marque précise de clé usb ?
Et je reviendrais surement vers toi pour que tu m'expliques bien le déroulement ... peur de faire une connerie et de planter pour de bon le pc.
 
 
 
d'avance merci.

Peu importe la taille, entre 128 Mo et 128 Go.
Oui il faut fait un "clear secure boot jeys" juste avant, tout ça est expliqué sur la FP

même 32 Mo pourrait suffire, l'image de Mosby prend 23 Mo.
 
bref, n'importe quelle vieille clef ou disque externe usb fait largement l'affaire.  
Aucune clef usb sous la main, tolunq?
 
Quant à ton écran bleu, je soupçonne nos vieilles Asrock de ne supporter la MAJ des CA sur le KEK qd le SecureBoot est actif (comme sous Windows): Windows force une écriture (sur la NVRAM du bios) probablement interdite par le bios => freeze ou écran bleu.
 
Si tu fait la manip de Mosby, correctement, tu n'auras peut-être pas besoin de couper la tache planifiée. Mais si tu veux qd meme le faire, as tu trouvé la dite tache?
Clic droit sur la tache / desactiver.

bonjour
 
Désolé j'étais absent.
et non ! aucune clé sous la main... désolé. je vais en commander 2 ou 3 d'ici demain, de 8 go.
 
Mais promis, je vais essayer mosby... je n'ai rien à perdre.
 
la tache planifiée je ne l'ai pas trouvé. visiblement elle n'est pas.
 

 
comment la trouver ?
 
merci
 
 
 

oups .... parfois je suis couillu... mais couillu ... c'est pas possible !  
 
bien sûr que je l'ai trouvé la tâche en question !
 
Donc tu me conseilles de la désactiver le temps que j'utilise Mosby ? c'est bien cela ?