Comment vérifier les certificats Secure Boot

Systèmes d’exploitation concernés :

• Windows 11
• Windows 10

Les certificats Secure Boot peuvent être vérifiés à partir de PowerShell à l’aide d’une applet de commande. Vous devez exécuter PowerShell en tant qu’administrateur pour éviter les problèmes d’accès.

Il existe deux méthodes :

• Méthode 1 :
  • Vérifiez la base de données active :
    • Type ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
      Remarque : La base de données active est ce que l’ordinateur utilise pour démarrer l’ordinateur.
    Il s’agit des certificats que le système d’exploitation utilise pour le démarrage sécurisé de l’ordinateur.
    Cet exemple montre que le certificat (CA) Windows UEFI 2023 n’est pas présent dans la base de données active :
    

• • Vérifiez la base de données par défaut :
    • Type ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')
    Cet exemple montre que le certificat (CA) Windows UEFI 2023 est présent dans la base de données par défaut :
    
• Méthode 2
  Remarque : Une connexion Internet est requise pour l’installation du module PowerShell.
  • Installer le module PowerShell
    • Type Install-Module -Name UEFIv2
      • Saisissez Y (pour Oui) aux questions posées sur l’installation du fournisseur NuGet et l’installation à partir de PSGallery
    • Type Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
    • Type Import-Module -Name UEFIv2
  • Vérification de la base de données active :
    • Type (Get-UEFISecureBootCerts db).signature
      Remarque : La base de données active est ce que l’ordinateur utilise pour démarrer la machine. Il s’agit des certificats que le système d’exploitation utilise pour le démarrage sécurisé de l’ordinateur.
    Cet exemple montre uniquement les certificats 2011 (AC) dans la base de données active :
    
  • Vérifiez la base de données par défaut :
    • Type (Get-UEFISecureBootCerts dbdefault).signature
      Remarque : La base de données par défaut est une copie de sauvegarde de la base de données Secure Boot. Il s’agit des certificats utilisés pour écraser la base de données active lorsque le BIOS le demande (via le mode clé experte ou les réinitialisations du BIOS). Voir Comment mettre à jour la base de données active Secure Boot à partir du BIOS.
    Cet exemple illustre les certificats 2011 et 2023 (AC) dans la base de données par défaut :
    

  Certificats Secure Boot :

  2011 Certificats (CA)	Certificats (CA) 2023
  Microsoft Corporation KEK CA 2011	Microsoft Corporation KEK 2K CA 2023
  Microsoft Windows Production PCA 2011	Windows UEFI CA 2023
  Microsoft Corporation UEFI CA 2011	Microsoft UEFI CA 2023
  	Microsoft Option ROM UEFI CA 2023

  Remarque : Tous les certificats ne s’affichent pas sur chaque certificat. Les certificats importants pour le démarrage de Windows sont Microsoft Windows Production PCA 2011 et Windows UEFI CA 2023.

  Pour plus d’informations sur la mise à jour du certificat Secure Boot sur les ordinateurs Dell, voir Expiration du certificat Secure Boot Microsoft 2011.