Ошибка TPM-WMI с кодом 1801 сертификатов безопасной загрузки

В просмотре событий Windows 11/10 можно встретить системную ошибку TPM-WMI с кодом 1801, где написано "Обновленные сертификаты безопасной загрузки доступны на этом устройстве, но еще не применены ко встроенному ПО. Ознакомьтесь с опубликованными рекомендациями, чтобы завершить обновление и сохранить полную защиту". Также ошибка может звучать на английском "Secure Boot certificates have been updated but are not yet applied to the device firmware. Review the published guidance to complete the update and ensure full protection" или похожая "Secure Boot CA/keys need to be updated".

Ошибка TPM-WMI с кодом 1801, когда сертификаты безопасной загрузки доступны, но не применимы, возникает из-за попытки применить новые сертификаты, а прошивка TPM отвечает некорректно, из‑за чего и появляется событие 1801.

Для работы Secure Boot загрузчики должны быть подписаны специальными сертификатами, а в прошивке UEFI хранится список доверенных сертификатов, по которым система решает, кому разрешать загрузку. Сейчас на большинстве компьютеров с включённой безопасной загрузкой используется сертификат Microsoft Windows Production PCA 2011, срок действия которого заканчивается в июне 2026 года. Чтобы Secure Boot продолжал работать, устройства должны перейти на новый сертификат Windows UEFI CA 2023, а загрузчик Windows должен быть переподписан именно этим обновлённым сертификатом.

Это не критическая ошибка, как многие могут подумать, а всего лишь предупреждение, что сертификаты CA 2023 уже есть, но они еще не применились. В справке Майкрософт сказано, что всё сделается само автоматически через центр обновления и нужно всего лишь ждать и ошибка TPM-WMI с кодом 1801 сертификатов безопасной загрузки не влияет на работу системы.

Как устранить ошибку TPM-WMI 1801 в Windows 11/10

Чтобы устранить ошибку "Сертификаты безопасной загрузки обновлены, но еще не применены" TPM-WMI 1801 в Windows 11/10 нужно задать системе параметры в реестре на обновления и применение сертификатов CA 2023. Отмечу, что лучше дождаться времени, когда сертификаты сами применятся и обновляться через центр обновления Windows, так как это будет безопаснее и не будет возможных проблем с отключением Secure Boot и шифрованием BitLocker.

1. Запустите запланированное задание для управления процессом обновления Secure Boot. Для этого, запустите powerShell от имени администратора и введите ниже две команды по очереди, наживши Enter после каждой:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot" /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

• Перезагрузите ПК через 7 минут, потом снова через 10 минут (2 раза).
• Следуйте шагу 2 ниже, чтобы проверить статус.
  

2. Чтобы проверить статус CA 2023 через реестр, введите в PowerShell:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status').UEFICA2023Status

• Если состояние "Updated" в значении UEFICA2023Status, делать ничего не нужно.
• Если "InProgress" или "NotStarted", то нужно перейдите в центр обновления Windows и проверьте обновления.
• Далее повторить пункт 1.

Но лучше проверить статут в самой прошивке UEFI введя:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name db).Bytes) -match "Windows UEFI CA 2023"

• Если будет ответ "True", то всё в порядке.