🔒 Gestione Certificati Secure Boot Windows: Verifica, Installazione e Reset
Problemi con Secure Boot? Certificati scaduti o non riconosciuti? Ecco la procedura completa in 5 passi per verificare lo stato, aggiornare i certificati Microsoft CA 2023 e ripristinare le chiavi UEFI. Funziona su Windows 10/11, testata 2025.
📋 1. Verifica Stato Secure Boot
Controlla se Secure Boot è attivo e i certificati aggiornati:
Win+R → msinfo32 → Invio- In "Riepilogo sistema" → "Stato avvio protetto" = Attivato/On
- PowerShell Admin (opzionale):
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
RisultatoTrue= certificati aggiornati
⚙️ 2. Abilita Aggiornamenti Automatici Certificati
Consente a Windows Update di installare CA 2023 + DBX:
Prompt Comandi ADMIN: reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v MicrosoftUpdateManagedOptIn /t REG_DWORD /d 0x5944 /f Riavvia → Windows Update (tutti gli aggiornamenti)
🔄 3. Forza Installazione Nuovi Certificati
Aggiorna DB (consentiti) + DBX (revocati):
Prompt Comandi ADMIN: reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f PowerShell ADMIN: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" Riavvia e verifica con msinfo32
🛠️ 4. Reset Chiavi UEFI (se necessario)
Se certificati incoerenti o errori persistenti:
- BIOS/UEFI → Secure Boot → "Restore Factory Keys" o "Load Default Keys"
- Secure Boot = Enabled
- Salva ed esci → Windows → ripeti passi 2-3
💡 Nota: Nomi esatti variano per vendor (Dell/HP/Lenovo). Cerca "Secure Boot Keys" o "Platform Key".
✅ 5. Checklist Sintetica "Copia-Incolla"
| Passo | Comando/Azione |
|---|---|
| 1. Verifica | msinfo32 → Stato=On |
| 2. Opt-In | reg add ... /d 0x5944 → Update |
| 3. Forza Update | reg add ... /d 0x80 → Task |
| 4. UEFI Reset | "Restore Factory Keys" → Enabled |
❓ Problemi Comuni & Soluzioni
- "Secure Boot non si abilita": Aggiorna BIOS firmware
- "dbx Failed to build": Esegui reset UEFI + step 3
- CA 2011 ancora presente: Step 2-3 rimuovono vecchia CA vulnerabile
- Errore trust post-aggiornamento: Verifica domain SID dopo Secure Boot reset
