Вопрос или проблема
Я пытался использовать ADK из Windows, а также MDT, но я создал образ и проверил сертификат EFI, и он все еще 2011 года. Я следовал инструкциям от Microsoft по смягчению Black Lotus и, честно говоря, считаю, что это работает для создания образа среды WinPE (возможно, я ошибаюсь… вероятно, я ошибаюсь…). Я чувствую себя в нерешительности и, ищя в интернете, не нашел ресурса, который четко описывал бы, как создать установочный носитель, по крайней мере, простой образ, который я мог бы использовать как стратегию смягчения. Мне было интересно, встречаюсь ли я с этой проблемой один или это просто слишком сложно для меня, и я не понимаю суть. Существует ли метод создания установочного носителя с операционной системой Windows 11 24H2 с подписанным EFI-файлом для Windows UEFI CA 2023?
Источник веб-страницы
Ответ или решение
Для создания образа с новой подписанной криптографической подписью сертификата Windows UEFI CA 2023, следуйте приведенным ниже шагам. Этот процесс потребует использования средств, предоставляемых Microsoft, таких как Windows Assessment and Deployment Kit (ADK) и Windows Deployment Tools (MDT), а также некоторых дополнительных шагов для настройки UEFI и Secure Boot.
Шаги по созданию образа:
-
Установите необходимые инструменты:
- Скачайте и установите Windows ADK для Windows 11 24H2. Выберите необходимые компоненты, такие как "Deployment Tools" и "Windows Preinstallation Environment (Windows PE)".
- Также установите Windows Deployment Toolkit (MDT).
-
Подготовка рабочего окружения:
- Создайте папку для развертывания, где вы будете хранить все файлы и ресурсы для образа.
- Убедитесь, что у вас есть доступ к последней версии Windows 11 24H2 ISO-образа.
-
Создайте загрузочный образ Windows PE:
- Откройте командную строку с правами администратора.
- Выполните команду
copype amd64 C:\WinPE_amd64, чтобы создать рабочую папку для Windows PE. - После этого перейдите в созданную папку (
C:\WinPE_amd64) и выполнитеMakeWinPEMedia /UFD C:\WinPE_amd64 I:, гдеI:– это буква вашего USB-накопителя.
-
Подготовьте образ для создания установочного носителя:
- Извлеките содержание ISO-образа Windows 11 24H2 в отдельную папку, например,
C:\Win11. - Замените файлы в папке
EFI/Bootна новые файлы с подписанным сертификатом, если они доступны.
- Извлеките содержание ISO-образа Windows 11 24H2 в отдельную папку, например,
-
Подписывание образа:
- Убедитесь, что вы используете новую подписку для EFI-Files. Для этого необходимо проверить, что вы применили обновления и заплатили за новые сертификаты, прежде чем подписывать файлы.
- Используйте
signtool.exe, который входит в состав SDK Windows, для подписания соответствующих файлов. Пример команды:signtool sign /f ваш_сертификат.pfx /p пароль /fd SHA256 /a C:\Win11\EFI\Boot\bootmgfw.efi.
-
Создайте ISO-образ:
- Используйте инструмент
oscdimgдля создания ISO-образа из ранее подготовленных файлов. Команда может выглядеть так:oscdimg -n -m -bc:\Win11\etfsboot.com c:\Win11 c:\Win11.iso
- Используйте инструмент
-
Загрузка с нового установочного носителя:
- Для проверки корректности работы установочного носителя загрузите компьютер с USB-накопителя. Вы должны убедиться, что Secure Boot активирован и что образ корректно загружается с новой криптографической подписью.
Важные замечания:
- Убедитесь, что на вашем оборудовании установлены последние обновления BIOS/UEFI.
- Проверяйте совместимость оборудования с Windows 11.
- Если новые сертификаты не загружаются, возможно, вам потребуется обратиться в службу поддержки Microsoft для получения дополнительной информации.
Следуя этим шагам, вы сможете создать установочный образ Windows 11 24H2 с подписанным EFI файлом для Windows UEFI CA 2023. Если у вас остались вопросы или возникли трудности на каком-то этапе, не стесняйтесь обратиться ко мне повторно.