华硕笔记本开启 Secure Boot 报 “Invalid Signature Detected” 完整排障与修复设备ASUS ROG Zephyrus M16 (GU604VZ) | BIOS v314 | Windows 11现象BIOS 开启 Secure Boot → 开机红屏Invalid signature detected. Check Secure Boot Policy in Setup结果已修复Secure Boot 正常启用一、问题背景某天进入华硕 BIOS 开启 Secure Boot 后开机直接红屏报错Secure Boot Violation Invalid signature detected. Check Secure Boot Policy in Setup关闭 Secure Boot 能正常进系统但某些场景如玩 Valorant、开 WSL2、BitLocker强制要求 Secure Boot 开启。BIOS 里Restore Factory Keys也试了无效。二、排障过程2.1 第一步诊断环境以管理员身份挂载 EFI 系统分区ESP列出所有引导文件mountvol S: /s dir S:\EFI\ /s关键发现EFI\Boot\OpenCore.efi ← 黑苹果引导器 EFI\Boot\.contentFlavour ← OpenCore 标记文件 EFI\OCHW\OpenCore.efi ← OpenCore 配置 EFI\OCHW\config.plist EFI\Boot\bootx64.efi ← 被 OpenCore 替换过的默认引导 EFI\Microsoft\Boot\bootmgfw.efi根因 #1EFI 分区残留了 OpenCore黑苹果引导文件这些文件没有微软数字签名Secure Boot 验签直接拒绝。2.2 第二步清理 OpenCore 重建引导删除所有 OpenCore 文件并用 bcdboot 重建微软签名引导mountvol S: /s del S:\EFI\Boot\OpenCore.efi del S:\EFI\Boot\.contentFlavour rmdir /s /q S:\EFI\OCHW bcdboot C:\Windows /s S: /f UEFI mountvol S: /d重启进 BIOS → Key Management →Reset To Setup Mode→Restore Factory Keys→ 开 Secure Boot → F10。结果仍然红屏。说明问题不止 OpenCore。2.3 第三步深入分析证书签名用 PowerShell 检查引导文件的嵌入式签名$cert[System.Security.Cryptography.X509Certificates.X509Certificate]::CreateFromSignedFile(S:\EFI\Boot\bootx64.efi)$cert2[System.Security.Cryptography.X509Certificates.X509Certificate2]::new($cert)$cert2|Select-ObjectSubject,Issuer,NotAfter输出Subject: CNMicrosoft Windows, OMicrosoft Corporation Issuer : CNWindows UEFI CA 2023 ← 2023 年新证书 NotAfter: 03/04/2027根因 #2微软从 2023 年起用新 CA 签发引导文件取代 2011 年的旧证书。但华硕出厂固件密钥库 (db) 只预装了Windows UEFI CA 2011不信任 2023 签名。Restore Factory Keys 只是恢复出厂旧密钥不会凭空变出新证书。Windows 侧检查也确认了这一点WindowsUEFICA2023Capable: 0 ← 固件不支持 Windows 推送 2023 证书 UEFICA2023Status: InProgress ← 卡在半路 Secure-Boot-Update 计划任务: 不存在意味着所有 Windows 侧的修复方法全部走不通。2.4 第四步用 SecureBootRecovery.efi 在启动阶段刷固件这是微软官方提供的最后一招——C:\Windows\Boot\EFI\SecureBootRecovery.efi在开机时独立运行直接向固件 db 写入 2023 证书绕过 Windows 的限制。操作方式通过 PE U 盘将 ESP 上的bootmgfw.efi临时替换为SecureBootRecovery.efiPhase 1 (PE 里跑): ESP\EFI\Microsoft\Boot\bootmgfw.efi → 备份为 .bak 复制 SecureBootRecovery.efi → 覆盖 bootmgfw.efi → 重启固件加载恢复工具 → 写入 2023 证书 → 10s 后自动重启 → 进 BIOS 开 Secure Boot → F10 → 引导文件验签通过 ✅ Phase 2 (PE 里再跑一次): 检测到 .bak 备份 → 还原原始 bootmgfw.efi bcdboot 加固引导 → 重启正常进入 Windows ✅自动化脚本fix_sb_pe.bat的源码贴在文末。三、完整修复流程TL;DR步骤操作预期结果①管理员 CMDmountvol S: /sbcdboot C:\Windows /s S: /f UEFI确保引导文件干净②删除 ESP 上的残留第三方引导文件OpenCore/rEFInd/GRUB 等避免非微软签名文件干扰③进 PE跑 Phase 1 脚本 → 重启 → 等 10 秒自动恢复固件 db 获得 2023 证书④进 BIOS → Security → Secure Boot → Enabled → F10Secure Boot 正常启用⑤如果无法进系统再进 PE 跑 Phase 2 → 还原引导文件正常进 Windows四、核心知识点4.1 Secure Boot 信任链PK (Platform KeyOEM 根密钥) ↓ 签名 KEK (Key Exchange KeyMicrosoft OEM) ↓ 签名 db (允许列表) / dbx (吊销列表) ↓ 匹配 EFI 引导文件签名验证流程先查 dbx → 再查 db → 都不匹配则拒绝4.2 微软证书迁移2011 年Microsoft Windows Production PCA 2011签发引导文件2023 年起Windows UEFI CA 2023签发2011 证书逐步退役过渡期老旧固件可能只认识旧证书 → 新签名的引导文件被拒绝 Invalid Signature4.3 为什么 Restore Factory Keys 不管用Restore Factory Keys 恢复的是华硕出厂打包的密钥集包含旧 2011 证书。如果你的 BIOS 版本早于 2023 年某版本出厂密钥里根本没有新证书——恢复一百遍也不会有。五、自动化脚本 fix_sb_pe.batecho off title Secure Boot 2023 Certificate Recovery Tool :: Step 1: Find Windows partition set WIN for %%d in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do ( if exist %%d:\Windows\System32\config\SYSTEM ( set WIN%%d goto :got_win ) ) echo ERROR: Windows partition not found! pause exit /b 1 :got_win set RECOVERY%WIN%:\Windows\Boot\EFI\SecureBootRecovery.efi :: Step 2: Mount EFI System Partition set ESP for %%d in (S T U V W X Y Z) do ( if not exist %%d:\ (set ESP%%d goto :got_esp_letter) ) echo ERROR: No free drive letter! pause exit /b 1 :got_esp_letter set FOUND0 for /l %%d in (0,1,9) do ( for /l %%p in (1,1,15) do ( %temp%\m.txt ( echo select disk %%d echo select partition %%p echo assign letter%ESP% ) diskpart /s %temp%\m.txt nul 21 if exist %ESP%:\EFI if not exist %ESP%:\Windows ( set FOUND1 goto :esp_done ) %temp%\r.txt (echo select volume %ESP% echo remove) diskpart /s %temp%\r.txt nul 21 ) ) :esp_done if %FOUND%0 (echo ERROR: ESP not found! pause exit /b 1) :: Step 3: Phase 1 (deploy) or Phase 2 (restore) if exist %ESP%:\EFI\Microsoft\Boot\bootmgfw.efi.bak goto :restore :: --- PHASE 1: Deploy recovery tool --- copy /y %ESP%:\EFI\Microsoft\Boot\bootmgfw.efi %ESP%:\EFI\Microsoft\Boot\bootmgfw.efi.bak nul copy /y %RECOVERY% %ESP%:\EFI\Microsoft\Boot\bootmgfw.efi nul %temp%\r.txt (echo select volume %ESP% echo remove) diskpart /s %temp%\r.txt nul 21 echo PHASE 1 COMPLETE. Remove PE USB, reboot. echo You will see Microsoft Secure Boot Recovery - wait 10s for auto-reboot. echo After reboot, enter BIOS - enable Secure Boot - F10. echo If stuck on recovery screen, boot PE again and re-run this script. pause exit /b 0 :: --- PHASE 2: Restore original bootmgfw.efi --- :restore copy /y %ESP%:\EFI\Microsoft\Boot\bootmgfw.efi.bak %ESP%:\EFI\Microsoft\Boot\bootmgfw.efi nul del %ESP%:\EFI\Microsoft\Boot\bootmgfw.efi.bak 2nul if exist %WIN%:\Windows\System32\bcdboot.exe ( %WIN%:\Windows\System32\bcdboot.exe %WIN%:\Windows /s %ESP%: /f UEFI ) %temp%\r.txt (echo select volume %ESP% echo remove) diskpart /s %temp%\r.txt nul 21 echo PHASE 2 COMPLETE. Reboot - enter BIOS - enable Secure Boot. echo System should boot normally now. pause exit /b 0六、总结华硕笔记本尤其是 ROG 系列在 2024-2025 年出厂固件中可能尚未包含微软 2023 年的新 UEFI 签名证书。当 Windows 11 的引导文件升级为新签名后开启 Secure Boot 就会报 Invalid Signature。解决思路一句话用 SecureBootRecovery.efi 在启动阶段把 2023 证书写进固件 db然后再还原因引导文件。这是目前绕过 Windows 侧WindowsUEFICA2023Capable0限制的唯一方法。建议华硕/AMD 电竞本用户关注 ASUS 官网的 BIOS 更新新版本固件应该会直接内置 2023 证书届时更新后直接 Restore Factory Keys 即可。
