Появился у меня на руках ноутбук HP 15-bs039ur. Так себе ноутбук, но для моих нужд его хватает. Решил я переустановить Windows, и столкнулся с проблемой установки ОС с загрузочной флешки. Флешка была подготовлена в программе Ventoy, она мне показалась удобней чем Rufus.
Чтобы открыть программу настройки BIOS, несколько раз нажать клавишу F10. Можно также нажать клавишу Esc, чтобы получить доступ к различным параметрам, доступным при загрузке, включая программу настройки компьютера. Чтобы попасть в меню выбора загрузки нужно нажать F9.
Я выбрал загрузочную флешку и получил сообщение “verification failed 0x1a security violation”.
Тут говориться что на ноутбуке установлена защита проверяющую сигнатуру загрузчика ОС и не позволяющая загружать ОС, отсутствующую в списке. На деле это означает, что кроме предуставновленой ОС ничего загрузить не удаётся.
Я изначально зашёл в BIOS и отключил Security Boot и что-то там ещё, и это не помогло. После перезагрузки ноутбука, в биосе значение “disable” которое я ставил, переводилось в “enable” что не позволяло использовать внешний загрузчик.
Можно было не заморачиваться и переустановить Windows с внутреннего жёсткого диска, но было требование сохранить все данные которые там есть. Переносить систему не получалось и не хотелось, т.к. данных на внутреннем диске было больше чем объём на новом SSD.
В итоге мне помог сайт Ventoy. Они уже знали о этой ситуации и добавили все необходимые файлы в свою сборку 1.0.76 и выше.
Проделал операции по их инструкции и всё заработало. Единственное я не понял, там есть два способа “Enroll key” и “Enroll hash”, какой в каком случае используется? Я использовал оба 🙂
Появился у меня на руках ноутбук HP 15-bs039ur. Так себе ноутбук, но для моих нужд его хватает. Решил я переустановить Windows, и столкнулся с проблемой установки ОС с загрузочной флешки. Флешка была подготовлена в программе Ventoy, она мне показалась удобней чем Rufus.
Чтобы открыть программу настройки BIOS, несколько раз нажать клавишу F10. Можно также нажать клавишу Esc, чтобы получить доступ к различным параметрам, доступным при загрузке, включая программу настройки компьютера. Чтобы попасть в меню выбора загрузки нужно нажать F9.
 |
| Окно выбора источника закрузки. |
Я выбрал загрузочную флешку и получил сообщение “verification failed 0x1a security violation”.
 |
| Сообщение “verification failed 0x1a security violation” |
Тут говориться что на ноутбуке установлена функция Secure Boot (безопасная загрузка), отвечающую за безопасную загрузку системы, защита проверяющую сигнатуру загрузчика ОС и не позволяющая загружать ОС, отсутствующую в списке. На деле это означает, что кроме предуставновленой ОС ничего загрузить не удаётся.
Я изначально зашёл в BIOS и отключил Security Boot и что-то там ещё, и это не помогло. После перезагрузки ноутбука, в биосе значение “disable” которое я ставил, переводилось в “enable” что не позволяло использовать внешний загрузчик.
Можно было не заморачиваться и переустановить Windows с внутреннего жёсткого диска, но было требование сохранить все данные которые там есть. Переносить систему не получалось и не хотелось, т.к. данных на внутреннем диске было больше чем объём на новом SSD.
В итоге мне помог сайт Ventoy. Они уже знали о этой ситуации и добавили все необходимые файлы в свою сборку 1.0.76 и выше.
 |
| Скринш от страницы Ventoy с автопереводом. |
Проделал операции по их инструкции и всё заработало. Единственное я не понял, там есть два способа “Enroll key” и “Enroll hash”, какой в каком случае используется? Я использовал оба 🙂
This document (000021080) is provided subject to the disclaimer at the end of this document.
Environment
SUSE Linux Enterprise Server 15 SP4
Situation
Trying to install SLES15 SP4 on systems with an existing OS, with shim version 15.7 or later, and UEFI secure boot enabled in the BIOS, booting fails with an error message ‘Verification failed: (0x1A) Security Violation’ on the console.
Resolution
Use the SLES15 SP4 latest Quarterly Update (QU3) ISO with a newer grub2/mokutil version to install SLES15 SP4 when the issue occurs.
The “SLE-15-SP4-Full-x86_64-QU3-Media1.iso” is available for download in the SUSE Customer Center (Products, Installation Media)
Cause
The behavior is expected.
Shim version 15.7 or later blocks grub versions which have their .sbat section set to 1.
The scenario may occur when a security vulnerability is discovered.
For more information, please refer to UEFI shim bootloader secure boot life-cycle improvements [https://github.com/rhboot/shim/blob/main/SBAT.md ]
Disclaimer
This Support Knowledgebase provides a valuable tool for SUSE customers and parties interested in our products and solutions to acquire information, ideas and learn from one another. Materials are provided for informational, personal or non-commercial use within your organization and are presented “AS IS” WITHOUT WARRANTY OF ANY KIND.
- Document ID:000021080
- Creation Date:
19-May-2023 - Modified Date:19-May-2023
-
- SUSE Linux Enterprise Server
< Back to Support Search
For questions or concerns with the SUSE Knowledgebase please contact: tidfeedback[at]suse.com
I’m trying to install Ubuntu 22.04.1 via a USB drive but when I want to boot the USB drive when the secure boot is enabled, I get the error Verification failed:(0x1A) Security Violation. I need the secure boot to be enabled. Back then, I had no problems doing so. I recently used the command mokutil --reset to clear the machine owner keys because there were a lot of them and I wanted to make things cleaner.
I also tried to add mmx64.efi and grubx64.efi to the trusted files in BIOS but I got another error (i.e. shim_lock protocol not found). I was not doing anything special related to secure boot to boot my USB drive before (even when I installed my first Linux distro). Why can not I do that now?
asked Feb 24 at 5:20
2
This is an excerpt from this answer that I just wrote.
What happened here is that Canonical updated their UEFI Secure Boot signing key and your system’s Secure Boot Advanced Targeting variable. In plain terms, they made it so that newer boot files they release are bootable, and older ones aren’t. If you got the update and then try to boot an OS that is still using the older files, it won’t work and you get a Security Violation error.
Normally the solution here is to update your installation so that you have newer boot files. In this instance, though, you’re trying to install from an ISO that has the older boot files. So you can’t update the boot files. You have two choices here.
- Disable Secure Boot and leave it that way.
- Disable Secure Boot, boot the 22.04.1 ISO, install, update, and then enable Secure Boot again.
Sadly, both solutions require that you disable Secure Boot at least temporarily.
answered Feb 27 at 2:07
ArrayBolt3ArrayBolt3
2,6077 silver badges29 bronze badges
Downloading and booting from the 22.04.2 version solved the problem for me.
answered Feb 27 at 1:32
Ali SafapourAli Safapour
511 gold badge1 silver badge6 bronze badges
It’s possible that the Ubuntu image you downloaded and wrote to the USB drive is not signed with a key that is trusted by the Secure Boot feature of your computer’s bios. This could be because the image is unsigned, or because the key used to sign the image is not in the list of trusted keys in your computer’s bios.
You must use a bootloader that is signed with a key that is trusted by bios. This will allow the system to verify the digital signature of the bootloader, and load it without triggering the security violation error.
answered Feb 24 at 11:13
MarcoMarco
1591 silver badge5 bronze badges
1
Hi,
I have a problem installing Linux Mint on my Dell OptiPlex 7060 SFF PC (i7-8700) from either DVD or USB.
When I attempt the installation, it comes up with a blue screen with the text: Verification failed: (0x1A) Security Violation The strange thing is, I have used the same ISO image (verified SHA256) on this PC previously and it worked fine with no issues.
From what I have researched, it seems to be an issue with the BIOS / UEFI key, but I am not sure what has changed since the last install of Mint. I thought that it may have been due to a BIOS upgrade via Dell, but I have done the same upgrades on other similar PCs and the problem isn’t repeating itself – they all work okay. There was a video suggesting the latest BIOS upgrade is the problem as it fixed BIOS security vulnerabilities, but I don’t think this is the case. The video is : https://www.youtube.com/watch?v=rd9IKUtYuqA
The other scenario is that the cause could have been a result of me installing Kubuntu 22.04.2 on the same PC via USB ISO (verified SHA256) just to see what it was like. Could the latest Kubuntu install have messed my BIOS settings up, which prevents me installing anything older than the current versions? Another user suggested this here: https://askubuntu.com/questions/1456460 … ing-ubuntu
If the latter is the case, and Canonical updated their UEFI Secure Boot signing key, is there any way to reset the BIOS key, so that I can install and Linux Mint the way I used to, without issue? Or will I have to wait for the next version of Linux Mint (21.2) in June/July 2023 and hopefully the key issue is addressed in that version?
Some users suggest to turn SecureBoot off to remedy this issue, but without understanding SecureBoot properly, I prefer to leave it enabled. If someone in this forum can explain the benefits and risks in turning this feature off please let me know. The thing is, I know Linux Mint works with SecureBoot on this PC, so I’m hesitant to change this setting permanently, even though it does actually work.
Also, I have been using CloneZilla 2.8.0-27 on the same PC and now I am getting the same verification error message as Linux Mint.
There has to be a way to reset it. If anybody knows, please inform me. Your help is appreciated.
Darryl
