Quando se trata de instalar o Windows 10, pode-se usar a ferramenta de criação de mídia da Microsoft para criar uma mídia de instalação USB. Este stick suporta nativamente o Secure Boot em combinação com UEFI.
Se alguém quiser acelerar a instalação para pré-patch atualizações do Windows, alterar configurações e / ou adicionar software, usará o NT Lite para criar um novo ISO e usará algo como RUFUS para gravar esse ISO no pendrive.
Já fiz isso no passado, mas com o recente Windows 10 20H2, quando uso o Rufus, ele me diz que o Secure Boot não funcionará e que deve ser desabilitado antes da inicialização, podendo ser habilitado após a instalação feito.
Dado que funcionou no passado, existe uma maneira de fazer a inicialização segura funcionar para que eu sempre possa instalar meu instalador modificado do Windows 10 com inicialização segura e UEFI ativados?
While OP has already found a solution, I use this answer space to add some more options.
Option 1 : Split the WIM file.
The WIM file is the format where slipstreaming is possible, .ESD conversion to .WIM and then adding your own drivers/packages etc in it is likely to take Windows 10 install.WIM bigger than 4GB.
Usando o comando DISM (prontamente disponível no Windows 10), divida o arquivo .WIM em .SWM, cada um com tamanho de 3 GB. Exclua o WIM original da fonte extraída e usando o comando OSCDIMG.exe (parte do Windows 10 ADK) reconstrua o ISO usando a fonte que agora inclui os arquivos SWM sequenciados e outros arquivos de origem do Windows 10. O Rufus agora permitirá que você use a partição FAT32, pois nenhum arquivo dentro do ISO agora é maior que 4 GB. O instalador do Windows 10 detectará automaticamente SWMs sequenciados e executará e instalará sem problemas enquanto a Inicialização Segura estiver Ativada, pois usa o carregador de inicialização original do Windows 10. Ao contrário da conversão de WIM para ESD, cuspir WIM é bem rápido.
O comando oscdimg acima cria o ISO inicializável Legacy + UEFI. Os arquivos de origem do Windows 10 estão em C:\src e C:\Slipstred.iso é o novo arquivo ISO criado.
Opção 2 – Assine o driver Rufus Bootloader & NTFS.
Quando o Rufus cria um instalador de pen drive do Windows 10 formatado em NTFS inicializável UEFI, ele cria uma pequena partição FAT de 512 KB no final do pen drive e a carrega com seu próprio gerenciador de inicialização e driver NTFS, que não é assinado (pela Microsoft), portanto, Rufus informa você desabilite o Secure Boot para instalação.
Você pode usar esse pen drive para instalar o Windows 10 com Secure Boot ON, em um computador UEFI, desde que a configuração do firmware UEFI no computador de destino permita o gerenciamento de chave db de inicialização segura em nível de usuário. Muitas implementações de UEFI simplesmente não permitem ou não acham necessário oferecê-lo. No entanto, é assim que funcionará em princípio. Supondo que o PC de destino esteja usando a arquitetura x64.
Em um computador Windows 10 em funcionamento, execute o Powershell com privilégios de administrador Criar um certificado autoassinado para assinatura de código
Acesse o mesmo no armazenamento de certificados e exporte-o com sua chave privada para um arquivo PFX protegido por senha. Exporte sua chave pública para o arquivo .CER X509 codificado em DER, bem como para o arquivo .CER X509 codificado em Base64.
Acesse as variáveis de inicialização segura no modo de usuário na configuração do firmware e envie o arquivo CER para a chave db. Verifique qual dos dois formatos é aceitável em db.
Use Signtool.exe (parte do SDK do Windows 10) para assinar o respectivo Rufus Bootloader e o driver NTFS usando o arquivo PFX.
E também K:\EFI\Rufus\ntfs_x64.efi. K: é a letra do drive do Pen Drive por exemplo.
Inicialize usando o pen drive formatado em NTFS criado pelo Rufus no computador de destino com o Secure Boot ON.
Opção 3 - Verifique se o seu firmware UEFI no computador de destino realmente suporta a inicialização NTFS.
Nesse caso, basta extrair o ISO no pen drive formatado em NTFS e inicializá-lo com o Secure Boot ON. Algumas implementações de firmware UEFI suportam NTFS. Minha placa baseada no chipset MSI B450 com firmware AMI UEFI realmente suporta inicialização NTFS. Eu nem preciso do Rufus para instalar o Windows 10 no modo UEFI.
Eu finalmente descobri qual é o meu problema e decidi que esta é uma informação que deve ser facilmente pesquisável, então ela vai para o SuperUser.
Para poder inicializar um pendrive de instalação do Windows 10 em um ambiente UEFI com inicialização segura, o pendrive deve estar usando o esquema de partição GPT E deve ser formatado usando FAT32. Se isso for verdade, o bastão funcionará.
No entanto, o FAT32 vem com uma grande limitação. Qualquer arquivo maior que 4 GB não é compatível com FAT32. Se o seu stick deslizante tiver um arquivo maior que 4 GB, o RUFUS detecta isso automaticamente e remove o FAT32 das opções possíveis e o padrão é NTFS. GPT + NTFS não permite inicialização segura, portanto, isso não funcionará.
Quando você usa o NTLite para criar uma mídia de instalação, o primeiro passo é converter o ESD para o formato WIM, o install.wim gerado pelo NTLite será grande. No meu caso, o install.wim para Windows 10 20H4 tinha 6 GB e, portanto, não é suportado pelo FAT32.
A solução para o meu problema foi não mantê-lo no formato WIM, mas convertê-lo de volta para ESD na última etapa do NTLite. A construção da ISO levou muito mais tempo, mas o arquivo install.esd agora tinha 3,5 GB. Pequeno o suficiente para estar em um sistema de arquivos FAT32 e, como tal, o RUFUS detectou corretamente GPT+FAT32.
Então... TL;DR: Certifique-se de converter de volta para ESD em NTLite, então o RUFUS permitirá que você escolha GPT+FAT32.
Did you try making an Easy2Boot multiboot USB drive and copying all your ISOs over to it? If you add the agFM UEFI boot files when prompted, you should be able to secure UEFI64-boot from the 2nd FAT32 partition and then install from any ISO on the first partition.