Event ID 1796：安全启动更新无法更新安全启动变量

根据你提供的日志，这是一个 Event ID 1796 事件，来源是 Microsoft-Windows-TPM-WMI，描述为“安全启动更新无法更新安全启动变量，错误为 -2147020471”。以下是对此事件的详细分析和解决建议：

1. 事件含义

事件描述：此事件表明系统尝试更新与安全启动（Secure Boot）相关的变量时失败了。安全启动是 UEFI 固件的一项功能，用于确保系统只加载经过信任的操作系统和驱动程序。TPM（可信平台模块）与 Windows Management Instrumentation (WMI) 协同工作来管理这些变量。
错误代码：-2147020471（十六进制为 0x800707E9）通常表示“访问被拒绝”或“参数无效”，暗示更新过程遇到了权限问题或配置不匹配。
来源：Microsoft-Windows-TPM-WMI 表示事件与 TPM 和 WMI 服务相关，通常涉及安全启动的数据库（DB 或 DBX）更新。

2. 可能原因

根据事件的时间（2025-04-09）和上下文，这可能是由以下原因之一引起的：

安全启动未启用：
- 如果 BIOS/UEFI 中未启用安全启动，Windows 无法更新相关变量，导致此错误。
TPM 配置问题：
- TPM 可能未正确初始化或被禁用，导致无法与安全启动通信。
Windows 更新相关：
- Microsoft 定期更新安全启动的“禁止签名数据库”（DBX），以撤销不受信任的证书。如果系统未满足更新的前提条件（例如缺少特定证书），更新会失败。
- 错误代码可能与 Microsoft 的 DBX 更新策略有关，例如未检测到 Windows UEFI CA 2023 证书。
固件或驱动问题：
- 主板固件（BIOS/UEFI）版本过旧，可能不支持最新的安全启动变量更新。
系统状态：
- 系统可能在睡眠或低功耗状态下尝试更新，导致权限或访问问题。

3. 为什么在 2025-04-09 11:12:54 记录？

时间点：此事件发生在今天（假设当前日期为 2025-04-09），可能是系统启动、唤醒或 Windows Update 运行时触发的。
SYSTEM 用户：日志显示用户为 SYSTEM，表示这是系统级操作，通常与 Windows Update 或后台维护任务相关。

4. 解决方法

以下是逐步排查和解决此问题的方法：

(1) 检查安全启动状态

操作：
1. 重启电脑，进入 BIOS/UEFI 设置（通常按 F2、Del 或其他键，视主板而定）。
2. 找到“Boot”或“Security”选项，确认“Secure Boot”（安全启动）是否为“Enabled”（启用）。
解决：
- 如果未启用，设置为“Enabled”，保存并重启。
- 如果已启用但仍报错，继续下一步。

(2) 验证 TPM 状态

操作：
1. 按 Win + R，输入 tpm.msc，回车。
2. 检查 TPM 管理窗口：
  - 如果显示“TPM 已准备就绪”，记录版本（1.2 或 2.0）。
  - 如果显示“未找到 TPM”或“TPM 未启用”，进入 BIOS。
3. 在 BIOS 中，找到 TPM（或 PTT，如 Intel 平台）设置，确保启用。
解决：
- 启用 TPM 并重启，然后检查事件是否消失。

(3) 更新 BIOS/UEFI 固件

操作：
1. 访问笔记本制造商官网，查找你的型号。
2. 下载并安装最新的 BIOS/UEFI 固件。
解决：
- 旧版固件可能不支持最新的安全启动更新，更新后重试。
- 注意：更新 BIOS 有风险，请严格按照说明操作。

(4) 检查 Windows 更新

操作：
1. 打开“设置” > “Windows 更新” > “检查更新”。
2. 安装所有可用更新，尤其是与安全或 TPM 相关的补丁。
解决：
- Microsoft 可能已发布修复此问题的更新（参考链接：https://go.microsoft.com/fwlink/?linkid=2169931）。

(5) 重置安全启动密钥（高级选项）

操作：
1. 进入 BIOS，找到“Secure Boot”设置。
2. 选择“Reset to Factory Keys”或“Clear Secure Boot Keys”，然后重新启用安全启动。
解决：
- 如果变量损坏，重置密钥可能解决问题，但可能需要重新安装 Windows 以确保完整性。

(6) 禁用 TPM-WMI 错误报告（临时解决）

如果不影响系统使用，可以忽略此错误：
1. 打开事件查看器（eventvwr.msc）。
2. 导航到“系统”日志，右键 1796 事件，选择“附加任务以忽略此事件”。
注意：这仅隐藏错误，不解决问题。

5. 验证修复

完成上述步骤后：
1. 重启系统。
2. 打开事件查看器（eventvwr.msc），检查“系统”日志，确认 1796 事件是否仍出现。
如果问题持续，运行以下命令查看系统状态：
text
收起自动换行复制
msinfo32
检查“安全启动状态”和“TPM 版本”。

6. 结论

事件含义：此错误表明安全启动变量更新失败，可能是配置问题（安全启动未启用、TPM 未激活）或 Windows 更新策略导致。
建议：
- 优先检查安全启动和 TPM 是否启用。
- 更新 BIOS 和 Windows 系统。
- 如果无实际影响（如系统正常运行），可暂时忽略，但建议修复以确保安全性。

其它解决

方法 1：禁用 TPM-WMI 提供程序

原理：TPM-WMI 是负责与 TPM 交互并更新安全启动变量的服务。禁用它可以阻止相关操作。
步骤：
1. 以管理员身份打开命令提示符（cmd）或 PowerShell。
2. 输入以下命令，禁用 TPM-WMI：reg add "HKLM\SYSTEM\CurrentControlSet\Services\TPM\WMI" /v Start /t REG_DWORD /d 4 /f 这将 TPM-WMI 服务的启动类型设置为“禁用”（4 表示禁用，默认是 2 或 3）。

方法 2：禁用 TPM 设备

原理：直接在系统中禁用 TPM 硬件，Windows 将无法访问它，自然不会生成错误。
步骤：
1. 打开设备管理器（devmgmt.msc）。
2. 展开“安全设备”，找到“Trusted Platform Module” (TPM)。
3. 右键选择“禁用设备”。
4. 或者通过 BIOS：
  1. 重启进入 BIOS。
  2. 找到 TPM（或 Intel PTT/AMD fTPM）设置，设置为“Disabled”。
  3. 保存并退出。
效果：TPM 被禁用后，系统无法与之交互，错误日志停止。
风险：禁用 TPM 会影响 BitLocker 或其他需要 TPM 的加密功能。如果不使用这些功能，此方法可行。

方法 3：阻止 Windows Update 的 DBX 更新

原理：1796 错误通常与安全启动的 DBX（禁止签名数据库）更新有关。阻止相关更新可以避免触发 TPM 访问。
步骤：
1. 打开“设置” > “Windows 更新” > “高级选项”。
2. 暂停更新（临时测试）。
3. 或者，使用“显示或隐藏更新”工具（从 Microsoft 官网下载 wushowhide.diagcab），隐藏与安全启动相关的更新（如 KB5012170 或类似补丁）。
效果：暂停或阻止 DBX 更新后，系统不会频繁尝试更新安全启动变量。
风险：可能错过安全更新，但你已关闭安全启动，影响有限。

方法 4：修改计划任务**

原理：Windows 的自动维护任务可能触发 TPM 检查。禁用相关任务可以减少访问。
步骤：
1. 打开任务计划程序（taskschd.msc）。
2. 导航到“任务计划程序库” > “Microsoft” > “Windows” > “TPM”。
3. 找到名为“Tpm-Maintenance”或类似的计划任务。
4. 右键选择“禁用”。
效果：阻止 TPM 维护任务运行，减少错误日志。
风险：通常无明显副作用，适用于你的场景。

方法 5：调整安全策略以忽略 TPM 操作

原理：通过组策略或注册表调整，告诉系统忽略安全启动变量更新。
步骤（需要专业版或以上）：
1. 打开组策略编辑器（gpedit.msc）。
2. 导航到“计算机配置” > “管理模板” > “系统” > “可信平台模块服务”。
3. 找到“忽略默认的 TPM 维护任务”或类似选项，设置为“启用”。
- 如果没有组策略（家庭版），修改注册表：
  1. 打开注册表编辑器（regedit）。
  2. 导航到 HKLM\SOFTWARE\Policies\Microsoft\TPM（若无 TPM 键，创建它）。
  3. 新建 DWORD 值 MaintenanceDisabled，设置为 1。
1. 重启系统。
效果：系统将跳过 TPM 的维护操作，错误停止。
风险：无明显副作用，适合关闭安全启动的用户。