Come risolvere l'errore SBAT data failed e avviare la chiavetta Ventoy

Ventoy è un potente e innovativo strumento open source che semplifica notevolmente il processo di creazione di chiavette USB avviabili, consentendo agli utenti di memorizzare più immagini ISO (di sistemi operativi, utilità di recupero, strumenti di diagnostica, e così via) su un’unica chiavetta USB. La caratteristica distintiva di Ventoy è che non richiede la formattazione della chiavetta ogni volta che si desidera aggiungere o cambiare un’immagine ISO. Basta copiare le ISO da avviare nella partizione principale della chiavetta di Ventoy e il gioco è fatto.

Il problema è che dopo gli aggiornamenti dei certificati utilizzati dalla funzionalità Secure Boot per verificare quali programmi hanno titolo per essere avviati in sicurezza, distribuiti da Microsoft a partire da agosto 2024, gli errori relativi a SBAT (Secure Boot Advanced Targeting) all’avvio del sistema hanno cominciato a comparire. Impedendo l’avvio dei sistemi Linux e di tanti strumenti di diagnostica e risoluzione dei problemi non basati sul kernel di Windows.

Gli utenti di Ventoy hanno cominciato a segnalare in massa problemi simili, non riuscendo più ad avviare i file ISO contenuti nella chiavetta di boot.

La chiavetta USB Ventoy mostra l’errore Verifiying shim SBAT data failed

In un altro articolo vi abbiamo raccontato come avviare più immagini ISO al boot del PC con Ventoy usando una semplice chiavetta USB (meglio se almeno Gen 1 o Gen 2 su porta USB compatibile).

Se all’inserimento della chiavetta Ventoy nel PC dovesse apparire l’errore “Security Policy Violation Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation“, la soluzione consiste nell’aggiornare i file EFI utilizzati in fase di boot. A meno di non voler disattivare completamente la funzionalità Secure Boot.

Quando Secure Boot è abilitato, il firmware UEFI verifica la firma dei bootloader prima di avviare il sistema. Se la chiavetta USB non ha una firma valida (o se il bootloader è stato modificato), viene generato un errore di violazione della politica di sicurezza. Analogo problema si presenta se il sistema sta tentando di avviare un bootloader non firmato o non approvato.

L’errore specifico che riguarda SBAT suggerisce che il sistema non riesce a verificare correttamente i dati per la gestione delle chiavi di firma e non può quindi garantire che il bootloader sia firmato in modo appropriato.

Microsoft ha indicato che tutte le versioni del bootloader GRUB con una “security generation” inferiore a una certa release, non possono più essere considerate affidabili. E al momento Ventoy non sembra aver aggiornato i file utilizzati in fase di avvio.

Come risolvere il problema e avviare la chiavetta USB Ventoy

In attesa di un intervento risolutivo da parte degli sviluppatori di Ventoy, per forzare l’avvio di una chiavetta USB senza disattivare Secure Boot, è possibile applicare alcuni passaggi tutto sommato piuttosto semplici.

In prima battuta si deve collegare a un PC Windows 10 o 11 la chiavetta Ventoy quindi digitare cmd nella casella di ricerca e scegliere Esegui come amministratore.

Al prompt dei comandi si deve digitare diskpart quindi impartire l’istruzione list volume.

Bisogna annotare il numero del volume corrispondente alla partizione VTOYEFI da 32 MB quindi digitare il comando sel volume seguito da tale numero (nell’esempio sel volume 6).

Utilizzando il comando assign letter=Y, si fa in modo di attribuire la lettera identificativa di unità Y: (verificare che sia libera) alla partizione EFI di Ventoy. A questo punto, è possibile portarsi in Esplora file (Windows+E) quindi fare doppio clic sull’unità Y:.

Copiare i file di boot dal file di Ubuntu

Per risolvere l’errore “Verifiying shim SBAT data failed: Security Policy Violation” con la chiavetta di Ventoy, basta scaricare la versione più recente di Ubuntu Desktop. Il file ISO di Ubuntu ottenuto a valle del download va montato in Windows 10 o in Windows 11 con un semplice doppio clic.

Portandosi nella cartella \EFI\boot del file ISO di Ubuntu, si devono selezionare i seguenti due file e copiarli nella cartella Y:\EFI\BOOT di Ventoy (partizione VTOYEFI) sovrascrivendo gli elementi ivi presenti:

bootx64.efi
mmx64.efi

Nella stessa cartella Y:\EFI\BOOT di Ventoy, il file grub64.efi deve essere rinominato grubx64.efi.

Tornando nella finestra di Diskpart, si può a questo punto digitare remove letter=Y quindi premere Invio e infine exit per uscire.

Note conclusive

L’approccio presentato è risolutivo ma funziona solo sui sistemi x64. Secure Boot, comunque, è di fatto onnipresente proprio su questi sistemi.

Lasciando inserito il supporto di avvio di Ventoy ed effettuando il reboot della macchina, l’errore “Verifiying shim SBAT data failed: Security Policy Violation” dovrebbe essere così scomparso.

Nella partizione principale della chiavetta USB di Ventoy si possono continuare ad aggiungere e rimuovere file ISO a proprio piacimento: Ventoy rileva quelle presenti e ne consente il caricamento all’accensione del PC.

Come evidenziato in precedenza, comunque, la risoluzione definitiva del problema può arrivare con un aggiornamento di Ventoy in grado di ripristinare la piena compatibilità con la funzionalità Secure Boot implementata a livello di firmware UEFI.

Credit immagine in apertura: iStock.com – Chayjitti Hongmanee