إرشادات Microsoft لتطبيق تحديث Secure Boot DBX (KB4575994)

تطبيق تحديث DBX على Windows

بعد قراءة التحذيرات والتحقق من توافق جهازك، اتبع الخطوات التالية لتحديث Secure Boot DBX:

1. قم بتنزيل ملف قائمة إبطال UEFI المناسب (Dbxupdate.bin) للنظام الأساسي من صفحة ويب UEFI هذه.

2. يجب تقسيم ملف Dbxupdate.bin إلى المكونات الضرورية من أجل تطبيقها باستخدام PowerShell cmdlets. للقيام بذلك، اتبع الخطوات التالية:

   1. قم بتنزيل البرنامج النصي PowerShell من صفحة ويب معرض PowerShell هذه.

   2. تشغيل البرنامج النصي PowerShell التالي على ملف Dbxupdate.bin:
      
      SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin

   3. تحقق من أن الأمر أنشأ الملفات التالية:
      
      

      • Content.bin – تحديث المحتويات

      • Signature.p7 – التوقيع الذي يصرح بعملية التحديث

3. في جلسة عمل PowerShell إدارية، قم بتشغيل Set-SecureBootUefi cmdlet لتطبيق تحديث DBX:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   الإخراج
   
   المتوقع

4. أعد تشغيل الجهاز لإكمال عملية تثبيت التحديث.

لمزيد من المعلومات حول cmdlet تكوين التمهيد الآمن وكيفية استخدامه لتحديثات DBX، راجع Set-Secure.

التحقق من نجاح التحديث  

بعد إكمال الخطوات في القسم السابق وإعادة تشغيل الجهاز بنجاح، اتبع هذه الخطوات للتحقق من تطبيق التحديث بنجاح. بعد نجاح عملية التحقق من الصحة، لن يتأثر جهازك بعد الآن بالثغرة الأمنية لRUB.

1. قم بتنزيل البرامج النصية للتحقق من تحديث DBX من صفحة ويب Gist GitHub هذه.

2. استخراج البرامج النصية والثنائيات من الملف المضغوط.

3. قم بتشغيل البرنامج النصي PowerShell التالي داخل المجلد الذي يحتوي على البرامج النصية الموسعة والثنائيات للتحقق من تحديث DBX:
   
   Check-Dbx.ps1 .\dbx-2021-April.bin' 

   ملاحظة: إذا تم تطبيق تحديث DBX يطابق إصدارات يوليو 2020 أو أكتوبر 2020 من أرشيف ملف قائمة الإبطال هذا ، فقم بتشغيل الأمر المناسب التالي بدلا من ذلك:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. تحقق من أن الإخراج يطابق النتيجة المتوقعة:
   
   

الأسئلة المتداولة

Q1: ماذا تعني رسالة الخطأ "Get-SecureBootUEFI: Cmdlets غير معتمدة على هذا النظام الأساسي"؟

A1: تشير رسالة الخطأ هذه إلى تمكين ميزة NO Secure Boot على الكمبيوتر. لذلك، لا يتأثر هذا الجهاز بالثغرة الأمنية لRUB. لا يلزم اتخاذ أي إجراء آخر.

Q2: كيف أعمل تكوين الجهاز للوثوق ب UEFI CA لجهة خارجية أو عدم الوثوق به؟ 

A2: نوصي باستشارة مورد الشركة المصنعة للمعدات الأصلية. 

بالنسبة إلى Microsoft Surface، قم بتغيير إعداد "التمهيد الآمن" إلى "Microsoft Only"، ثم قم بتشغيل أمر PowerShell التالي (يجب أن تكون النتيجة "خطأ"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

لمزيد من المعلومات حول كيفية تكوين Microsoft Surface، راجع إدارة إعدادات Surface UEFI - Surface | Microsoft Docs.

س3: هل تؤثر هذه المشكلة على الأجهزة الظاهرية من الجيل 1 وجيل 2 من Azure IaaS؟ 

A3: لا. لا تدعم الأجهزة الظاهرية الضيف من Azure Gen1 و Gen2 ميزة التمهيد الآمن. لذلك، فهم لا يتأثرون بسلسلة هجوم الثقة. 

Q4: هل يشير ADV200011 وCVE-2020-0689 إلى نفس الثغرات الأمنية المرتبطة ب Secure Boot؟ 

A: لا. تصف هذه النصائح الأمنية الثغرات الأمنية المختلفة. يشير "ADV200011" إلى ثغرة أمنية في GRUB (مكون Linux) التي يمكن أن تسبب تجاوزا للتمهيد الآمن. يشير "CVE-2020-0689" إلى ثغرة أمنية تتجاوز ميزة الأمان الموجودة في Secure Boot. 

س5: لا يمكنني تشغيل أي من البرامج النصية PowerShell. ما الذي ينبغي علي فعله؟

A: تحقق من نهج تنفيذ PowerShell عن طريق تشغيل الأمر Get-ExecutionPolicy . اعتمادا على الإخراج، قد تحتاج إلى تحديث نهج التنفيذ:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs