إرشادات Microsoft لتطبيق تحديث Secure Boot DBX (KB4575994)

تطبيق تحديث DBX على Windows

بعد قراءة التحذيرات في القسم السابق والتحقق من توافق جهازك، اتبع هذه الخطوات لتحديث Secure Boot DBX:

1. قم بتنزيل ملف قائمة إبطال UEFI المناسب (Dbxupdate.bin) للنظام الأساسي الخاص بك من صفحة ويب UEFI هذه.

2. يجب تقسيم ملف Dbxupdate.bin إلى المكونات الضرورية لتطبيقها باستخدام PowerShell cmdlets. للقيام بذلك، اتبع الخطوات التالية:

   1. قم بتنزيل البرنامج النصي PowerShell من صفحة ويب معرض PowerShell هذه.

   2. للمساعدة في تحديد موقع البرنامج النصي، قم بتشغيل cmdlet التالي:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. تحقق من أن cmdlet يقوم بتنزيل البرنامج النصي بنجاح ويوفر تفاصيل الإخراج، بما في ذلك Name و Version و Author و PublishedDate و InstalledDate و InstalledLocation.

   4. قم بتشغيل أوامر cmdlets التالية:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • $ScriptPath cd

      • هل

   5. تحقق من أن ملف SplitDbxContent.ps1 موجود الآن في مجلد البرامج النصية.

   6. قم بتشغيل البرنامج النصي PowerShell التالي على ملف Dbxupdate.bin:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. تحقق من أن الأمر أنشأ الملفات التالية.

      

      • Content.bin – تحديث المحتويات

      • Signature.p7 – توقيع يخول عملية التحديث

3. في جلسة عمل PowerShell إدارية، قم بتشغيل الأمر cmdlet Set-SecureBootUefi لتطبيق تحديث DBX:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   الإخراج
   
   المتوقع

4. لإكمال عملية تثبيت التحديث، أعد تشغيل الجهاز.

لمزيد من المعلومات حول الأمر cmdlet لتكوين التمهيد الآمن وكيفية استخدامه لتحديثات DBX، راجع Set-Secure.

التحقق من نجاح التحديث  

بعد إكمال الخطوات في القسم السابق بنجاح وإعادة تشغيل الجهاز، اتبع هذه الخطوات للتحقق من تطبيق التحديث بنجاح. بعد التحقق بنجاح، لن يتأثر جهازك بعد الآن بثغرة GRUB.

1. قم بتنزيل البرامج النصية للتحقق من تحديث DBX من صفحة ويب GitHub Gist هذه.

2. استخراج البرامج النصية والثنائيات من الملف المضغوط.

3. قم بتشغيل البرنامج النصي PowerShell التالي داخل المجلد الذي يحتوي على البرامج النصية والثنائيات الموسعة للتحقق من تحديث DBX:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   ملاحظة: إذا تم تطبيق تحديث DBX يطابق إصدارات يوليو 2020 أو أكتوبر 2020 من أرشيف ملفات قائمة الإبطال هذا ، فقم بتشغيل الأمر المناسب التالي بدلا من ذلك:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. تحقق من أن الإخراج يطابق النتيجة المتوقعة.
   
   

الأسئلة المتداولة

س1: ماذا تعني رسالة الخطأ "Get-SecureBootUEFI: Cmdlets غير مدعومة على هذا النظام الأساسي"؟

A1: تشير رسالة الخطأ هذه إلى تمكين ميزة NO Secure Boot على الكمبيوتر. لذلك، لا يتأثر هذا الجهاز بالثغرة الأمنية GRUB. ولا يلزم اتخاذ أي إجراء آخر.

س2: كيف أعمل تكوين الجهاز للثقة أو عدم الثقة في UEFI CA التابع لجهة خارجية؟ 

A2: نوصي باستشارة مورد الشركة المصنعة للمعدات الأصلية (OEM). 

بالنسبة إلى Microsoft Surface، قم بتغيير إعداد التمهيد الآمن إلى "Microsoft فقط"، ثم قم بتشغيل أمر PowerShell التالي (يجب أن تكون النتيجة "خطأ"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

لمزيد من المعلومات حول كيفية تكوين Microsoft Surface، راجع إدارة إعدادات Surface UEFI - Surface | Microsoft Docs.

س3: هل تؤثر هذه المشكلة على الأجهزة الظاهرية من الجيل 1 من Azure IaaS والجيل 2؟ 

A3: لا. لا تدعم أجهزة Azure الظاهرية الضيف Gen1 وGen2 ميزة التمهيد الآمن. لذلك، لا يتأثرون بسلسلة هجوم الثقة. 

س4: هل يشير ADV200011 وCVE-2020-0689 إلى نفس الثغرة الأمنية المتعلقة بالتمهيد الآمن؟ 

A: لا. تصف هذه النصائح الأمنية نقاط ضعف مختلفة. يشير "ADV200011" إلى ثغرة أمنية في GRUB (مكون Linux) قد تتسبب في تجاوز التمهيد الآمن. يشير "CVE-2020-0689" إلى ثغرة أمنية لتجاوز ميزة الأمان الموجودة في التمهيد الآمن. 

س5: لا يمكنني تشغيل أي من البرامج النصية PowerShell. ما الذي ينبغي علي فعله؟

A: تحقق من نهج تنفيذ PowerShell عن طريق تشغيل الأمر Get-ExecutionPolicy . اعتمادا على الإخراج، قد تضطر إلى تحديث نهج التنفيذ:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs