Applies ToWindows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10 Windows Server 2016 Windows Server 2019 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows Server, version 23H2

Първоначална дата на публикуване: 15 юни 2022 г.

ИД на КБ: 5016061

Промяна на датата

Описание

29 януари 2025 г.

  • Коригиран е водещият абзац в ИД на събитие: 1795, за да включва база данни за подписи на защитено стартиране (DB), анулирана база данни за подписи (DBX) или актуализация на ключ за обмен на ключове (KEK). Преди абзацът препращаше към актуализиран DBX списък на анулираните.

Резюме

За да помогне за защитата на устройствата с Windows, Microsoft добавя уязвимите модули на буутлоудъра към списъка на анулираните DBX устройства на Защитено стартиране (поддържан в системния фърмуер, базиран на UEFI), за да обезсилва уязвимите модули. Когато актуализираният DBX списък на анулираните файлове е инсталиран на устройство, Windows проверява дали системата е в състояние, в което актуализацията на DBX може да се приложи успешно към фърмуера и ще съобщи за грешки в регистъра на събитията, ако е открит проблем. 

Още информация

Когато един от тези уязвими модули бъде открит на устройството, се създава запис в регистрационния файл на събитията с предупреждение за ситуацията и включва името на открития модул. Записът в регистъра на събитията съдържа подробни данни, подобни на следните:

Регистър на събитията

Система

Източник на събитие

TPM –WMI

ИД на събитие

> на ИД на събитие на <

Ниво

Грешка

Текст на съобщение за събитие

> на <съобщение

Идентификатори на събития

Това събитие се регистрира, когато BitLocker на системния диск е конфигуриран по такъв начин, че прилагането на списъка на DBX на защитеното стартиране към фърмуера ще доведе до това BitLocker да влезе в режим на възстановяване. Решението е временно да преустановите BitLocker за 2 цикъла на рестартиране, за да позволите инсталирането на актуализацията.

Предприемане на действие

За да отстраните този проблем, изпълнете следната команда от команден прозорец на администратора, за да преустановите BitLocker за 2 цикъла на рестартиране:

  • Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2

След това рестартирайте устройството два пъти, за да възобновите защитата с BitLocker.

За да се уверите, че защитата с BitLocker е възобновена, изпълнете следната команда след два пъти рестартиране:

  • Manage-bde –Protectors –enable %systemdrive%

Информация за регистъра на събитията

ИД на събитие 1032 ще бъде регистриран, когато конфигурацията на BitLocker на системния диск би накарала системата да премине в възстановяване на BitLocker, ако е приложена актуализацията на защитеното стартиране.

Регистър на събитията

Система

Източник на събитие

TPM –WMI

ИД на събитие

1032

Ниво

Грешка

Текст на съобщение за събитие

Актуализацията на защитеното стартиране не е приложена поради известна несъвместимост с текущата конфигурация на BitLocker.

Когато актуализираният DBX списък на анулираните файлове е инсталиран на устройство, Windows проверява дали системата зависи от един от уязвимите модули за стартиране на устройството. Ако един от уязвимите модули е открит, актуализацията на DBX списъка във фърмуера се отлага. При всяко рестартиране на системата устройството се сканира повторно, за да се определи дали уязвимият модул е актуализиран и дали е безопасно да се приложи актуализираният DBX списък.

Предприемане на действие

В повечето случаи доставчикът на уязвимия модул трябва да има актуализирана версия, която обръща внимание на уязвимостта. Свържете се с доставчика, за да получите актуализацията.

Информация за регистъра на събитията

ИД на събитие 1033 ще бъде регистриран, когато уязвим зареждаща програма за стартиране, която е била анулирана от тази актуализация, бъде открита на вашето устройство.

Регистър на събитията

Система

Източник на събитие

TPM –WMI

ИД на събитие

1033

Ниво

Грешка

Текст на съобщение за събитие

Открит е потенциално анулиран диспечер за зареждане в дял на EFI. За повече информация вж. https://go.microsoft.com/fwlink/?linkid=2169931

Event Data BootMgr

<път и име на уязвим файлов>

Това събитие се регистрира, когато променливата DBX на защитеното стартиране е актуализирана успешно. Променливата DBX се използва за ненадеждни компоненти на защитеното стартиране и обикновено се използва за блокиране на уязвими или злонамерени компоненти на защитеното стартиране, като например диспечери за стартиране и сертификати, използвани за подписване на диспечерите за стартиране.

Събитие 1034 показва, че стандартните DBX анулирания се прилагат към фърмуера,

Информация за регистъра на събитията

Регистър на събитията

Система

Източник на събитие

TPM –WMI

ИД на събитие

1034

Ниво

Информация

Текст на съобщение за събитие

Актуализацията Dbx на защитеното стартиране е приложена успешно

Това събитие се регистрира, когато променливата DB на защитеното стартиране е актуализирана успешно. Променливата DB се използва за добавяне на доверие за компонентите на защитеното стартиране и обикновено се използва за доверяване на сертификати, използвани за подписване на диспечерите за стартиране.

Информация за регистъра на събитията

Регистър на събитията

Система

Източник на събитие

TPM –WMI

ИД на събитие

1036

Ниво

Информация

Текст на съобщение за събитие

Актуализацията на базата данни за защитено стартиране е приложена успешно

Това събитие се регистрира, когато сертификатът на Microsoft Windows Production PCA 2011 се добави към базата данни за забранени подписи за защитено стартиране на UEFI (DBX). Когато това се случи, всички приложения за стартиране, подписани с този сертификат, вече няма да са надеждни при стартиране на устройството. Това включва всички приложения за стартиране, използвани с носител за възстановяване на системата, приложения за стартиране на PXE и всякакви други носители, използващи приложение за стартиране, подписано от този сертификат.

Информация за регистрационния файл на грешките

Регистър на събитията

Система

Източник на събитие

TPM –WMI

ИД на събитие

1037

Ниво

Информация

Текст на съобщение за грешка

Актуализацията Dbx на защитеното стартиране за анулиране на Microsoft Windows Production PCA 2011 се прилага успешно.

Когато към фърмуера е приложена база данни за подписи за защитено зареждане (DB), база данни за анулирани подписи (DBX) или актуализация на ключ за Обмен на ключове (KEK), фърмуерът може да върне грешка. Когато възникне грешка, се регистрира събитие и Windows ще се опита да приложи актуализацията към фърмуера при следващото рестартиране на системата.

Предприемане на действие

Свържете се с производителя на вашето устройство, за да разберете дали е налична актуализация на фърмуера.

Информация за регистъра на събитията

ИД на събитие 1795 ще бъде регистриран, когато фърмуерът в устройството върне грешка. Записът в регистъра на събитията ще включва кода на грешката, върнат от фърмуера.

Регистър на събитията

Система

Източник на събитие

TPM –WMI

ИД на събитие

1795

Ниво

Грешка

Текст на съобщение за събитие

Системният фърмуер върна грешка <код на грешка във фърмуера> при опит за актуализиране на променлива на защитено стартиране. За повече информация вж. https://go.microsoft.com/fwlink/?linkid=2169931

Когато актуализираният DBX списък на анулираните файлове се приложи към дадено устройство и възникне грешка, която не е обхваната от събитията по-горе, се регистрира събитие и Windows ще се опита да приложи DBX списъка към фърмуера при следващото рестартиране на системата.

Информация за регистъра на събитията

ИД на събитие 1796 възниква, когато се появи неочаквана грешка. Записът в регистъра на събитията ще включва кода на грешката за неочакваната грешка.

Регистър на събитията

Система

Източник на събитие

TPM –WMI

ИД на събитие

1796

Ниво

Грешка

Текст на съобщение за събитие

Актуализацията на защитеното стартиране не успя да актуализира променлива за защитено стартиране с грешка <код на грешка>. За повече информация вж. https://go.microsoft.com/fwlink/?linkid=2169931

Това събитие се регистрира по време на опит за добавяне на сертификата на Microsoft Windows Production PCA 2011 към базата данни за забранени подписи за защитено стартиране на UEFI (DBX). Преди да добавите този сертификат към DBX, се прави проверка, за да се гарантира, че сертификатът на Windows UEFI CA 2023 е добавен към базата данни за подписи за защитено стартиране (DB) на UEFI. Ако Windows UEFI CA 2023 не е добавен към базата данни, Windows умишлено ще провали актуализацията на DBX. Това се прави, за да се гарантира, че устройството се доверява на поне един от тези два сертификата, което гарантира, че устройството ще се довери на приложенията за стартиране, подписани от Microsoft. Когато добавяте Microsoft Windows Production PCA 2011 към DBX, се правят две проверки, за да се гарантира, че устройството продължава да се стартира успешно: 1) се уверете, че Windows UEFI CA 2023 е добавен към базата данни, 2) Уверете се, че приложението за стартиране по подразбиране не е подписан от сертификата Microsoft Windows Production PCA 2011.

Информация за регистъра на събитията

Регистър на събитията

Система

Източник на събитие

TPM –WMI

ИД на събитие

1797

Ниво

Грешка

Текст на съобщение за грешка

Актуализацията Dbx на защитеното стартиране не успя да анулира Microsoft Windows Production PCA 2011, тъй като сертификатът на Windows UEFI CA 2023 не е наличен в базата данни.

Това събитие се регистрира по време на опит за добавяне на сертификата на Microsoft Windows Production PCA 2011 към базата данни за забранени подписи за защитено стартиране на UEFI (DBX). Преди да добавите този сертификат към DBX, се прави проверка, за да се гарантира, че приложението за стартиране по подразбиране не е подписано от сертификата за подписване Microsoft Windows Production PCA 2011. Ако приложението за стартиране по подразбиране е подписано от сертификата за подписване на Microsoft Windows Production PCA 2011, Windows умишлено ще провали DBX актуализацията. Когато добавяте Microsoft Windows Production PCA 2011 към DBX, се правят две проверки, за да се гарантира, че устройството продължава да се стартира успешно: 1) се уверете, че Windows UEFI CA 2023 е добавен към базата данни, 2) Уверете се, че приложението за стартиране по подразбиране не е подписан от сертификата Microsoft Windows Production PCA 2011.

Информация за регистъра на събитията

Регистър на събитията

Система

Източник на събитие

TPM –WMI

ИД на събитие

1798

Ниво

Грешка

Текст на съобщение за грешка

Актуализацията Dbx на защитеното стартиране не успя да анулира Microsoft Windows Production PCA 2011, тъй като диспечерът за зареждане не е подписан със сертификата на Windows UEFI CA 2023

Това събитие се регистрира, когато диспечерът за зареждане се приложи към системата, която е подписана от сертификата на Windows UEFI CA 2023

Информация за регистъра на събитията

Регистър на събитията

Система

Източник на събитие

TPM –WMI

ИД на събитие

1799

Ниво

Информация

Текст на съобщение за грешка

Диспечерът за зареждане, подписан с Windows UEFI CA 2023, е инсталиран успешно

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност