Указания на Microsoft за прилагане на актуализация на DBX за защитено стартиране (KB4575994)

Прилагане на актуализация на DBX на Windows

След като прочетете предупрежденията в предишния раздел и се уверите, че вашето устройство е съвместимо, следвайте тези стъпки, за да актуализирате DBX на защитеното стартиране:

1. Изтеглете подходящия списък на UEFI списъчни файлове (Dbxupdate.bin) за вашата платформа от тази уеб страница на UEFI.

2. Трябва да разделите файла Dbxupdate.bin на необходимите компоненти, за да ги приложите с помощта на кратки команди на PowerShell. За да направите това, изпълнете следните стъпки:

   1. Изтеглете скрипта на PowerShell от тази уеб страница на галерията на PowerShell.

   2. За да помогнете за намирането на скрипта, изпълнете следната кратка команда:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Уверете се, че кратката команда успешно изтегля скрипта и предоставя подробни данни за изхода, включително име, версия, автор, publishedDate, InstalledDate и InstalledLocation.

   4. Изпълнете следните кратки команди:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

   5. Уверете се, че файлът на SplitDbxContent.ps1 сега е в папката Скриптове.

   6. Изпълнете следния скрипт на PowerShell във файла Dbxupdate.bin:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Уверете се, че командата е създала следните файлове.

      

      • Content.bin – актуализиране на съдържанието

      • Signature.p7 – подпис, разрешаващ процеса на актуализиране

3. В административна сесия на PowerShell изпълнете кратката команда Set-SecureBootUefi , за да приложите актуализацията на DBX:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   Очаквано изходно
   
   

4. За да завършите процеса на инсталиране на актуализацията, рестартирайте устройството.

За повече информация относно кратката команда за конфигуриране на защитено стартиране и как да я използвате за актуализации на DBX, вижте Set-Secure.

Проверка дали актуализацията е успешна  

След като изпълните успешно стъпките в предишния раздел и рестартирате устройството, следвайте тези стъпки, за да проверите дали актуализацията е приложена успешно. След успешна проверка вашето устройство вече няма да бъде засегнато от уязвимостта в GRUB.

1. Изтеглете скриптовете за проверка на актуализацията на DBX от тази уеб страница на GitHub Gist.

2. Извлечете скриптовете и изпълнимите файлове от компресирания файл.

3. Изпълнете следния скрипт на PowerShell в папката, която съдържа разширени скриптове и изпълними файлове, за да проверите актуализацията на DBX:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Забележка: Ако е приложена актуализация на DBX, която съответства на версиите от юли 2020 г. или октомври 2020 г. от този архив на файлове на списъка на анулираните , вместо това изпълнете следната подходяща команда:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. Уверете се, че резултатът съответства на очаквания резултат.
   
   

ВЪПРОСИ

В1: Какво означава съобщението за грешка "Get-SecureBootUEFI: Кратки команди, които не се поддържат на тази платформа"?

А1: Това съобщение за грешка показва, че функцията NO Secure Boot е разрешена на компютъра. Следователно това устройство НЕ е засегнато от уязвимостта на GRUB. Не са необходими по-нататъшни действия.

В2: Как да конфигурирам устройството да се доверява или да не се доверява на UEFI CA на друг производител? 

А2: Препоръчваме ви да се консултирате с доставчика на OEM. 

За Microsoft Surface променете настройката за защитено стартиране на "Само microsoft" и след това изпълнете следната команда на PowerShell (резултатът трябва да бъде "Неистина"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

За повече информация как да конфигурирате за Microsoft Surface, вижте Управление на настройките на Surface UEFI – Surface | - Microsoft Docs, ще се шмна.

В3: Този проблем засяга ли виртуалните машини Azure IaaS Generation 1 и Generation 2? 

А3: No. Виртуалните машини на Azure гости Gen1 и Gen2 не поддържат функцията за защитено стартиране. Следователно, те не се влияят от веригата на атака доверие. 

В4: ADV200011 и CVE-2020-0689 се отнасят за същата уязвимост, която е свързана със защитеното стартиране? 

A: No. Тези съвети за защитата описват различни уязвимости. "ADV200011" се отнася за уязвимост в GRUB (компонент Linux), която може да доведе до заобикаляне на защитено зареждане. "CVE-2020-0689" се отнася за уязвимост на заобикаляне на функция за защита, която съществува в защитеното стартиране. 

В5: Не мога да изпълня нито един от скриптовете на PowerShell. Какво трябва да направя?

A: Проверете правилата за изпълнение на PowerShell, като изпълните командата Get-ExecutionPolicy . В зависимост от резултата може да се наложи да актуализирате правилата за изпълнение:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) – PowerShell | Microsoft Docs