Shrnutí
Aby byla zařízení s Windows zabezpečená, přidává Microsoft do seznamu odvolaných certifikátů zabezpečeného spouštění DBX (udržovaném ve firmwaru systému založeném na rozhraní UEFI) moduly zranitelného zavaděče a zneplatní tak ohrožené moduly. Když je na zařízení nainstalovaný aktualizovaný seznam odvolaných certifikátů DBX, systém Windows zkontroluje, jestli je systém ve stavu, ve kterém je možné aktualizaci DBX úspěšně použít na firmware, a pokud se zjistí problém, bude hlásit chyby protokolu událostí.
Další informace
Když se na zařízení zjistí jeden z těchto ohrožených modulů, vytvoří se záznam protokolu událostí s upozorněním na situaci, který bude obsahovat název zjištěného modulu. Položka protokolu událostí obsahuje podrobnosti podobné následujícímu:
|
Protokol událostí |
Systém |
|
Zdroj události |
TPM-WMI |
|
ID události |
<id události> |
|
Úroveň |
Chyba |
|
Text zprávy události |
<> textu zprávy |
ID událostí
Tato událost se zaprotokoluje, když je nástroj BitLocker na systémové jednotce nakonfigurovaný tak, aby použití seznamu DBX zabezpečeného spouštění na firmware způsobilo, že BitLocker přejde do režimu obnovení. Řešením je dočasně pozastavit nástroj BitLocker na 2 cykly restartování, aby se aktualizace nainstalovala.
Provedení akce
Pokud chcete tento problém vyřešit, spuštěním následujícího příkazu z příkazového řádku správce pozastavte Nástroj BitLocker po dobu 2 cyklů restartování:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Potom zařízení dvakrát restartujte, aby se ochrana nástrojem BitLocker obnovila.
Pokud se chcete ujistit, že se ochrana nástrojem BitLocker obnovila, spusťte po dvojím restartování následující příkaz:
-
Manage-bde –Protectors –enable %systemdrive%
Informace protokolu událostí
Událost s ID 1032 se zaprotokoluje, když konfigurace nástroje BitLocker na systémové jednotce způsobí, že systém přejde do obnovení nástroje BitLocker, pokud je použita aktualizace zabezpečeného spouštění.
|
Protokol událostí |
Systém |
|
Zdroj události |
TPM-WMI |
|
ID události |
1032 |
|
Úroveň |
Chyba |
|
Text zprávy události |
Aktualizace zabezpečeného spouštění nebyla použita kvůli známé nekompatibilitě s aktuální konfigurací nástroje BitLocker. |
Když je na zařízení nainstalovaný aktualizovaný seznam odvolaných certifikátů DBX, systém Windows zkontroluje, jestli systém při spuštění zařízení závisí na jednom z ohrožených modulů. Pokud se zjistí některý z ohrožených modulů, aktualizace seznamu DBX ve firmwaru se odloží. Při každém restartování systému se zařízení znovu zkontroluje, aby se zjistilo, jestli byl ohrožený modul aktualizován a jestli je bezpečné použít aktualizovaný seznam DBX.
Provedení akce
Ve většině případů by měl mít dodavatel ohroženého modulu aktualizovanou verzi, která chybu zabezpečení řeší. S žádostí o aktualizaci se obraťte na svého dodavatele.
Informace protokolu událostí
Událost s ID 1033 se zaprotokoluje, když se na vašem zařízení zjistí zavaděč odvolaný touto aktualizací.
|
Protokol událostí |
Systém |
|
Zdroj události |
TPM-WMI |
|
ID události |
1033 |
|
Úroveň |
Chyba |
|
Text zprávy události |
V oddílu EFI byl zjištěn potenciálně odvolaný správce spouštění. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2169931 |
|
Event Data BootMgr |
<cestu a název ohrožených> souborů |
Tato událost se zaprotokoluje, když se proměnná DBX zabezpečeného spouštění úspěšně aktualizuje. Proměnná DBX se používá k nedůvěryhodným komponentám zabezpečeného spouštění a obvykle se používá k blokování ohrožených nebo škodlivých součástí zabezpečeného spouštění, jako jsou správci spouštění a certifikáty používané k podepisování správců spouštění.
Událost 1034 označuje, že se na firmware uplatňují standardní odvolání DBX.
Informace protokolu událostí
|
Protokol událostí |
Systém |
|
Zdroj události |
TPM-WMI |
|
ID události |
1034 |
|
Úroveň |
Informace |
|
Text zprávy události |
Aktualizace Dbx zabezpečeného spouštění se úspěšně nainstalovala. |
Tato událost se zaprotokoluje, když se proměnná databáze zabezpečeného spouštění úspěšně aktualizuje. Proměnná databáze se používá k přidání důvěryhodnosti pro součásti zabezpečeného spouštění a obvykle se používá k důvěryhodnosti certifikátů používaných k podepisování správců spouštění.
Informace protokolu událostí
|
Protokol událostí |
Systém |
|
Zdroj události |
TPM-WMI |
|
ID události |
1036 |
|
Úroveň |
Informace |
|
Text zprávy události |
Aktualizace zabezpečeného spouštění databáze se úspěšně nainstalovala. |
Tato událost se protokoluje při přidání certifikátu Microsoft Windows Production PCA 2011 do databáze DBX (Secure Boot Forbidden Signatures Database) rozhraní UEFI. Pokud k tomu dojde, všechny spouštěcí aplikace podepsané tímto certifikátem už nebudou při spuštění zařízení důvěryhodné. To zahrnuje všechny spouštěcí aplikace používané s média pro obnovení systému, spouštěcí aplikace PXE a všechna další média využívající spouštěcí aplikaci podepsanou tímto certifikátem.
Informace protokolu chyb
|
Protokol událostí |
Systém |
|
Zdroj události |
TPM-WMI |
|
ID události |
1037 |
|
Úroveň |
Informace |
|
Text chybové zprávy |
Aktualizace Dbx zabezpečeného spouštění pro odvolání microsoft Windows Production PCA 2011 byla úspěšně použita. |
Když se u firmwaru použije aktualizovaný seznam odvolaných certifikátů DBX, firmware může vrátit chybu. Když dojde k chybě, zaprotokoluje se událost a systém Windows se pokusí použít seznam DBX na firmware při příštím restartování systému.
Provedení akce
Obraťte se na výrobce zařízení a zjistěte, jestli je k dispozici aktualizace firmwaru.
Informace protokolu událostí
Událost s ID 1795 se zaprotokoluje, když firmware zařízení vrátí chybu. Položka protokolu událostí bude obsahovat kód chyby vrácený z firmwaru.
|
Protokol událostí |
Systém |
|
Zdroj události |
TPM-WMI |
|
ID události |
1795 |
|
Úroveň |
Chyba |
|
Text zprávy události |
Firmware systému vrátil chybu <kódu chyby firmwaru> při pokusu o aktualizaci proměnné zabezpečeného spouštění. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2169931 |
Když se u zařízení použije aktualizovaný seznam odvolaných certifikátů DBX a dojde k chybě, která není popsaná výše uvedenými událostmi, zaprotokoluje se událost a systém Windows se pokusí použít seznam DBX na firmware při příštím restartování systému.
Informace protokolu událostí
K události s ID 1796 dojde, když dojde k neočekávané chybě. Položka protokolu událostí bude obsahovat kód chyby pro neočekávanou chybu.
|
Protokol událostí |
Systém |
|
Zdroj události |
TPM-WMI |
|
ID události |
1796 |
|
Úroveň |
Chyba |
|
Text zprávy události |
Aktualizaci zabezpečeného spouštění se nepodařilo aktualizovat proměnnou zabezpečeného spouštění s chybou <kód chyby>. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2169931 |
Tato událost se zaprotokoluje při pokusu o přidání certifikátu Microsoft Windows Production PCA 2011 do databáze DBX (Secure Boot Forbidden Signatures Database) rozhraní UEFI. Před přidáním tohoto certifikátu do databáze DBX se zkontroluje, jestli se do databáze podpisů zabezpečeného spouštění (DB) přidal certifikát certifikační autority UEFI windows 2023. Pokud se do databáze nepřidá certifikační autorita rozhraní UEFI 2023 systému Windows, aktualizace DBX se v systému Windows záměrně nezdaří. Tím se zajistí, že zařízení důvěřuje alespoň jednomu z těchto dvou certifikátů, což zajišťuje, že zařízení bude důvěřovat spouštěcím aplikacím podepsaným Microsoftem. Při přidávání microsoft Windows Production PCA 2011 do DBX jsou provedeny dvě kontroly, aby se zajistilo, že se zařízení stále úspěšně spouští: 1) ujistěte se, že se do databáze přidala ca rozhraní Windows UEFI 2023, 2) Ujistěte se, že výchozí spouštěcí aplikace není podepsána certifikátem Microsoft Windows Production PCA 2011.
Informace protokolu událostí
|
Protokol událostí |
Systém |
|
Zdroj události |
TPM-WMI |
|
ID události |
1797 |
|
Úroveň |
Chyba |
|
Text chybové zprávy |
Aktualizaci dbx zabezpečeného spouštění se nepodařilo odvolat Microsoft Windows Production PCA 2011, protože certifikát Ca rozhraní UEFI 2023 systému Windows není v databázi k dispozici. |
Tato událost se zaprotokoluje při pokusu o přidání certifikátu Microsoft Windows Production PCA 2011 do databáze DBX (Secure Boot Forbidden Signatures Database) rozhraní UEFI. Před přidáním tohoto certifikátu do DBX se zkontroluje, jestli výchozí spouštěcí aplikace není podepsána podpisovým certifikátem Microsoft Windows Production PCA 2011. Pokud je výchozí spouštěcí aplikace podepsána podpisový certifikát Microsoft Windows Production PCA 2011, systém Windows záměrně selže při aktualizaci DBX. Při přidávání microsoft Windows Production PCA 2011 do DBX jsou provedeny dvě kontroly, aby se zajistilo, že se zařízení stále úspěšně spouští: 1) ujistěte se, že se do databáze přidala ca rozhraní Windows UEFI 2023, 2) Ujistěte se, že výchozí spouštěcí aplikace není podepsána certifikátem Microsoft Windows Production PCA 2011.
Informace protokolu událostí
|
Protokol událostí |
Systém |
|
Zdroj události |
TPM-WMI |
|
ID události |
1798 |
|
Úroveň |
Chyba |
|
Text chybové zprávy |
Aktualizaci zabezpečeného spouštění dbx se nepodařilo odvolat Microsoft Windows Production PCA 2011, protože správce spouštění není podepsaný certifikátem Windows UEFI CA 2023 |
Tato událost se zaprotokoluje při použití správce spouštění v systému, který je podepsán certifikátem certifikační autority UEFI systému Windows 2023.
Informace protokolu událostí
|
Protokol událostí |
Systém |
|
Zdroj události |
TPM-WMI |
|
ID události |
1799 |
|
Úroveň |
Informace |
|
Text chybové zprávy |
Správce spouštění podepsaný s windows UEFI CA 2023 byl úspěšně nainstalován |
