Sammendrag
For at beskytte Windows-enheder tilføjer Microsoft sårbare bootloader-moduler til listen over tilbagekaldte Secure Boot DBX-enheder (vedligeholdes i systemets UEFI-baserede firmware) for at ugyldiggøre de sårbare moduler. Når den opdaterede liste over tilbagekaldte DBX-filer er installeret på en enhed, kontrollerer Windows, om systemet er i en tilstand, hvor DBX-opdateringen kan anvendes korrekt på firmwaren og rapporterer fejl i hændelsesloggen, hvis der registreres et problem.
Flere oplysninger
Når et af disse sårbare moduler registreres på enheden, oprettes en hændelseslogpost med en advarsel om situationen og indeholder navnet på det registrerede modul. Hændelseslogposten indeholder oplysninger, der ligner følgende:
Hændelseslog |
System |
Hændelseskilde |
TPM-WMI |
Hændelses-id |
<hændelses-id-nummer> |
Niveau |
Fejl |
Hændelsesmeddelelsestekst |
<> |
Hændelses-id'er
Hændelsen logføres, når BitLocker på systemdrevet er konfigureret på en sådan måde, at anvendelse af SIKKER bootstart DBX-listen på firmwaren ville medføre, at BitLocker skifter til genoprettelsestilstand. Løsningen er midlertidigt at afbryde BitLocker i to genstartscyklusser for at lade opdateringen installere.
Gør noget
Du kan løse dette problem ved at køre følgende kommando fra en administratorkommandoprompt for at afbryde BitLocker i to genstartscyklusser:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Genstart derefter enheden to gange for at fortsætte BitLocker-beskyttelse.
Kør følgende kommando efter genstart to gange for at sikre, at BitLocker-beskyttelsen er blevet genoptaget:
-
Manage-bde –Protectors –enable %systemdrive%
Oplysninger om hændelseslog
Hændelses-id 1032 logføres, når konfigurationen af BitLocker på systemdrevet medfører, at systemet går i BitLocker-genoprettelse, hvis sikker bootstart-opdateringen anvendes.
Hændelseslog |
System |
Hændelseskilde |
TPM-WMI |
Hændelses-id |
1032 |
Niveau |
Fejl |
Hændelsesmeddelelsestekst |
Opdateringen til sikker bootstart blev ikke anvendt på grund af en kendt manglende kompatibilitet med den aktuelle BitLocker-konfiguration. |
Når den opdaterede liste over tilbagekaldte DBX-filer er installeret på en enhed, kontrollerer Windows, om systemet afhænger af et af de sårbare moduler for at starte enheden. Hvis der registreres et af de sårbare moduler, udskydes opdateringen til DBX-listen i firmwaren. Ved hver genstart af systemet scannes enheden igen for at afgøre, om det sårbare modul er blevet opdateret, og om det er sikkert at anvende den opdaterede DBX-liste.
Gør noget
I de fleste tilfælde skal leverandøren af det sårbare modul have en opdateret version, der løser sårbarheden. Kontakt din leverandør for at få opdateringen.
Oplysninger om hændelseslog
Hændelses-id 1033 logføres, når der registreres en sårbar startindlæsningsfunktion, der er blevet tilbagekaldt af denne opdatering, på din enhed.
Hændelseslog |
System |
Hændelseskilde |
TPM-WMI |
Hændelses-id |
1033 |
Niveau |
Fejl |
Hændelsesmeddelelsestekst |
Der blev fundet en potentielt tilbagekaldt startstyring i EFI-partitionen. Du kan få mere at vide under https://go.microsoft.com/fwlink/?linkid=2169931 |
Hændelsesdata BootMgr |
<sti og navnet på sårbar fil> |
Hændelsen logføres, når variablen Secure Boot DBX opdateres korrekt. DBX-variablen bruges til at upålidelige secure boot-komponenter og bruges typisk til at blokere sårbare eller skadelige komponenter til sikker bootstart, f.eks. bootadministratorer og certifikater, der bruges til at signere bootadministratorer.
Hændelse 1034 angiver, at DBX-standard revocationerne anvendes på firmwaren.
Oplysninger om hændelseslog
Hændelseslog |
System |
Hændelseskilde |
TPM-WMI |
Hændelses-id |
1034 |
Niveau |
Oplysninger |
Hændelsesmeddelelsestekst |
Sikker bootstart dbx-opdatering er installeret |
Hændelsen logføres, når variablen Secure Boot DB opdateres korrekt. DB-variablen bruges til at tilføje tillid til komponenter til sikker bootstart og bruges typisk til at have tillid til certifikater, der bruges til at signere bootadministratorer.
Oplysninger om hændelseslog
Hændelseslog |
System |
Hændelseskilde |
TPM-WMI |
Hændelses-id |
1036 |
Niveau |
Oplysninger |
Hændelsesmeddelelsestekst |
Sikker bootstart db-opdatering er installeret |
Hændelsen logføres, når Microsoft Windows Production PCA 2011-certifikatet føjes til UEFI DbX (Secure Boot Forbidden Signatures Database). Når dette sker, vil der ikke længere være tillid til startprogrammer, der er signeret med dette certifikat, når du starter enheden. Dette omfatter alle startprogrammer, der bruges sammen med systemgenoprettelsesmedier, PXE-startprogrammer og andre medier, der bruger et startprogram, der er signeret af dette certifikat.
Oplysninger om fejllog
Hændelseslog |
System |
Hændelseskilde |
TPM-WMI |
Hændelses-id |
1037 |
Niveau |
Oplysninger |
Fejlmeddelelsestekst |
Sikker bootstart Dbx-opdatering til at tilbagekalde Microsoft Windows Production PCA 2011 anvendes korrekt. |
Når den opdaterede DBX-tilbagekaldelsesliste anvendes på firmwaren, kan firmwaren returnere en fejl. Når der opstår en fejl, logføres en hændelse, og Windows forsøger at anvende DBX-listen på firmwaren ved næste genstart af systemet.
Gør noget
Kontakt enhedsproducenten for at finde ud af, om der findes en firmwareopdatering.
Oplysninger om hændelseslog
Hændelses-id 1795 logføres, når firmwaren i enheden returnerer en fejl. Hændelseslogposten indeholder den fejlkode, der returneres fra firmwaren.
Hændelseslog |
System |
Hændelseskilde |
TPM-WMI |
Hændelses-id |
1795 |
Niveau |
Fejl |
Hændelsesmeddelelsestekst |
Systemfirmwaren returnerede en fejl <firmwarefejlkode> , når du forsøgte at opdatere en variabel for sikker bootstart. Du kan få mere at vide under https://go.microsoft.com/fwlink/?linkid=2169931 |
Når den opdaterede liste over tilbagekaldte DBX-filer anvendes på en enhed, og der opstår en fejl, der ikke er dækket af hændelserne ovenfor, logføres en hændelse, og Windows forsøger at anvende DBX-listen på firmwaren på den næste genstart af systemet.
Oplysninger om hændelseslog
Hændelses-id 1796 opstår, når der opstår en uventet fejl. Hændelseslogposten indeholder fejlkoden for den uventede fejl.
Hændelseslog |
System |
Hændelseskilde |
TPM-WMI |
Hændelses-id |
1796 |
Niveau |
Fejl |
Hændelsesmeddelelsestekst |
Opdateringen til sikker bootstart kunne ikke opdatere en sikker bootstartvariabel med fejlkode<>. Du kan få mere at vide under https://go.microsoft.com/fwlink/?linkid=2169931 |
Hændelsen logføres under et forsøg på at føje Certifikatet Microsoft Windows Production PCA 2011 til UEFI Secure Boot Forbidden Signatures Database (DBX). Før du føjer dette certifikat til DBX, kontrolleres det, at Windows UEFI CA 2023-certifikatet er blevet føjet til UEFI Db-databasen (Secure Boot Signature Database). Hvis Windows UEFI CA 2023 ikke er blevet føjet til DB, mislykkes DBX-opdateringen bevidst af Windows. Dette gøres for at sikre, at enheden har tillid til mindst et af disse to certifikater, hvilket sikrer, at enheden har tillid til startprogrammer, der er signeret af Microsoft. Når du føjer Microsoft Windows Production PCA 2011 til DBX, udføres der to kontroller for at sikre, at enheden fortsætter med at starte korrekt: 1) sikrer, at Windows UEFI CA 2023 er føjet til DB, 2) Sørg for, at standardstartprogrammet ikke er signeret af Microsoft Windows Production PCA 2011-certifikatet.
Oplysninger om hændelseslog
Hændelseslog |
System |
Hændelseskilde |
TPM-WMI |
Hændelses-id |
1797 |
Niveau |
Fejl |
Fejlmeddelelsestekst |
Sikker bootstart dbx-opdateringen kunne ikke tilbagekalde Microsoft Windows Production PCA 2011, da Windows UEFI CA 2023-certifikatet ikke findes i DB. |
Hændelsen logføres under et forsøg på at føje Certifikatet Microsoft Windows Production PCA 2011 til UEFI Secure Boot Forbidden Signatures Database (DBX). Før du føjer dette certifikat til DBX, kontrolleres det, at standardstartprogrammet ikke er signeret af Microsoft Windows Production PCA 2011-signeringscertifikatet. Hvis standardstartprogrammet er signeret af Microsoft Windows Production PCA 2011-signeringscertifikatet, mislykkes DBX-opdateringen bevidst af Windows. Når du føjer Microsoft Windows Production PCA 2011 til DBX, udføres der to kontroller for at sikre, at enheden fortsætter med at starte korrekt: 1) sikrer, at Windows UEFI CA 2023 er føjet til DB, 2) Sørg for, at standardstartprogrammet ikke er signeret af Microsoft Windows Production PCA 2011-certifikatet.
Oplysninger om hændelseslog
Hændelseslog |
System |
Hændelseskilde |
TPM-WMI |
Hændelses-id |
1798 |
Niveau |
Fejl |
Fejlmeddelelsestekst |
Opdateringen til Secure Boot Dbx kunne ikke tilbagekalde Microsoft Windows Production PCA 2011, da boot manager ikke er signeret med Windows UEFI CA 2023-certifikatet |
Hændelsen logføres, når der anvendes en startstyring på det system, der er signeret af Windows UEFI CA 2023-certifikatet
Oplysninger om hændelseslog
Hændelseslog |
System |
Hændelseskilde |
TPM-WMI |
Hændelses-id |
1799 |
Niveau |
Oplysninger |
Fejlmeddelelsestekst |
Boot Manager signeret med Windows UEFI CA 2023 blev installeret |