KB5016061: Ereignisse zum Aktualisieren der Variablen "Secure Boot DB" und "DBX"

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	<Ereignis ID-Nummer>
Pegel:	Fehler
Ereignismeldungstext	<Mitteilungstext>

Dieses Ereignis wird protokolliert, wenn BitLocker auf dem Systemlaufwerk so konfiguriert ist, dass die Anwendung der Secure Boot DBX-Liste auf die Firmware dazu führen würde, dass BitLocker in den Wiederherstellungsmodus wechselt. Die Lösung besteht darin, BitLocker vorübergehend für 2 Neustartzyklen auszusetzen, damit das Update installiert werden kann.

Handeln Sie

Um dieses Problem zu beheben, führen Sie den folgenden Befehl von einer Administrator-Eingabeaufforderung aus, um BitLocker für 2 Neustartzyklen anzuhalten:

• Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2

Starten Sie dann das Gerät zweimal neu, um den BitLocker-Schutz wieder aufzunehmen.

Um sicherzustellen, dass der BitLocker-Schutz wiederhergestellt wurde, führen Sie den folgenden Befehl aus, nachdem Sie zweimal neu gestartet haben:

• Manage-bde –Protectors –enable %systemdrive%

Informationen zum Ereignisprotokoll

Die Ereignis-ID 1032 wird protokolliert, wenn die Konfiguration von BitLocker auf dem Systemlaufwerk dazu führen würde, dass das System in die BitLocker-Wiederherstellung geht, wenn das Secure Boot-Update angewendet wird.

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1032
Pegel:	Fehler
Ereignismeldungstext	Das Secure Boot-Update wurde aufgrund einer bekannten Inkompatibilität mit der aktuellen BitLocker-Konfiguration nicht angewendet.

Wenn die aktualisierte DBX-Sperrliste auf einem Gerät installiert wird, prüft Windows, ob das System zum Starten des Geräts von einem der anfälligen Module abhängig ist. Wird eines der anfälligen Module entdeckt, wird die Aktualisierung der DBX-Liste in der Firmware aufgeschoben. Bei jedem Neustart des Systems wird das Gerät erneut gescannt, um festzustellen, ob das anfällige Modul aktualisiert wurde und ob es sicher ist, die aktualisierte DBX-Liste anzuwenden.

Handeln Sie

In den meisten Fällen sollte der Hersteller des anfälligen Moduls eine aktualisierte Version bereitstellen, welche die Sicherheitslücke behebt. Wenden Sie sich an Ihren Anbieter, um das Update zu erhalten.

Informationen zum Ereignisprotokoll

Die Ereignis-ID 1033 wird protokolliert, wenn ein anfälliger Bootloader, der durch dieses Update widerrufen wurde, auf Ihrem Gerät entdeckt wird.

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1033
Pegel:	Fehler
Ereignismeldungstext	In der EFI-Partition wurde ein potenziell widerrufener Bootmanager entdeckt. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2169931
Ereignisdaten BootMgr	<Pfad und Name anfälliger Datei>

Dieses Ereignis wird protokolliert, wenn die DBX-Variable für den sicheren Start erfolgreich aktualisiert wird. Die DBX-Variable wird zum Aufheben der Vertrauenswürdigung von Komponenten für den sicheren Start verwendet und wird in der Regel verwendet, um anfällige oder böswillige Komponenten für den sicheren Start zu blockieren, z. B. Start-Manager und Zertifikate, die zum Signieren von Start-Managern verwendet werden.

Ereignis 1034 gibt an, dass die standardmäßigen DBX-Sperrungen auf die Firmware angewendet werden.

Informationen zum Ereignisprotokoll

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1034
Pegel:	Informationen
Ereignismeldungstext	Das Update für den sicheren Start von DBX wurde erfolgreich angewendet

Dieses Ereignis wird protokolliert, wenn die DB-Variable für den sicheren Start erfolgreich aktualisiert wird. Die Datenbankvariable wird verwendet, um eine Vertrauensstellung für Secure Boot-Komponenten hinzuzufügen, und wird in der Regel verwendet, um Zertifikate als vertrauenswürdig einzustufen, die zum Signieren von Start-Managern verwendet werden.

Informationen zum Ereignisprotokoll

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1036
Pegel:	Informationen
Ereignismeldungstext	Das Update für den sicheren Start von Db wurde erfolgreich angewendet

Dieses Ereignis wird protokolliert, wenn das Microsoft Windows Production PCA 2011-Zertifikat der UEFI Secure Boot Forbidden Signatures Database (DBX) hinzugefügt wird. In diesem Fall werden alle Startanwendungen, die mit diesem Zertifikat signiert sind, beim Starten des Geräts nicht mehr als vertrauenswürdig eingestuft. Dazu gehören alle Startanwendungen, die mit Systemwiederherstellungsmedien verwendet werden, PXE-Startanwendungen und alle anderen Medien, die eine von diesem Zertifikat signierte Startanwendung verwenden.

Fehlerprotokollinformationen

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1037
Pegel:	Informationen
Fehlermeldungstext	Das Dbx-Update für den sicheren Start zum Widerrufen von Microsoft Windows-Produktions-PCA 2011 wurde erfolgreich angewendet.

Wenn die aktualisierte DBX-Sperrliste auf die Firmware angewendet wird, kann die Firmware einen Fehler zurückgeben. Wenn ein Fehler auftritt, wird ein Ereignis protokolliert, und Windows versucht, die DBX-Liste beim nächsten Systemneustart auf die Firmware anzuwenden.

Handeln Sie

Wenden Sie sich an den Hersteller Ihres Geräts, um festzustellen, ob ein Firmware-Update verfügbar ist.

Informationen zum Ereignisprotokoll

Die Ereignis-ID 1795 wird protokolliert, wenn die Firmware des Geräts einen Fehler meldet. Der Eintrag im Ereignisprotokoll enthält den von der Firmware zurückgegebenen Fehlercode.

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1795
Pegel:	Fehler
Ereignismeldungstext	Die Firmware hat einen Fehler zurückgegeben <firmware error code> als versucht wurde, eine Secure Boot-Variable zu aktualisieren. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2169931

Wenn die aktualisierte DBX-Sperrliste auf ein Gerät angewendet wird und ein Fehler auftritt, der nicht durch die oben genannten Ereignisse abgedeckt ist, wird ein Ereignis protokolliert, und Windows versucht, die DBX-Liste beim nächsten Systemneustart auf die Firmware anzuwenden.

Informationen zum Ereignisprotokoll

Ereignis-ID 1796 tritt auf, wenn ein unerwarteter Fehler auftritt. Der Eintrag im Ereignisprotokoll enthält den Fehlercode für den unerwarteten Fehler.

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1796
Pegel:	Fehler
Ereignismeldungstext	Die Secure Boot-Aktualisierung konnte eine Secure Boot-Variable nicht aktualisieren mit dem Fehler <error code>. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2169931

Dieses Ereignis wird bei dem Versuch protokolliert, das Microsoft Windows Production PCA 2011-Zertifikat der UEFI-Datenbank für unzulässige Signaturen (Secure Boot Forbidden Signatures, DBX) hinzuzufügen. Vor dem Hinzufügen dieses Zertifikats zu DBX wird überprüft, ob das Windows UEFI CA 2023-Zertifikat der UEFI Secure Boot Signature Database (DB) hinzugefügt wurde. Wenn die Windows UEFI CA 2023 nicht zur Datenbank hinzugefügt wurde, schlägt Windows absichtlich das DBX-Update fehl. Dadurch wird sichergestellt, dass das Gerät mindestens einem dieser beiden Zertifikate vertraut. Dadurch wird sichergestellt, dass das Gerät Startanwendungen vertraut, die von Microsoft signiert wurden. Beim Hinzufügen von Microsoft Windows Production PCA 2011 zum DBX werden zwei Überprüfungen durchgeführt, um sicherzustellen, dass das Gerät weiterhin erfolgreich gestartet wird: 1) Stellen Sie sicher, dass Windows UEFI CA 2023 zur Datenbank hinzugefügt wurde, 2) Stellen Sie sicher, dass die Standardstartanwendung nicht vom Microsoft Windows Production PCA 2011-Zertifikat signiert ist.

Informationen zum Ereignisprotokoll

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1797
Pegel:	Fehler
Fehlermeldungstext	Das Secure Boot Dbx-Update konnte Microsoft Windows Production PCA 2011 nicht widerrufen, da das Windows UEFI CA 2023-Zertifikat in der Datenbank nicht vorhanden ist.

Dieses Ereignis wird bei dem Versuch protokolliert, das Microsoft Windows Production PCA 2011-Zertifikat der UEFI-Datenbank für unzulässige Signaturen (Secure Boot Forbidden Signatures, DBX) hinzuzufügen. Vor dem Hinzufügen dieses Zertifikats zum DBX wird überprüft, ob die Standardstartanwendung nicht vom Microsoft Windows Production PCA 2011-Signaturzertifikat signiert ist. Wenn die Standardstartanwendung vom Microsoft Windows Production PCA 2011-Signaturzertifikat signiert ist, schlägt Windows absichtlich beim DBX-Update fehl. Beim Hinzufügen von Microsoft Windows Production PCA 2011 zum DBX werden zwei Überprüfungen durchgeführt, um sicherzustellen, dass das Gerät weiterhin erfolgreich gestartet wird: 1) Stellen Sie sicher, dass Windows UEFI CA 2023 zur Datenbank hinzugefügt wurde, 2) Stellen Sie sicher, dass die Standardstartanwendung nicht vom Microsoft Windows Production PCA 2011-Zertifikat signiert ist.

Informationen zum Ereignisprotokoll

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1798
Pegel:	Fehler
Fehlermeldungstext	Das Update für den sicheren Start von Dbx konnte Microsoft Windows Production PCA 2011 nicht widerrufen, da der Start-Manager nicht mit dem Windows UEFI CA 2023-Zertifikat signiert ist.

Dieses Ereignis wird protokolliert, wenn ein Start-Manager auf das System angewendet wird, das vom Windows UEFI CA 2023-Zertifikat signiert wurde.

Informationen zum Ereignisprotokoll

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1799
Pegel:	Informationen
Fehlermeldungstext	Der mit Windows UEFI CA 2023 signierte Start-Manager wurde erfolgreich installiert.