Ursprüngliches Veröffentlichungsdatum: 15. Juni 2022
KB-ID: 5016061
Datum ändern |
Beschreibung |
29. Januar 2025 |
|
Zusammenfassung
Um die Sicherheit von Windows-Geräten zu gewährleisten, fügt Microsoft anfällige Bootloader-Module zur Secure Boot DBX-Widerrufsliste hinzu (die in der UEFI-basierten System-Firmware verwaltet wird), um die anfälligen Module ungültig zu machen. Wenn die aktualisierte DBX-Sperrliste auf einem Gerät installiert wird, prüft Windows, ob sich das System in einem Zustand befindet, in dem das DBX-Update erfolgreich auf die Firmware angewendet werden kann, und meldet Fehler im Ereignisprotokoll, wenn ein Problem festgestellt wird.
Weitere Informationen
Wenn eines dieser anfälligen Module auf dem Gerät entdeckt wird, wird ein Ereignisprotokolleintrag erstellt, der eine Warnung über die Situation enthält und den Namen des erkannten Moduls angibt. Der Ereignisprotokolleintrag enthält Details, die den folgenden ähneln:
Ereignisprotokoll |
System |
Ereignisquelle |
TPM-WMI |
Ereigniskennung |
<Ereignis ID-Nummer> |
Pegel: |
Fehler |
Ereignismeldungstext |
<Mitteilungstext> |
Ereignis-IDs
Dieses Ereignis wird protokolliert, wenn BitLocker auf dem Systemlaufwerk so konfiguriert ist, dass die Anwendung der Secure Boot DBX-Liste auf die Firmware dazu führen würde, dass BitLocker in den Wiederherstellungsmodus wechselt. Die Lösung besteht darin, BitLocker vorübergehend für 2 Neustartzyklen auszusetzen, damit das Update installiert werden kann.
Handeln Sie
Um dieses Problem zu beheben, führen Sie den folgenden Befehl von einer Administrator-Eingabeaufforderung aus, um BitLocker für 2 Neustartzyklen anzuhalten:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Starten Sie dann das Gerät zweimal neu, um den BitLocker-Schutz wieder aufzunehmen.
Um sicherzustellen, dass der BitLocker-Schutz wiederhergestellt wurde, führen Sie den folgenden Befehl aus, nachdem Sie zweimal neu gestartet haben:
-
Manage-bde –Protectors –enable %systemdrive%
Informationen zum Ereignisprotokoll
Die Ereignis-ID 1032 wird protokolliert, wenn die Konfiguration von BitLocker auf dem Systemlaufwerk dazu führen würde, dass das System in die BitLocker-Wiederherstellung geht, wenn das Secure Boot-Update angewendet wird.
Ereignisprotokoll |
System |
Ereignisquelle |
TPM-WMI |
Ereigniskennung |
1032 |
Pegel: |
Fehler |
Ereignismeldungstext |
Das Secure Boot-Update wurde aufgrund einer bekannten Inkompatibilität mit der aktuellen BitLocker-Konfiguration nicht angewendet. |
Wenn die aktualisierte DBX-Sperrliste auf einem Gerät installiert wird, prüft Windows, ob das System zum Starten des Geräts von einem der anfälligen Module abhängig ist. Wird eines der anfälligen Module entdeckt, wird die Aktualisierung der DBX-Liste in der Firmware aufgeschoben. Bei jedem Neustart des Systems wird das Gerät erneut gescannt, um festzustellen, ob das anfällige Modul aktualisiert wurde und ob es sicher ist, die aktualisierte DBX-Liste anzuwenden.
Handeln Sie
In den meisten Fällen sollte der Hersteller des anfälligen Moduls eine aktualisierte Version bereitstellen, welche die Sicherheitslücke behebt. Wenden Sie sich an Ihren Anbieter, um das Update zu erhalten.
Informationen zum Ereignisprotokoll
Die Ereignis-ID 1033 wird protokolliert, wenn ein anfälliger Bootloader, der durch dieses Update widerrufen wurde, auf Ihrem Gerät entdeckt wird.
Ereignisprotokoll |
System |
Ereignisquelle |
TPM-WMI |
Ereigniskennung |
1033 |
Pegel: |
Fehler |
Ereignismeldungstext |
In der EFI-Partition wurde ein potenziell widerrufener Bootmanager entdeckt. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2169931 |
Ereignisdaten BootMgr |
<Pfad und Name anfälliger Datei> |
Dieses Ereignis wird protokolliert, wenn die DBX-Variable für den sicheren Start erfolgreich aktualisiert wird. Die DBX-Variable wird zum Aufheben der Vertrauenswürdigung von Komponenten für den sicheren Start verwendet und wird in der Regel verwendet, um anfällige oder böswillige Komponenten für den sicheren Start zu blockieren, z. B. Start-Manager und Zertifikate, die zum Signieren von Start-Managern verwendet werden.
Ereignis 1034 gibt an, dass die standardmäßigen DBX-Sperrungen auf die Firmware angewendet werden.
Informationen zum Ereignisprotokoll
Ereignisprotokoll |
System |
Ereignisquelle |
TPM-WMI |
Ereigniskennung |
1034 |
Pegel: |
Informationen |
Ereignismeldungstext |
Das Update für den sicheren Start von DBX wurde erfolgreich angewendet |
Dieses Ereignis wird protokolliert, wenn die DB-Variable für den sicheren Start erfolgreich aktualisiert wird. Die Datenbankvariable wird verwendet, um eine Vertrauensstellung für Secure Boot-Komponenten hinzuzufügen, und wird in der Regel verwendet, um Zertifikate als vertrauenswürdig einzustufen, die zum Signieren von Start-Managern verwendet werden.
Informationen zum Ereignisprotokoll
Ereignisprotokoll |
System |
Ereignisquelle |
TPM-WMI |
Ereigniskennung |
1036 |
Pegel: |
Informationen |
Ereignismeldungstext |
Das Update für den sicheren Start von Db wurde erfolgreich angewendet |
Dieses Ereignis wird protokolliert, wenn das Microsoft Windows Production PCA 2011-Zertifikat der UEFI Secure Boot Forbidden Signatures Database (DBX) hinzugefügt wird. Wenn dies der Fall ist, werden mit diesem Zertifikat signierte Startanwendungen beim Starten des Geräts nicht mehr vertrauenswürdig. Dies umfasst alle Startanwendungen, die mit Systemwiederherstellungsmedien, PXE-Startanwendungen und anderen Medien verwendet werden, die eine von diesem Zertifikat signierte Startanwendung verwenden.
Fehlerprotokollinformationen
Ereignisprotokoll |
System |
Ereignisquelle |
TPM-WMI |
Ereigniskennung |
1037 |
Pegel: |
Informationen |
Fehlermeldungstext |
Das Dbx-Update für den sicheren Start zum Widerrufen von Microsoft Windows Production PCA 2011 wurde erfolgreich angewendet. |
Wenn eine Secure Boot Signature Database (DB), eine Datenbank für widerrufene Signaturen (DBX) oder ein KEK-Update (Key Exchange Key) auf die Firmware angewendet wird, gibt die Firmware möglicherweise einen Fehler zurück. Wenn ein Fehler auftritt, wird ein Ereignis protokolliert, und Windows versucht, das Update beim nächsten Systemneustart auf die Firmware anzuwenden.
Handeln Sie
Wenden Sie sich an den Hersteller Ihres Geräts, um festzustellen, ob ein Firmware-Update verfügbar ist.
Informationen zum Ereignisprotokoll
Die Ereignis-ID 1795 wird protokolliert, wenn die Firmware des Geräts einen Fehler meldet. Der Eintrag im Ereignisprotokoll enthält den von der Firmware zurückgegebenen Fehlercode.
Ereignisprotokoll |
System |
Ereignisquelle |
TPM-WMI |
Ereigniskennung |
1795 |
Pegel: |
Fehler |
Ereignismeldungstext |
Die Firmware hat einen Fehler zurückgegeben <firmware error code> als versucht wurde, eine Secure Boot-Variable zu aktualisieren. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2169931 |
Wenn die aktualisierte DBX-Sperrliste auf ein Gerät angewendet wird und ein Fehler auftritt, der nicht durch die oben genannten Ereignisse abgedeckt ist, wird ein Ereignis protokolliert, und Windows versucht, die DBX-Liste beim nächsten Systemneustart auf die Firmware anzuwenden.
Informationen zum Ereignisprotokoll
Ereignis-ID 1796 tritt auf, wenn ein unerwarteter Fehler auftritt. Der Eintrag im Ereignisprotokoll enthält den Fehlercode für den unerwarteten Fehler.
Ereignisprotokoll |
System |
Ereignisquelle |
TPM-WMI |
Ereigniskennung |
1796 |
Pegel: |
Fehler |
Ereignismeldungstext |
Die Secure Boot-Aktualisierung konnte eine Secure Boot-Variable nicht aktualisieren mit dem Fehler <error code>. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2169931 |
Dieses Ereignis wird bei dem Versuch protokolliert, das Microsoft Windows Production PCA 2011-Zertifikat der UEFI-Datenbank für unzulässige Signaturen (Secure Boot Forbidden Signatures, DBX) hinzuzufügen. Vor dem Hinzufügen dieses Zertifikats zum DBX wird überprüft, ob das Windows UEFI CA 2023-Zertifikat der UEFI Secure Boot Signature Database (DB) hinzugefügt wurde. Wenn die Windows UEFI CA 2023 der Datenbank nicht hinzugefügt wurde, schlägt Windows das DBX-Update absichtlich fehl. Dies geschieht, um sicherzustellen, dass das Gerät mindestens einem dieser beiden Zertifikate vertraut, wodurch sichergestellt wird, dass das Gerät Startanwendungen vertraut, die von Microsoft signiert wurden. Beim Hinzufügen von Microsoft Windows Production PCA 2011 zum DBX werden zwei Überprüfungen durchgeführt, um sicherzustellen, dass das Gerät weiterhin erfolgreich gestartet wird: 1) Stellen Sie sicher, dass Windows UEFI CA 2023 zur Datenbank hinzugefügt wurde, 2) Stellen Sie sicher, dass die Standardstartanwendung nicht vom Microsoft Windows Production PCA 2011-Zertifikat signiert ist.
Informationen zum Ereignisprotokoll
Ereignisprotokoll |
System |
Ereignisquelle |
TPM-WMI |
Ereigniskennung |
1797 |
Pegel: |
Fehler |
Fehlermeldungstext |
Das Dbx-Update für den sicheren Start konnte Microsoft Windows Production PCA 2011 nicht widerrufen, da das Windows UEFI CA 2023-Zertifikat nicht in der Datenbank vorhanden ist. |
Dieses Ereignis wird bei dem Versuch protokolliert, das Microsoft Windows Production PCA 2011-Zertifikat der UEFI-Datenbank für unzulässige Signaturen (Secure Boot Forbidden Signatures, DBX) hinzuzufügen. Vor dem Hinzufügen dieses Zertifikats zu DBX wird überprüft, ob die Standardstartanwendung nicht vom Microsoft Windows Production PCA 2011-Signaturzertifikat signiert ist. Wenn die Standardstartanwendung vom Microsoft Windows Production PCA 2011-Signaturzertifikat signiert ist, schlägt Windows das DBX-Update absichtlich fehl. Beim Hinzufügen von Microsoft Windows Production PCA 2011 zum DBX werden zwei Überprüfungen durchgeführt, um sicherzustellen, dass das Gerät weiterhin erfolgreich gestartet wird: 1) Stellen Sie sicher, dass Windows UEFI CA 2023 zur Datenbank hinzugefügt wurde, 2) Stellen Sie sicher, dass die Standardstartanwendung nicht vom Microsoft Windows Production PCA 2011-Zertifikat signiert ist.
Informationen zum Ereignisprotokoll
Ereignisprotokoll |
System |
Ereignisquelle |
TPM-WMI |
Ereigniskennung |
1798 |
Pegel: |
Fehler |
Fehlermeldungstext |
Das Dbx-Update für den sicheren Start konnte Microsoft Windows Production PCA 2011 nicht widerrufen, da der Start-Manager nicht mit dem Windows UEFI CA 2023-Zertifikat signiert ist. |
Dieses Ereignis wird protokolliert, wenn ein Start-Manager auf das System angewendet wird, das vom Windows UEFI CA 2023-Zertifikat signiert ist.
Informationen zum Ereignisprotokoll
Ereignisprotokoll |
System |
Ereignisquelle |
TPM-WMI |
Ereigniskennung |
1799 |
Pegel: |
Informationen |
Fehlermeldungstext |
Der mit Windows UEFI CA 2023 signierte Start-Manager wurde erfolgreich installiert. |