Microsoft-Leitfaden zum Anwenden des Updates der Datenbank für abgelehnte Signaturen (DBX) für sicheres Starten (KB4575994)

Anwenden eines DBX-Updates unter Windows

Nachdem Sie die Warnungen gelesen und überprüft haben, ob Ihr Gerät kompatibel ist, führen Sie die folgenden Schritte aus, um für einen sicheren Start die Secure Boot DBX zu aktualisieren:

1. Laden Sie die entsprechende UEFI-Sperrlistendatei (Dbxupdate.bin) für Ihre Plattform von dieser UEFI-Webseite herunter.

2. Sie müssen die Datei „Dbxupdate.bin“ in die erforderlichen Komponenten aufteilen, um sie mithilfe von PowerShell-Cmdlets anzuwenden. Gehen Sie zu diesem Zweck folgendermaßen vor:

   1. Laden Sie das PowerShell-Skript von dieser Webseite der PowerShell-Galerie herunter.

   2. Um das Skript zu finden, führen Sie das folgende Cmdlet aus:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Stellen Sie sicher, dass das Cmdlet das Skript erfolgreich herunterlädt und Ausgabedetails wie Name, Version, Autor, Veröffentlichungsdatum, Installationsdatum und Installationsort bereitstellt.

   4. Führen Sie die folgenden Cmdlets aus:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • ls

   5. Stellen Sie sicher, dass sich die Datei „SplitDbxContent.ps1“ jetzt im Ordner „Skripte“ befindet.

   6. Führen Sie das folgende PowerShell-Skript für die Datei „Dbxupdate.bin“ aus:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Vergewissern Sie sich, dass mit diesem Befehl die folgenden Dateien erstellt wurden:

      

      • Content.bin – Inhalt aktualisieren

      • Signature.p7 – Signatur, die den Aktualisierungsprozess autorisiert

3. Führen Sie in einer administrativen PowerShell-Sitzung das Cmdlet Set-SecureBootUefi aus, um das DBX-Update anzuwenden::
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   Erwartete Ausgabe
   
   

4. Starten Sie das Gerät neu, um die Installation des Updates abzuschließen.

Weitere Informationen zum Cmdlet der Konfiguration für sicheres Starten und dessen Verwendung für DBX-Updates finden Sie unter Set-Secure.

Überprüfen, ob das Update erfolgreich war  

Nachdem Sie die Schritte im vorherigen Abschnitt erfolgreich abgeschlossen und das Gerät neu gestartet haben, führen Sie diese Schritte aus, um zu überprüfen, ob das Update erfolgreich angewendet wurde. Nach erfolgreicher Verifizierung ist Ihr Gerät nicht mehr von der GRUB-Schwachstelle betroffen.

1. Laden Sie die Verifizierungsskripts für DBX-Updates von dieser GitHub Gist-Webseite herunter.

2. Extrahieren Sie die Skripts und Binärdateien aus der komprimierten Datei.

3. Führen Sie das folgende PowerShell-Skript in dem Ordner aus, der die erweiterten Skripts und Binärdateien enthält, um das DBX-Update zu überprüfen: 
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Hinweis: Wenn ein DBX-Update mit den Versionen Juli 2020 oder Oktober 2020 aus diesem Sperrlistendateiarchiv angewendet wurde, führen Sie stattdessen den folgenden entsprechenden Befehl aus: 
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. Überprüfen Sie, ob die Ausgabe mit dem erwarteten Ergebnis übereinstimmt:
   
   

FAQ

F1: Was bedeutet die Fehlermeldung „Get-SecureBootUEFI: Cmdlets werden auf dieser Plattform nicht unterstützt“?

A1: Diese Fehlermeldung weist darauf hin, dass auf dem Computer die Funktion „Sicherer Start“ NICHT aktiviert ist. Daher ist dieses Gerät NICHT von der GRUB-Sicherheitslücke betroffen. Es sind keine weiteren Maßnahmen erforderlich.

F2: Wie konfiguriere ich das Gerät, um UEFI CA von Drittanbietern zu vertrauen oder nicht zu vertrauen? 

A2: Wir empfehlen Ihnen, sich an Ihren OEM-Anbieter zu wenden. 

Ändern Sie für Microsoft Surface die Einstellung für „Sicherer Start“ in „Nur Microsoft“, und führen Sie dann den folgenden PowerShell-Befehl aus (das Ergebnis sollte „False“ sein): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Weitere Informationen zum Konfigurieren für Microsoft Surface finden Sie unter Verwalten der Surface UEFI-Einstellungen – Surface | Microsoft Docs.

F3: Wirkt sich dieses Problem auf virtuelle Azure IaaS-Computer der Generation 1 und 2 aus? 

A3: Nein. Virtuelle Azure-Gastcomputer Gen1 und Gen2 unterstützen das Secure Boot-Feature nicht. Daher sind sie von dem Vertrauenskettenangriff nicht betroffen. 

F4: Beziehen sich ADV200011 und CVE-2020-0689 auf dieselbe Sicherheitsanfälligkeit, die mit Secure Boot zusammenhängt? 

A: Nein. Diese Sicherheitshinweise beschreiben verschiedene Schwachstellen. „ADV200011“ bezieht sich auf eine Schwachstelle in GRUB (Linux-Komponente), die eine Umgehung von „Sicherer Start“ verursachen könnte. „CVE-2020-0689“ bezieht sich auf eine Sicherheitsanfälligkeit bei „Sicherer Start“ bezüglich der Umgehung von Sicherheitsfunktionen. 

F5: Ich kann keines der PowerShell-Skripte ausführen. Was tun?

A: Überprüfen Sie die PowerShell-Ausführungsrichtlinie, indem Sie den Befehl Get-ExecutionPolicy ausführen. Abhängig von der Ausgabe müssen Sie möglicherweise die Ausführungsrichtlinie aktualisieren:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) – PowerShell | Microsoft Docs