Updateereignisse für sichere Startdatenbanken und DBX-Variablen

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	<Ereignis ID-Nummer>
Pegel:	Fehler
Ereignismeldungstext	<Mitteilungstext>

Dieses Ereignis wird protokolliert, wenn BitLocker auf dem Systemlaufwerk so konfiguriert ist, dass das Anwenden des Updates für den sicheren Start auf die Firmware dazu führen würde, dass BitLocker in den Wiederherstellungsmodus wechselt. Die Lösung besteht darin, BitLocker vorübergehend für 2 Neustartzyklen auszusetzen, damit das Update installiert werden kann.

Handeln Sie

Um dieses Problem zu beheben, führen Sie den folgenden Befehl von einer Administrator-Eingabeaufforderung aus, um BitLocker für 2 Neustartzyklen anzuhalten:

• Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2

Starten Sie dann das Gerät zweimal neu, um den BitLocker-Schutz wieder aufzunehmen.

Um sicherzustellen, dass der BitLocker-Schutz wiederhergestellt wurde, führen Sie den folgenden Befehl aus, nachdem Sie zweimal neu gestartet haben:

• Manage-bde –Protectors –enable %systemdrive%

Informationen zum Ereignisprotokoll

Die Ereignis-ID 1032 wird protokolliert, wenn die Konfiguration von BitLocker auf dem Systemlaufwerk dazu führen würde, dass das System in die BitLocker-Wiederherstellung geht, wenn das Secure Boot-Update angewendet wird. In diesem Ereignis kann <Ereignistyp> einer der folgenden Sein: "DB", "DBX", "SBAT", "Policy Update (SKU)", "Windows UEFI CA 2023 (DB)", "Option ROM CA 2023 (DB)", "3P UEFI CA 2023 (DB)", "KEK 2023", "DBX SVN" oder "Revoke UEFI CA 2011 (DBX)".

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1032
Pegel:	Fehler
Ereignismeldungstext	Das Update für den sicheren Start <Ereignistyp> wurde aufgrund einer bekannten Inkompatibilität mit der aktuellen BitLocker-Konfiguration nicht angewendet.

Wenn die aktualisierte DBX-Sperrliste auf einem Gerät installiert wird, prüft Windows, ob das System zum Starten des Geräts von einem der anfälligen Module abhängig ist. Wird eines der anfälligen Module entdeckt, wird die Aktualisierung der DBX-Liste in der Firmware aufgeschoben. Bei jedem Neustart des Systems wird das Gerät erneut gescannt, um festzustellen, ob das anfällige Modul aktualisiert wurde und ob es sicher ist, die aktualisierte DBX-Liste anzuwenden.

Handeln Sie

In den meisten Fällen sollte der Hersteller des anfälligen Moduls eine aktualisierte Version bereitstellen, welche die Sicherheitslücke behebt. Wenden Sie sich an Ihren Anbieter, um das Update zu erhalten.

Informationen zum Ereignisprotokoll

Die Ereignis-ID 1033 wird protokolliert, wenn ein anfälliger Bootloader, der durch dieses Update widerrufen wurde, auf Ihrem Gerät entdeckt wird.

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1033
Pegel:	Fehler
Ereignismeldungstext	In der EFI-Partition wurde ein potenziell widerrufener Bootmanager entdeckt. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2169931
Ereignisdaten BootMgr	<Pfad und Name anfälliger Datei>

Dieses Ereignis wird protokolliert, wenn die DBX-Variable für den sicheren Start erfolgreich aktualisiert wird. Die DBX-Variable wird zum Aufheben der Vertrauenswürdigung von Komponenten für den sicheren Start verwendet und wird in der Regel verwendet, um anfällige oder böswillige Komponenten für den sicheren Start zu blockieren, z. B. Start-Manager und Zertifikate, die zum Signieren von Start-Managern verwendet werden.

Ereignis 1034 gibt an, dass die standardmäßigen DBX-Sperrungen auf die Firmware angewendet werden.

Informationen zum Ereignisprotokoll

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1034
Pegel:	Informationen
Ereignismeldungstext	Das Update für den sicheren Start von DBX wurde erfolgreich angewendet

Dieses Ereignis wird protokolliert, wenn die DB-Variable für den sicheren Start erfolgreich aktualisiert wird. Die Datenbankvariable wird verwendet, um eine Vertrauensstellung für Secure Boot-Komponenten hinzuzufügen, und wird in der Regel verwendet, um Zertifikate als vertrauenswürdig einzustufen, die zum Signieren von Start-Managern verwendet werden.

Informationen zum Ereignisprotokoll

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1036
Pegel:	Informationen
Ereignismeldungstext	Das Update für den sicheren Start von Db wurde erfolgreich angewendet

Dieses Ereignis wird protokolliert, wenn das Microsoft Windows Production PCA 2011-Zertifikat der UEFI Secure Boot Forbidden Signatures Database (DBX) hinzugefügt wird. Wenn dies der Fall ist, werden mit diesem Zertifikat signierte Startanwendungen beim Starten des Geräts nicht mehr vertrauenswürdig. Dies umfasst alle Startanwendungen, die mit Systemwiederherstellungsmedien, PXE-Startanwendungen und anderen Medien verwendet werden, die eine von diesem Zertifikat signierte Startanwendung verwenden.

Fehlerprotokollinformationen

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1037
Pegel:	Informationen
Fehlermeldungstext	Das Dbx-Update für den sicheren Start zum Widerrufen von Microsoft Windows Production PCA 2011 wurde erfolgreich angewendet.

Dieses Ereignis wird protokolliert, wenn die KEK-Variable für den sicheren Start erfolgreich mit dem Microsoft Corporation KEK CA 2023-Zertifikat aktualisiert wird. Die KEK-Variable wird verwendet, um Vertrauensstellungen für Updates für den sicheren Start der Datenbank und der DBX-Variablen hinzuzufügen. Das Hinzufügen dieses neuen Zertifikats zum KEK ist erforderlich, um die Geräte nach Ablauf des vorhandenen Microsoft Corporation KEK CA 2011-Zertifikats , das im Jahr 2026 abläuft, zu schützen.

Fehlerprotokollinformationen

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1043
Pegel:	Informationen
Ereignismeldungstext	KeK-Update für den sicheren Start erfolgreich angewendet

Dieses Ereignis wird protokolliert, wenn der Datenbankvariable das Microsoft Option ROM CA 2023-Zertifikat hinzugefügt wird. Die Datenbankvariable wird verwendet, um eine Vertrauensstellung für Secure Boot-Komponenten hinzuzufügen, und wird in der Regel verwendet, um Zertifikate als vertrauenswürdig einzustufen, die zum Signieren von Start-Managern verwendet werden. Das Hinzufügen des neuen Option-ROM-Zertifikats zur Datenbank ist erforderlich, um die Kontinuität des Supports vor dem Ablauf der Microsoft UEFI CA 2011 im Jahr 2026 sicherzustellen.

Fehlerprotokollinformationen

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1044
Pegel:	Informationen
Ereignismeldungstext	Secure Boot DB-Update zum Installieren des Microsoft Option ROM UEFI CA 2023-Zertifikats erfolgreich angewendet

Dieses Ereignis wird protokolliert, wenn das Microsoft UEFI CA 2023-Zertifikat der Datenbankvariablen hinzugefügt wird. Die Datenbankvariable wird verwendet, um eine Vertrauensstellung für Secure Boot-Komponenten hinzuzufügen, und wird in der Regel verwendet, um Zertifikate als vertrauenswürdig einzustufen, die zum Signieren von Start-Managern verwendet werden. Das Hinzufügen des neuen Microsoft UEFI CA 2023-Zertifikats zur Datenbank ist erforderlich, um die Kontinuität des Supports vor dem Ablauf der Microsoft UEFI CA 2011 im Jahr 2026 sicherzustellen.

Fehlerprotokollinformationen

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1045
Pegel:	Informationen
Ereignismeldungstext	Secure Boot DB-Update zum Installieren des Microsoft UEFI CA 2023-Zertifikats erfolgreich angewendet

Wenn das Update für den sicheren Start auf ein Gerät angewendet wird und ein Fehler auftritt, der nicht durch andere Ereignisse abgedeckt wird, wird ein Ereignis protokolliert, und Windows versucht, beim nächsten Systemneustart ein Update für den sicheren Start auf die Firmware anzuwenden.

Informationen zum Ereignisprotokoll

Ereignis-ID 1796 tritt auf, wenn ein unerwarteter Fehler auftritt. Der Eintrag im Ereignisprotokoll enthält den Fehlercode für den unerwarteten Fehler. In diesem Ereignis kann <Ereignistyp> einer der folgenden Sein: "DB", "DBX", "SBAT", "Policy Update (SKU)", "Windows UEFI CA 2023 (DB)", "Option ROM CA 2023 (DB)", "3P UEFI CA 2023 (DB)", "KEK 2023", "DBX SVN" oder "Revoke UEFI CA 2011 (DBX)".

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1796
Pegel:	Fehler
Ereignismeldungstext	Das Update für den sicheren Start konnte <Ereignistyp nicht aktualisiert> mit fehler <Fehlercode>. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2169931

Dieses Ereignis wird bei dem Versuch protokolliert, das Microsoft Windows Production PCA 2011-Zertifikat der UEFI-Datenbank für unzulässige Signaturen (Secure Boot Forbidden Signatures, DBX) hinzuzufügen.

Vor dem Hinzufügen dieses Zertifikats zum DBX wird überprüft, ob das Windows UEFI CA 2023-Zertifikat der UEFI Secure Boot Signature Database (DB) hinzugefügt wurde. Wenn die Windows UEFI CA 2023 der Datenbank nicht hinzugefügt wurde, schlägt Windows das DBX-Update absichtlich fehl. Dies geschieht, um sicherzustellen, dass das Gerät mindestens einem dieser beiden Zertifikate vertraut, wodurch sichergestellt wird, dass das Gerät Startanwendungen vertraut, die von Microsoft signiert wurden.

Beim Hinzufügen von Microsoft Windows Production PCA 2011 zum DBX werden zwei Überprüfungen durchgeführt, um sicherzustellen, dass das Gerät weiterhin erfolgreich gestartet wird: 1) Stellen Sie sicher, dass Windows UEFI CA 2023 zur Datenbank hinzugefügt wurde, 2) Stellen Sie sicher, dass die Standardstartanwendung nicht vom Microsoft Windows Production PCA 2011-Zertifikat signiert ist.

Informationen zum Ereignisprotokoll

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1797
Pegel:	Fehler
Fehlermeldungstext	Fehler beim Update für den sicheren Start, da das Windows UEFI CA 2023-Zertifikat in der Datenbank nicht vorhanden ist.

Dieses Ereignis wird bei dem Versuch protokolliert, das Microsoft Windows Production PCA 2011-Zertifikat der UEFI-Datenbank für unzulässige Signaturen (Secure Boot Forbidden Signatures, DBX) hinzuzufügen.

Vor dem Hinzufügen dieses Zertifikats zu DBX wird überprüft, ob die Standardstartanwendung nicht vom Microsoft Windows Production PCA 2011-Signaturzertifikat signiert ist. Wenn die Standardstartanwendung vom Microsoft Windows Production PCA 2011-Signaturzertifikat signiert ist, schlägt Windows das DBX-Update absichtlich fehl. 

Beim Hinzufügen von Microsoft Windows Production PCA 2011 zum DBX werden zwei Überprüfungen durchgeführt, um sicherzustellen, dass das Gerät weiterhin erfolgreich gestartet wird: 1) Stellen Sie sicher, dass Windows UEFI CA 2023 zur Datenbank hinzugefügt wurde, 2) Stellen Sie sicher, dass die Standardstartanwendung nicht vom Microsoft Windows Production PCA 2011-Zertifikat signiert ist.

Informationen zum Ereignisprotokoll

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1798
Pegel:	Fehler
Fehlermeldungstext	Fehler beim Dbx-Update für den sicheren Start, da der Start-Manager nicht mit dem Windows UEFI CA 2023-Zertifikat signiert ist.

Dieses Ereignis wird protokolliert, wenn ein Start-Manager auf das System angewendet wird, das vom Windows UEFI CA 2023-Zertifikat signiert ist.

Informationen zum Ereignisprotokoll

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1799
Pegel:	Informationen
Fehlermeldungstext	Der mit Windows UEFI CA 2023 signierte Start-Manager wurde erfolgreich installiert.

Dieses Ereignis wird protokolliert, wenn das System erkennt, dass das Anwenden eines Updates für den sicheren Start im aktuellen Startzyklus zu einem Konflikt mit aktuellen Änderungen führen kann, z. B. ein Boot-Manager-Update oder Updates von Variablen für den sicheren Start auf Geräten, die virtualisierungsbasierte Sicherheit verwenden. Ein Neustart löscht diese Bedingungen, damit das Update sicher fortgesetzt werden kann. In diesem Ereignis kann <Ereignistyp> einer der folgenden Sein: "DB", "DBX", "Policy Update (SKU)", "Windows UEFI CA 2023 (DB)", "Option ROM CA 2023 (DB)", "3P UEFI CA 2023 (DB)", "KEK 2023", "DBX SVN" oder "Revoke UEFI CA 2011 (DBX)".

Informationen zum Ereignisprotokoll

Ereignisprotokoll	System
Ereigniskennung	1800
Pegel:​​​​​​​	Warnung
Ereignismeldungstext	Vor der Installation des Updates für den sicheren Start ist ein Neustart erforderlich: <Ereignistyp>.

Wenn eine Secure Boot Signature Database (DB), eine Datenbank für widerrufene Signaturen (DBX) oder ein KEK-Update (Key Exchange Key) auf die Firmware angewendet wird, gibt die Firmware möglicherweise einen Fehler zurück. Wenn ein Fehler auftritt, wird ein Ereignis protokolliert, und Windows versucht, das Update beim nächsten Systemneustart auf die Firmware anzuwenden.

Handeln Sie

Wenden Sie sich an den Hersteller Ihres Geräts, um festzustellen, ob ein Firmware-Update verfügbar ist.

Informationen zum Ereignisprotokoll

Die Ereignis-ID 1795 wird protokolliert, wenn die Firmware des Geräts einen Fehler meldet. Der Eintrag im Ereignisprotokoll enthält den von der Firmware zurückgegebenen Fehlercode.

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1795
Pegel:	Fehler
Ereignismeldungstext	Die Systemfirmware hat einen Fehler <Firmwarefehlercode> zurückgegeben, wenn versucht wurde, eine Variable für den sicheren Start <DB, DBX oder KEK> zu aktualisieren. Diese Gerätesignaturinformationen sind hier enthalten. DeviceAttributes: <Attribute> BucketId: <eindeutige Gerätebucket-ID> BucketConfidenceLevel: <bucket confidence level> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2169931

Dies ist ein Fehlerereignis, das angibt, dass die aktualisierten Zertifikate nicht auf die Firmware des Geräts angewendet wurden. Dieses Ereignis enthält einige Details zum Gerät, einschließlich Geräteattributen und Gerätebucket-ID, die bei der Korrelation helfen, welche Geräte noch aktualisiert werden müssen.

Informationen zum Ereignisprotokoll

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1801
Pegel:	Fehler
Ereignismeldungstext	Zertifikate für den sicheren Start wurden aktualisiert, aber noch nicht auf die Gerätefirmware angewendet. Lesen Sie die veröffentlichten Anleitungen, um das Update abzuschließen und den vollständigen Schutz sicherzustellen. Diese Gerätesignaturinformationen sind hier enthalten. DeviceAttributes: <Attribute> BucketId: <Bucket-ID> BucketConfidenceLevel: <Konfidenzstufe> UpdateType: <Updatetyp> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2301018.

Dieses Ereignis gibt an, dass das Update für den sicheren Start absichtlich blockiert wurde, da das Gerät einer bekannten Firmware- oder Hardwarebedingung entspricht, die verhindert, dass das Update sicher abgeschlossen wird. Diese Bedingungen basieren auf Problemen, die von Geräteherstellern gemeldet oder durch Microsoft-Tests identifiziert wurden, bei denen die Anwendung des Updates fehlschlägt oder zu schwerwiegenderen Problemen führen könnte. Das Ereignis identifiziert den spezifischen Grund, damit Administratoren verstehen können, warum das Update nicht fortgesetzt wurde. In diesem Ereignis kann <Ereignistyp> einer der folgenden Sein: "DB", "DBX", "Policy Update (SKU)", "Windows UEFI CA 2023 (DB)", "Option ROM CA 2023 (DB)", "3P UEFI CA 2023 (DB)", "KEK 2023", "DBX SVN" oder "Revoke UEFI CA 2011 (DBX)". Details zur <bekannten Problem-ID> und Anleitungen zur Behebung finden Sie unter https://go.microsoft.com/fwlink/?linkid=2339472.

​​​​​​​Informationen zum Ereignisprotokoll

Ereignisprotokoll	System
Ereigniskennung	1802
Pegel:	Fehler
Ereignismeldungstext	Das Update für den sicheren Start <Ereignistyp> wurde aufgrund eines bekannten Firmwareproblems auf dem Gerät blockiert. Wenden Sie sich an Ihren Gerätehersteller, um ein Firmwareupdate zu erhalten, das das Problem behebt. Diese Gerätesignaturinformationen sind hier enthalten. DeviceAttributes: <Attribute> BucketId: <Bucket-ID> BucketConfidenceLevel: <Konfidenzstufe> SkipReason: <bekannte Problem-ID> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2339472

Der sichere Start kann den Schlüsselaustauschschlüssel nur aktualisieren, wenn der KEK vom Plattformschlüssel ordnungsgemäß signiert ist. Gerätehersteller oder andere Besitzer des Plattformschlüssels signieren den Microsoft KEK und stellen diesen signierten KEK für Microsoft bereit, damit er in Windows-Updates enthalten sein kann. Dieses Ereignis bedeutet, dass ein VOM PK signierter KEK für dieses Gerät im kumulativen Update nicht gefunden wurde, sodass das KEK-Update nicht fortgesetzt werden kann. Kunden können sich bei ihrem Gerätehersteller nach der status eines PK-signierten KEK für ihr Modell erkundigen. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2339472.

Ereignisprotokoll	System
Ereigniskennung	1803
Pegel:	Fehler
Ereignismeldungstext	Für dieses Gerät wurde kein mit PK signierter Schlüsselaustauschschlüssel (Key Exchange Key, KEK) gefunden. Wenden Sie sich an den Gerätehersteller, um eine ordnungsgemäße Schlüsselbereitstellung zu finden. Diese Gerätesignaturinformationen sind hier enthalten. DeviceAttributes: <Attribute> BucketId: <Bucket-ID> BucketConfidenceLevel: <Konfidenzniveau> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2339472

Dies ist ein Informationsereignis, das angibt, dass auf dem Gerät die erforderlichen neuen Zertifikate für den sicheren Start auf die Firmware des Geräts angewendet wurden. Dieses Ereignis wird protokolliert, wenn alle erforderlichen Zertifikate auf die Firmware angewendet wurden und der Start-Manager auf den Start-Manager aktualisiert wurde, der vom Zertifikat "Windows UEFI CA 2023" signiert wurde.

​​​​​​​Informationen zum Ereignisprotokoll

Ereignisprotokoll	System
Ereignisquelle	TPM-WMI
Ereigniskennung	1808
Pegel:	Informationen
Ereignismeldungstext	Dieses Gerät verfügt über aktualisierte Sicherheitsstart-ZS/Schlüssel. Diese Gerätesignaturinformationen sind hier enthalten. DeviceAttributes: <Attribute> BucketId: <Bucket-ID> BucketConfidenceLevel: <Konfidenzniveau> UpdateType: <Updatetyp> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2301018.