Οδηγίες της Microsoft για την εφαρμογή της ενημέρωσης DBX ασφαλούς εκκίνησης (KB4575994)

Εφαρμογή ενημέρωσης DBX στα Windows

Αφού διαβάσετε τις προειδοποιήσεις στην προηγούμενη ενότητα και επαληθεύσετε ότι η συσκευή σας είναι συμβατή, ακολουθήστε αυτά τα βήματα για να ενημερώσετε το Secure Boot DBX:

1. Πραγματοποιήστε λήψη του κατάλληλου αρχείου λίστας ανάκλησης UEFI (Dbxupdate.bin) για την πλατφόρμα σας από αυτήν την ιστοσελίδα του UEFI.

2. Πρέπει να διαιρέσετε το αρχείο Dbxupdate.bin στα απαραίτητα στοιχεία για να τα εφαρμόσετε χρησιμοποιώντας cmdlet του PowerShell. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:

   1. Κάντε λήψη της δέσμης ενεργειών του PowerShell από αυτήν την ιστοσελίδα της Συλλογής PowerShell.

   2. Για να εντοπίσετε τη δέσμη ενεργειών, εκτελέστε το ακόλουθο cmdlet:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Βεβαιωθείτε ότι το cmdlet πραγματοποιεί επιτυχή λήψη της δέσμης ενεργειών και παρέχει λεπτομέρειες εξόδου, όπως Όνομα, Έκδοση, Συντάκτης, Δημοσιευμένη ημερομηνία, ΕγκατεστημένηΗμερομηνία και Εγκατεστημένη τοποθεσία.

   4. Εκτελέστε τα ακόλουθα cmdlet:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

   5. Βεβαιωθείτε ότι το αρχείο SplitDbxContent.ps1 βρίσκεται τώρα στο φάκελο Δέσμες ενεργειών.

   6. Εκτελέστε την ακόλουθη δέσμη ενεργειών του PowerShell στο αρχείο Dbxupdate.bin:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Βεβαιωθείτε ότι η εντολή δημιούργησε τα ακόλουθα αρχεία.

      

      • Content.bin – ενημέρωση περιεχομένων

      • Υπογραφή.p7 – υπογραφή που εξουσιοδοτεί τη διαδικασία ενημέρωσης

3. Σε μια περίοδο λειτουργίας PowerShell διαχείρισης, εκτελέστε το cmdlet Set-SecureBootUefi για να εφαρμόσετε την ενημέρωση DBX:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   Αναμενόμενη εξόδου
   
   

4. Για να ολοκληρώσετε τη διαδικασία εγκατάστασης της ενημέρωσης, επανεκκινήστε τη συσκευή.

Για περισσότερες πληροφορίες σχετικά με το cmdlet ρύθμισης παραμέτρων Ασφαλούς εκκίνησης και τον τρόπο χρήσης του για ενημερώσεις DBX, ανατρέξτε στο θέμα Set-Secure.

Επαλήθευση ότι η ενημέρωση ολοκληρώθηκε με επιτυχία  

Αφού ολοκληρώσετε με επιτυχία τα βήματα στην προηγούμενη ενότητα και επανεκκινήσετε τη συσκευή, ακολουθήστε αυτά τα βήματα για να επαληθεύσετε ότι η ενημέρωση εφαρμόστηκε με επιτυχία. Μετά την επιτυχή επαλήθευση, η συσκευή σας δεν θα επηρεάζεται πλέον από την ευπάθεια GRUB.

1. Κατεβάστε τις δέσμες ενεργειών επαλήθευσης ενημερώσεων DBX από αυτήν την ιστοσελίδα GitHub Gist.

2. Εξαγάγετε τις δέσμες ενεργειών και τα δυαδικά αρχεία από το συμπιεσμένο αρχείο.

3. Εκτελέστε την ακόλουθη δέσμη ενεργειών του PowerShell μέσα στο φάκελο που περιέχει τις αναπτυγμένες δέσμες ενεργειών και δυαδικά αρχεία για να επαληθεύσετε την ενημέρωση DBX:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Σημείωση: Αν έχει εφαρμοστεί μια ενημέρωση DBX που αντιστοιχεί στις εκδόσεις Ιουλίου 2020 ή Οκτωβρίου 2020 από αυτήν την αρχειοθήκη αρχείων λίστας ανάκλησης , εκτελέστε την ακόλουθη κατάλληλη εντολή:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. Βεβαιωθείτε ότι το αποτέλεσμα συμφωνεί με το αναμενόμενο αποτέλεσμα.
   
   

Συχνές ερωτήσεις

Ε1: Τι σημαίνει το μήνυμα σφάλματος "Get-SecureBootUEFI: Cmdlets not supported on this platform" (Τα cmdlet δεν υποστηρίζονται σε αυτήν την πλατφόρμα) σημαίνουν;

A1: Αυτό το μήνυμα σφάλματος υποδεικνύει ότι δεν έχει ενεργοποιηθεί η δυνατότητα Ασφαλούς εκκίνησης στον υπολογιστή. Επομένως, αυτή η συσκευή ΔΕΝ επηρεάζεται από την ευπάθεια GRUB. Δεν απαιτείται καμία περαιτέρω ενέργεια.

Ε2: Πώς γίνεται ρυθμίσετε τις παραμέτρους της συσκευής ώστε να εμπιστεύεται ή να μην εμπιστεύεται το UEFI CA τρίτου κατασκευαστή; 

A2: Συνιστάται να συμβουλευτείτε τον προμηθευτή του OEM. 

Για το Microsoft Surface, αλλάξτε τη ρύθμιση Ασφαλούς εκκίνησης σε "Μόνο microsoft" και, στη συνέχεια, εκτελέστε την ακόλουθη εντολή PowerShell (το αποτέλεσμα θα πρέπει να είναι "False"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Για περισσότερες πληροφορίες σχετικά με τον τρόπο ρύθμισης παραμέτρων για το Microsoft Surface, ανατρέξτε στο θέμα Διαχείριση ρυθμίσεων Surface UEFI - Surface | Microsoft Docs.

Ε3: Αυτό το πρόβλημα επηρεάζει τις εικονικές μηχανές Γενιάς 1 και Γενιάς 2 του Azure IaaS; 

A3: Όχι. Οι φιλοξενούμενες εικονικές μηχανές Azure Gen1 και Gen2 δεν υποστηρίζουν τη δυνατότητα Ασφαλούς εκκίνησης. Ως εκ τούτου, δεν επηρεάζονται από την αλυσίδα της επίθεσης εμπιστοσύνης. 

Ε4: Οι ADV200011 και CVE-2020-0689 αναφέρονται στην ίδια ευπάθεια που σχετίζεται με την Ασφαλή εκκίνηση; 

A: Όχι. Αυτές οι προειδοποιήσεις ασφαλείας περιγράφουν διαφορετικές ευπάθειες. Το "ADV200011" αναφέρεται σε μια ευπάθεια στο GRUB (στοιχείο Linux) που θα μπορούσε να προκαλέσει παράκαμψη Ασφαλούς εκκίνησης. Το "CVE-2020-0689" αναφέρεται σε μια ευπάθεια παράκαμψης δυνατοτήτων ασφαλείας που υπάρχει στην Ασφαλή εκκίνηση. 

Ε5: Δεν μπορώ να εκτελέσω καμία από τις δέσμες ενεργειών του PowerShell. Τι πρέπει να κάνω;

A: Επαληθεύστε την πολιτική εκτέλεσης του PowerShell εκτελώντας την εντολή Get-ExecutionPolicy . Ανάλογα με το αποτέλεσμα, ίσως χρειαστεί να ενημερώσετε την πολιτική εκτέλεσης:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs