Resumen
Para ayudar a proteger los dispositivos Windows, Microsoft agrega módulos vulnerables del cargador de arranque a la lista de revocación DBX de arranque seguro (mantenidos en el firmware basado en UEFI del sistema) para invalidar los módulos vulnerables. Cuando se instala la lista actualizada de revocación de DBX en un dispositivo, Windows comprueba si el sistema se encuentra en un estado en el que la actualización de DBX se puede aplicar correctamente al firmware y notificará los errores del registro de eventos si se detecta un problema.
Más información
Cuando se detecta uno de estos módulos vulnerables en el dispositivo, se crea una entrada del registro de eventos advertencia sobre la situación e incluye el nombre del módulo detectado. La entrada del registro de eventos contiene detalles similares a los siguientes:
Registro de eventos |
Sistema |
Origen del evento |
TPM-WMI |
Id. del evento |
<Event ID number> |
Level |
Error |
Texto del mensaje del evento |
<message text> |
Id. de evento
Este evento se registra cuando BitLocker en la unidad del sistema está configurado de tal manera que aplicar la lista DBX de arranque seguro al firmware provocaría que BitLocker pasara al modo de recuperación. La resolución es suspender BitLocker temporalmente durante dos ciclos de reinicio para permitir la instalación de la actualización.
Tomar medidas
Para resolver este problema, ejecuta el siguiente comando desde un símbolo del sistema del administrador para suspender BitLocker durante dos ciclos de reinicio:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
A continuación, reinicie el dispositivo para reanudar la protección de BitLocker.
Para asegurarte de que se ha reanudado la protección de BitLocker, ejecuta el siguiente comando después de reiniciarlo dos veces:
-
Manage-bde –Protectors –enable %systemdrive%
Información del registro de eventos
Se registrará el id. de evento 1032 cuando la configuración de BitLocker en la unidad del sistema provocara que el sistema pasara a la recuperación de BitLocker si se aplica la actualización de arranque seguro.
Registro de eventos |
Sistema |
Origen del evento |
TPM-WMI |
Id. del evento |
1032 |
Level |
Error |
Texto del mensaje del evento |
La actualización de arranque seguro no se aplicó debido a una incompatibilidad conocida con la configuración actual de BitLocker. |
Cuando se instala la lista actualizada de revocación de DBX en un dispositivo, Windows comprueba si el sistema depende de uno de los módulos vulnerables para iniciar el dispositivo. Si se detecta uno de los módulos vulnerables, la actualización a la lista DBX del firmware se aplaza. Cada vez que se reinicia el sistema, se vuelve a analizar el dispositivo para determinar si se ha actualizado el módulo vulnerable y si es seguro aplicar la lista DBX actualizada.
Tomar medidas
En la mayoría de los casos, el proveedor del módulo vulnerable debe tener una versión actualizada que aborde la vulnerabilidad. Póngase en contacto con su proveedor para obtener la actualización.
Información del registro de eventos
Se registrará el id. de evento 1033 cuando se detecte en el dispositivo un cargador de arranque vulnerable revocado por esta actualización.
Registro de eventos |
Sistema |
Origen del evento |
TPM-WMI |
Id. del evento |
1033 |
Level |
Error |
Texto del mensaje del evento |
Se detectó un administrador de arranque potencialmente revocado en la partición EFI. Para obtener más información, consulte https://go.microsoft.com/fwlink/?linkid=2169931 |
Administrador de arranque de datos de eventos |
<path and name of vulnerable file> |
Este evento se registra cuando la variable DBX de arranque seguro se actualiza correctamente. La variable DBX se usa para desconfiar de los componentes de arranque seguro y, normalmente, se utiliza para bloquear componentes de arranque seguro vulnerables o malintencionados, como administradores de arranque y certificados que se usan para firmar administradores de arranque.
El evento 1034 indica que las revocaciones de DBX estándar se están aplicando al firmware,
Información del registro de eventos
Registro de eventos |
Sistema |
Origen del evento |
TPM-WMI |
Id. del evento |
1034 |
Level |
Information |
Texto del mensaje del evento |
Se ha aplicado correctamente la actualización de DBX de arranque seguro |
Este evento se registra cuando la variable de DB de arranque seguro se actualiza correctamente. La variable DB se usa para demostrar confianza en los componentes de arranque seguro y, normalmente, se utiliza para confiar en los certificados que se usan para firmar los administradores de arranque.
Información del registro de eventos
Registro de eventos |
Sistema |
Origen del evento |
TPM-WMI |
Id. del evento |
1036 |
Level |
Information |
Texto del mensaje del evento |
Se ha aplicado correctamente la actualización de DB de arranque seguro |
Este evento se registra cuando el certificado Microsoft Windows Production PCA 2011 se agrega a la base de datos de firmas prohibidas de arranque seguro de UEFI (DBX). Cuando esto ocurre, las aplicaciones de arranque firmadas con este certificado dejarán de ser de confianza al iniciar el dispositivo. Esto incluye cualquier aplicación de arranque que se use con medios de recuperación del sistema, aplicaciones de arranque PXE y cualquier otro medio que use una aplicación de arranque firmada por este certificado.
Información del registro de errores
Registro de eventos |
Sistema |
Origen del evento |
TPM-WMI |
Id. del evento |
1037 |
Level |
Information |
Texto del mensaje de error |
La actualización de DBX de arranque seguro para revocar Microsoft Windows Production PCA 2011 se aplicó correctamente. |
Cuando se aplica al firmware la lista de revocación DBX actualizada, el firmware puede devolver un error. Cuando se produce un error, se registra un evento y Windows intentará aplicar la lista DBX al firmware en el próximo reinicio del sistema.
Tomar medidas
Póngase en contacto con el fabricante del dispositivo Bluetooth para ver si existe una actualización para el dispositivo.
Información del registro de eventos
El id. de evento 1795 se registrará cuando el firmware del dispositivo devuelva un error. La entrada del registro de eventos incluirá el código de error devuelto por el firmware.
Registro de eventos |
Sistema |
Origen del evento |
TPM-WMI |
Id. del evento |
1795 |
Level |
Error |
Texto del mensaje del evento |
El firmware del sistema devolvió un error <código de error de firmware> al intentar actualizar una variable de arranque seguro. Para más información, consulte https://go.microsoft.com/fwlink/?linkid=2169931 |
Cuando se aplica la lista de revocación de DBX actualizada a un dispositivo y se produce un error que no está cubierto por los eventos anteriores, se registra un evento y Windows intentará aplicar la lista DBX al firmware en el próximo reinicio del sistema.
Información del registro de eventos
El id. de evento 1796 se produce cuando se encuentra un error inesperado. La entrada del registro de eventos incluirá el código de error del error inesperado.
Registro de eventos |
Sistema |
Origen del evento |
TPM-WMI |
Id. del evento |
1796 |
Level |
Error |
Texto del mensaje del evento |
La actualización de arranque seguro no pudo actualizar una variable de arranque seguro con error <código de error>. Para más información, consulte https://go.microsoft.com/fwlink/?linkid=2169931 |
Este evento se registra durante un intento de agregar el certificado Microsoft Windows Production PCA 2011 a la base de datos de firmas prohibidas de arranque seguro UEFI (DBX). Antes de agregar este certificado a DBX, se realiza una comprobación para asegurarse de que el certificado Windows UEFI CA 2023 se ha agregado a la base de datos de firmas de arranque seguro de UEFI (DB). Si Windows UEFI CA 2023 no se ha agregado a la DB, Windows producirá un error intencionado en la actualización de DBX. Esto se hace para asegurarse de que el dispositivo confía al menos en uno de estos dos certificados, lo que garantiza que el dispositivo confiará en las aplicaciones de arranque firmadas por Microsoft. Al agregar el certificado Microsoft Windows Production PCA 2011 a la DBX, se realizan dos comprobaciones para asegurarse de que el dispositivo continúa arrancando correctamente: 1) se garantiza que Windows UEFI CA 2023 se haya agregado a la base de datos, 2) se garantiza que la aplicación de arranque predeterminada no esté firmada por el certificado Microsoft Windows Production PCA 2011.
Información del registro de eventos
Registro de eventos |
Sistema |
Origen del evento |
TPM-WMI |
Id. del evento |
1797 |
Level |
Error |
Texto del mensaje de error |
La actualización de DBX de arranque seguro no pudo revocar Microsoft Windows Production PCA 2011 porque el certificado Windows UEFI CA 2023 no está en DB. |
Este evento se registra durante un intento de agregar el certificado Microsoft Windows Production PCA 2011 a la base de datos de firmas prohibidas de arranque seguro UEFI (DBX). Antes de agregar este certificado a DBX, se realiza una comprobación para asegurarse de que la aplicación de arranque predeterminada no esté firmada por el certificado de firma Microsoft Windows Production PCA 2011. Si la aplicación de arranque predeterminada está firmada por el certificado de firma Microsoft Windows Production PCA 2011, Windows producirá un error intencionado en la actualización de DBX. Al agregar el certificado Microsoft Windows Production PCA 2011 a la DBX, se realizan dos comprobaciones para asegurarse de que el dispositivo continúa arrancando correctamente: 1) se garantiza que Windows UEFI CA 2023 se haya agregado a la base de datos, 2) se garantiza que la aplicación de arranque predeterminada no esté firmada por el certificado Microsoft Windows Production PCA 2011.
Información del registro de eventos
Registro de eventos |
Sistema |
Origen del evento |
TPM-WMI |
Id. del evento |
1798 |
Level |
Error |
Texto del mensaje de error |
La actualización de DBX de arranque seguro no pudo revocar Microsoft Windows Production PCA 2011 porque el administrador de arranque no está firmado con el certificado Windows UEFI CA 2023 |
Este evento se registra cuando se aplica un administrador de arranque al sistema firmado por el certificado Windows UEFI CA 2023
Información del registro de eventos
Registro de eventos |
Sistema |
Origen del evento |
TPM-WMI |
Id. del evento |
1799 |
Level |
Information |
Texto del mensaje de error |
El administrador de arranque firmado con Windows UEFI CA 2023 se instaló correctamente |