Kokkuvõte
Windowsi seadmete turvalisuse tagamiseks lisab Microsoft haavatavad alglaadimismoodulid secure Boot DBX-i tühistusloendisse (mida säilitatakse süsteemi UEFI-põhises püsivaras), et muuta haavatavad moodulid kehtetuks. Kui värskendatud DBX-i tühistusloend on seadmesse installitud, kontrollib Windows, kas süsteem on olekus, kus DBX-i värskendust saab püsivarale edukalt rakendada, ja teatab probleemi tuvastamisel sündmuselogi tõrked.
Täiendav teave
Kui seadmes tuvastatakse üks neist haavatavatest moodulitest, luuakse olukorra kohta hoiatus sündmuselogi kirje ja see sisaldab tuvastatud mooduli nime. Sündmuselogi kirje sisaldab üksikasju, mis sarnanevad järgmisega:
Sündmuselogi |
Süsteem |
Sündmuse allikas |
TPM-WMI |
Sündmuse ID |
<sündmuse ID> |
Tase |
Tõrge |
Sündmuseteate tekst |
sõnumiteksti> < |
Sündmuse ID-d
See sündmus logitakse, kui Süsteemidraivil olev BitLocker on konfigureeritud nii, et Turvalise algkäivituse DBX-loendi rakendamine püsivarale põhjustaks BitLockeri taasterežiimi lülitumise. Lahendus on peatada BitLocker ajutiselt 2 taaskäivitustsükliks, et lubada värskenduse installimine.
Tegutsemine
Probleemi lahendamiseks käivitage administraatori käsuviibast järgmine käsk BitLockeri peatamiseks 2 taaskäivitamistsükliks:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Seejärel taaskäivitage seade BitLockeri kaitse jätkamiseks kaks korda.
BitLockeri kaitse jätkamiseks käivitage pärast kahe korra taaskäivitamist järgmine käsk:
-
Manage-bde –Protectors –enable %systemdrive%
Sündmuselogi teave
Sündmuse ID 1032 logitakse, kui BitLockeri konfiguratsioon süsteemikettal põhjustaks süsteemi BitLockeri taastese mineku, kui secure Booti värskendus on rakendatud.
Sündmuselogi |
Süsteem |
Sündmuse allikas |
TPM-WMI |
Sündmuse ID |
1032 |
Tase |
Tõrge |
Sündmuseteate tekst |
Secure Booti värskendust ei rakendatud teadaoleva ühildumatuse tõttu praeguse BitLockeri konfiguratsiooniga. |
Kui värskendatud DBX-i tühistusloend on seadmesse installitud, kontrollib Windows, kas süsteem sõltub seadme käivitamiseks ühest haavatavast moodulist. Kui tuvastatakse üks haavatavatest moodulitest, lükatakse püsivara DBX-loendi värskendus edasi. Süsteemi igal taaskäivitamisel laskub seade uuesti, et teha kindlaks, kas haavatavat moodulit on värskendatud ja kas värskendatud DBX-loendi rakendamine on ohutu.
Tegutsemine
Enamikul juhtudel peaks haavatava mooduli tarnijal olema värskendatud versioon, mis kõrvaldab haavatavuse. Värskenduse saamiseks pöörduge oma tarnija poole.
Sündmuselogi teave
Sündmuse ID 1033 logitakse, kui teie seadmes tuvastatakse haavatav algkäivituslaadur, mille see värskendus on tühistanud.
Sündmuselogi |
Süsteem |
Sündmuse allikas |
TPM-WMI |
Sündmuse ID |
1061 |
Tase |
Tõrge |
Sündmuseteate tekst |
EFI sektsioonis tuvastati potentsiaalselt tühistatud käivitushaldur. Lisateavet leiate teemast https://go.microsoft.com/fwlink/?linkid=2169931 |
Event Data BootMgr |
haavatavate failide> <tee ja nimi |
See sündmus logitakse, kui Secure Boot DBX-muutuja on edukalt värskendatud. DBX-muutujat kasutatakse turbekäivituse komponentide usaldamatuks muutmiseks ja seda kasutatakse tavaliselt haavatavate või pahatahtlike Secure Booti komponentide (nt käivitushaldurite ja sertide) blokeerimiseks, mida kasutatakse käivitushaldurite allkirjastamiseks.
Sündmus 1034 näitab, et püsivarale rakendatakse standardseid DBX-i tühistusi.
Sündmuselogi teave
Sündmuselogi |
Süsteem |
Sündmuse allikas |
TPM-WMI |
Sündmuse ID |
1034 |
Tase |
Teave |
Sündmuseteate tekst |
Secure Boot Dbx-i värskendus on rakendatud |
See sündmus logitakse, kui Secure Boot DB muutujat on edukalt värskendatud. DB muutujat kasutatakse turbekäivituse komponentide usalduse lisamiseks ja seda kasutatakse tavaliselt käivitushaldurite allkirjastamiseks kasutatavate sertide usaldamiseks.
Sündmuselogi teave
Sündmuselogi |
Süsteem |
Sündmuse allikas |
TPM-WMI |
Sündmuse ID |
1036 |
Tase |
Teave |
Sündmuseteate tekst |
Secure Boot Db värskendus on rakendatud |
See sündmus logitakse, kui Microsoft Windows Production PCA 2011 sert lisatakse UEFI turvalise algkäivituse keelatud allkirjade andmebaasi (DBX). Sel juhul ei usaldata seadme käivitamisel enam selle serdiga allkirjastatud algkäivitusrakendusi. See hõlmab kõiki süsteemitaastekandjatega kasutatavaid algkäivitusrakendusi, PXE algkäivitusrakendusi ja muid kandjaid, mis kasutavad selle serdi allkirjastatud käivitusrakendust.
Tõrkelogi teave
Sündmuselogi |
Süsteem |
Sündmuse allikas |
TPM-WMI |
Sündmuse ID |
1037 |
Tase |
Teave |
Tõrketeate tekst |
Secure Boot Dbx värskendus Microsoft Windows Production PCA 2011 tühistamiseks on rakendatud. |
Kui püsivarale on rakendatud värskendatud DBX-i tühistusloend, võib püsivara tagastada tõrke. Tõrke ilmnemisel logitakse sündmus ja Windows proovib DBX-loendit rakendada järgmise süsteemi taaskäivitamise püsivarale.
Tegutsemine
Pöörduge oma seadme tootja poole ja uurige, kas püsivaravärskendus on saadaval.
Sündmuselogi teave
Sündmuse ID 1795 logitakse, kui seadme püsivara tagastab tõrke. Sündmuselogi kirje sisaldab püsivara tagastatud tõrkekoodi.
Sündmuselogi |
Süsteem |
Sündmuse allikas |
TPM-WMI |
Sündmuse ID |
1795 |
Tase |
Tõrge |
Sündmuseteate tekst |
Süsteemi püsivara tagastas turvalise algkäivituse muutuja värskendamise katsel tõrke <püsivara tõrkekoodi> . Lisateavet leiate teemast https://go.microsoft.com/fwlink/?linkid=2169931 |
Kui värskendatud DBX-i tühistusloend on seadmele rakendatud ja ilmneb tõrge, mida ülaltoodud sündmused ei hõlma, logitakse sündmus ja Windows proovib DBX-loendit rakendada järgmise süsteemi taaskäivitamise püsivarale.
Sündmuselogi teave
Sündmuse ID 1796 ilmneb ootamatu tõrke ilmnemisel. Sündmuselogi kirje sisaldab ootamatu tõrke tõrkekoodi.
Sündmuselogi |
Süsteem |
Sündmuse allikas |
TPM-WMI |
Sündmuse ID |
1796 |
Tase |
Tõrge |
Sündmuseteate tekst |
Secure Booti värskendus ei saanud värskendada secure Boot muutujat tõrke <tõrkekoodiga>. Lisateavet leiate teemast https://go.microsoft.com/fwlink/?linkid=2169931 |
See sündmus logitakse katsel lisada Microsoft Windows Production PCA 2011 sert UEFI turvalise algkäivituse keelatud allkirjade andmebaasi (DBX). Enne selle serdi lisamist DBX-ile kontrollitakse, kas Windows UEFI CA 2023 sert on lisatud UEFI turvalise algkäivituse allkirja andmebaasi (DB). Kui Windows UEFI CA 2023 pole DB-sse lisatud, nurjub Windows tahtlikult DBX-i värskenduses. Seda tehakse tagamaks, et seade usaldab vähemalt ühte neist kahest serdidest, mis tagab, et seade usaldab Microsofti allkirjastatud algkäivitusrakendusi. Microsoft Windows Production PCA 2011 lisamisel DBX-i tehakse kaks kontrolli, et tagada seadme õnnestumine: 1) veenduge, et Windows UEFI CA 2023 oleks DB-le lisatud; 2) Veenduge, et Microsoft Windows Production PCA 2011 sert poleks allkirjastanud vaikekäivitusrakendust.
Sündmuselogi teave
Sündmuselogi |
Süsteem |
Sündmuse allikas |
TPM-WMI |
Sündmuse ID |
1797 |
Tase |
Tõrge |
Tõrketeate tekst |
Secure Boot Dbx värskendus ei saanud tühistada Microsoft Windows Production PCA 2011, kuna Windows UEFI CA 2023 serti pole DB-s. |
See sündmus logitakse katsel lisada Microsoft Windows Production PCA 2011 sert UEFI turvalise algkäivituse keelatud allkirjade andmebaasi (DBX). Enne selle serdi lisamist DBX-ile kontrollitakse, kas vaikekäivitusrakendus pole microsoft Windows Production PCA 2011 allkirjastamisserdiga allkirjastatud. Kui vaikekäivitusrakendus on allkirjastatud Microsoft Windows Production PCA 2011 allkirjastamisserdiga, siis Windows tahtlikult DBX-i värskenduse nurjub. Microsoft Windows Production PCA 2011 lisamisel DBX-i tehakse kaks kontrolli, et tagada seadme õnnestumine: 1) veenduge, et Windows UEFI CA 2023 oleks DB-le lisatud; 2) Veenduge, et Microsoft Windows Production PCA 2011 sert poleks allkirjastanud vaikekäivitusrakendust.
Sündmuselogi teave
Sündmuselogi |
Süsteem |
Sündmuse allikas |
TPM-WMI |
Sündmuse ID |
1798 |
Tase |
Tõrge |
Tõrketeate tekst |
Secure Boot Dbx värskendus ei saanud tühistada Microsoft Windows Production PCA 2011, kuna käivitushaldur pole allkirjastatud Windows UEFI CA 2023 serdiga |
See sündmus logitakse, kui Windows UEFI CA 2023 serdi allkirjastatud süsteemile on rakendatud käivitushaldur
Sündmuselogi teave
Sündmuselogi |
Süsteem |
Sündmuse allikas |
TPM-WMI |
Sündmuse ID |
1799 |
Tase |
Teave |
Tõrketeate tekst |
Windows UEFI CA 2023-ga allkirjastatud käivitushaldur on installitud |