Microsofti juhised Secure Boot DBX-värskenduse (KB4575994) rakendamiseks

DBX-värskenduse rakendamine Windowsis

Kui olete eelmises jaotises hoiatused läbi lugenud ja veendunud, et teie seade ühildub, tehke secure Boot DBX-i värskendamiseks järgmist.

1. Laadige sellelt UEFI-liidese veebilehelt alla oma platvormi jaoks sobiv UEFI tühistusloendi fail (Dbxupdate.bin).

2. Nende rakendamiseks PowerShelli cmdlet-käskude abil peate faili Dbxupdate.bin tükeldama vajalikeks komponentideks. Selleks toimige järgmiselt.

   1. Laadige PowerShelli skript sellelt PowerShelli galerii veebilehelt alla.

   2. Skripti leidmiseks käivitage järgmine cmdlet-käsk:

      • Get-InstalledScript - nimi SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Veenduge, et cmdlet-käsk laadiks skripti alla ja esitaks väljundi üksikasjad (sh Nimi, Versioon, Autor, AvaldatudKuupäev, InstalledDate ja InstalledLocation).

   4. Käivitage järgmised cmdlet-käsud:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

   5. Veenduge, et SplitDbxContent.ps1 fail oleks nüüd kaustas Skriptid.

   6. Käivitage failis Dbxupdate.bin järgmine PowerShelli skript:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Veenduge, et käsk oleks loonud järgmised failid.

      

      • Content.bin – sisu värskendamine

      • Signature.p7 – signatuuride autoriseerimine värskendusprotsessis

3. Käivitage PowerShelli haldusseansis DBX-värskenduse rakendamiseks cmdlet-käsk Set-SecureBootUefi :
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   Oodatav väljundi
   
   

4. Värskenduse installiprotsessi lõpuleviimiseks taaskäivitage seade.

Secure Booti konfiguratsiooni cmdlet-käsu ja selle DBX-värskenduste jaoks kasutamise kohta leiate lisateavet teemast Set-Secure.

Värskenduse õnnestumise kontrollimine  

Kui olete eelmises jaotises toodud juhised edukalt lõpule viinud ja seadme taaskäivitanud, järgige neid juhiseid, et kontrollida, kas värskendus on edukalt rakendatud. Pärast edukat kontrollimist ei mõjuta GRUB haavatavus enam teie seadet.

1. Laadige sellelt GitHubi Gist-i veebisaidilt alla DBX-i värskenduste kontrollimise skriptid.

2. Ekstraktige tihendatud failist skriptid ja kahendfailid.

3. DBX-i värskenduse kontrollimiseks käivitage järgmine PowerShelli skript kaustas, mis sisaldab laiendatud skripte ja kahendfaile:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Märkus. Kui selle tühistatud loendi failiarhiivi 2020. aasta juuli või oktoobri 2020 versioonile vastav DBX-värskendus on rakendatud, käivitage selle asemel järgmine sobiv käsk:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. Veenduge, et väljund vastaks oodatud tulemile.
   
   

KKK

K1: Mida tähendab tõrketeade "Get-SecureBootUEFI: cmdlet-käsud, mida sellel platvormil ei toetata"?

A1: See tõrketeade näitab, et arvutis on lubatud turvalise käivitamise funktsioon NO. Seetõttu ei mõjuta seda seadet GRUB haavatavus. Rohkem pole vaja midagi ette võtta.

K2: Kuidas konfigureerida seadet usaldama või mitte usaldama kolmanda osapoole UEFI CA-d? 

A2: Soovitame teil konsulteerida oma OEM-i tarnijaga. 

Microsoft Surface'i korral määrake sätte Secure Boot väärtuseks "Ainult Microsoft" ja seejärel käivitage järgmine PowerShelli käsk (tulem peaks olema "False"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Lisateavet Microsoft Surface'i jaoks konfigureerimise kohta leiate teemast Surface'i UEFI-liidese sätete haldamine – Surface | Microsoft Docs.

Küsimus. Kas see probleem mõjutab Azure IaaS-i põlvkonna 1. ja 2. põlvkonna virtuaalarvutiid? 

A3: Ei. Azure'i külalisvirtuaalarvutid Gen1 ja Gen2 ei toeta turvalise algkäivituse funktsiooni. Seetõttu ei mõjuta usaldusrünne neid. 

Kv4: Kas ADV200011 ja CVE-2020-0689 viitavad samale nõrkusele, mis on seotud Secure Bootiga? 

A: Ei. Need turbenõustajad kirjeldavad erinevaid nõrkusi. "ADV200011" viitab GRUB -i nõrkusele (Linuxi komponent), mis võib põhjustada Secure Booti möödumise. "CVE-2020-0689" viitab turbefunktsiooni möödumise nõrkusele, mis on secure Bootis olemas. 

K5: Ma ei saa käitada ühtegi PowerShelli skripti. Mida peaksin tegema?

A: PowerShelli käivituspoliitika kontrollimiseks käivitage käsk Get-ExecutionPolicy . Olenevalt väljundist peate võib-olla käivituspoliitikat värskendama.

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs