Microsoftin ohjeet suojatun käynnistyksen DBX-päivityksen (KB4575994) käyttöön

DBX-päivityksen lisääminen Windowsissa

Kun olet lukenut edellisen osan varoitukset ja varmistanut, että laitteesi on yhteensopiva, päivitä suojattu käynnistys DBX seuraavasti:

1. Lataa sopiva UEFI-kumousluettelotiedosto (Dbxupdate.bin) alustallesi tältä UEFI-verkkosivulta.

2. Sinun on jaettava Dbxupdate.bin-tiedosto tarvittaviin komponentteihin, jotta voit käyttää niitä PowerShellin cmdlet-komennoilla. Voit tehdä tämän seuraavasti:

   1. Lataa PowerShell-komentosarja tältä PowerShell Gallery -verkkosivulta.

   2. Voit etsiä komentosarjan suorittamalla seuraavan cmdlet-komennon:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Varmista, että cmdlet-komento lataa komentosarjan onnistuneesti ja antaa tulostiedot, kuten Nimi, Versio, Tekijä, JulkaistuPäivämäärä, InstalledDate ja InstalledLocation.

   4. Suorita seuraavat cmdlet-komennot:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

   5. Varmista, että SplitDbxContent.ps1 tiedosto on nyt Komentosarjat-kansiossa.

   6. Suorita seuraava PowerShell-komentosarja Dbxupdate.bin-tiedostossa:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Varmista, että komento on luonut seuraavat tiedostot.

      

      • Content.bin – päivitä sisältö

      • Signature.p7 – päivitysprosessin valtuuttava allekirjoitus

3. Ota DBX-päivitys käyttöön suorittamalla Järjestelmänvalvojan PowerShell-istunnossa Set-SecureBootUefi-cmdlet-komento :
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   Odotettu tulos
   
   

4. Viimeistele päivityksen asennusprosessi käynnistämällä laite uudelleen.

Lisätietoja suojatun käynnistyksen määritysten cmdlet-komennosta ja sen käyttämisestä DBX-päivityksissä on kohdassa Set-Secure.

Päivityksen onnistumisen tarkistaminen  

Kun olet suorittanut edellisen osan vaiheet ja käynnistänyt laitteen uudelleen, varmista seuraavien ohjeiden avulla, että päivitys on otettu onnistuneesti käyttöön. Onnistuneen tarkistamisen jälkeen GRUB-haavoittuvuus ei enää vaikuta laitteeseesi.

1. Lataa DBX-päivityksen tarkistuskomentosarjat tältä GitHub Gist -verkkosivulta.

2. Pura komentosarjat ja binaaritiedostot pakatusta tiedostosta.

3. Tarkista DBX-päivitys suorittamalla seuraava PowerShell-komentosarja kansiossa, joka sisältää laajennetut komentosarjat ja binaaritiedostot:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Huomautus: Jos DBX-päivitys, joka vastaa tämän kumousluettelon tiedostoarkiston heinäkuun 2020 tai lokakuun 2020 versioita, on otettu käyttöön, suorita sen sijaan seuraava asianmukainen komento:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-lokakuu.bin' 

4. Varmista, että tulos vastaa odotettua tulosta.
   
   

UKK

Q1: Mitä tarkoittaa virhesanoma Get-SecureBootUEFI: Cmdlets not supported on this platform?

A1: Tämä virhesanoma ilmaisee, että tietokoneessa ei ole suojattua käynnistystoimintoa. Siksi GRUB-haavoittuvuus ei vaikuta tähän laitteeseen. Lisätoimia ei tarvita.

Q2: Ohjevalikko määrittää laitteen luottamaan kolmannen osapuolen UEFI CA:han tai olemaan luottamatta siihen? 

A2: Suosittelemme, että otat yhteyttä alkuperäiseen laitevalmistajan toimittajaan. 

Jos käytössäsi on Microsoft Surface, muuta suojatun käynnistyksen asetukseksi Vain Microsoft ja suorita sitten seuraava PowerShell-komento (tuloksena pitäisi olla Epätosi): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Lisätietoja Microsoft Surfacen määrittämisestä on ohjeaiheessa Surface UEFI -asetusten hallinta – Surface | Microsoft Docs.

Q3: Vaikuttaako tämä ongelma Azure IaaS Generation 1- ja Generation 2 -virtuaalikoneisiin? 

A3: Ei. Azuren vierasvirtuaalikoneet Gen1 ja Gen2 eivät tue suojatun käynnistyksen ominaisuutta. Siksi luottamushyökkäys ei vaikuta heihin. 

Q4: Viittaavatko ADV200011 ja CVE-2020-0689 samaan suojattuun käynnistykseen liittyvään haavoittuvuuteen? 

A: Ei. Nämä suojaustiedotteet kuvaavat erilaisia tietoturva-aukkoja. "ADV200011" viittaa GRUB:n (Linux-komponentti) haavoittuvuuteen, joka voi aiheuttaa suojatun käynnistyksen ohituksen. CVE-2020-0689 viittaa suojatun käynnistyksen tietoturvaominaisuuden ohitushaavoittuvuuteen. 

Q5: En voi suorittaa kumpaakaan PowerShell-komentosarjaa. Mitä minun pitäisi tehdä?

A: Vahvista PowerShellin suorituskäytäntö suorittamalla Get-ExecutionPolicy-komento . Suorituskäytännön päivittäminen voi olla tarpeen tulostesta riippuen:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs