סיכום
כדי לסייע בשמירה על אבטחת מכשירי Windows, Microsoft מוסיפה מודולי bootloader פגיעים לרשימת הביטול של אתחול מאובטח של DBX (שמורה בקושחה מבוססת-UEFI של המערכת) כדי לבטל את התוקף של המודולים הפגיעים. כאשר רשימת הביטול המעודכנת של DBX מותקנת במכשיר, Windows בודק אם המערכת נמצאת במצב שבו ניתן להחיל בהצלחה את עדכון DBX על הקושחה וידווח על שגיאות ביומן האירועים אם זוהתה בעיה.
מידע נוסף
כאשר אחד מה במודולים פגיעים אלה מזוהה במכשיר, ערך יומן אירועים נוצר אזהרה לגבי המצב וכולל את שם המודול שזוהה. ערך יומן האירועים מכיל פרטים הדומים להודעה הבאה:
יומן אירועים |
מערכת |
מקור האירוע |
TPM-WMI |
מזהה האירוע |
<מזהה אירוע> |
רמה |
שגיאה |
טקסט הודעת אירוע |
<טקסט של> |
מזהה אירוע
אירוע זה נרשם כאשר BitLocker בכונן המערכת מוגדר באופן שיחול רשימת DBX של אתחול מאובטח על הקושחה יגרום ל- BitLocker לעבור למצב שחזור. הפתרון הוא להשעות את BitLocker באופן זמני למשך 2 מחזורי הפעלה מחדש כדי לאפשר את התקנת העדכון.
בצע פעולה
כדי לפתור בעיה זו, הפעל את הפקודה הבאה משורת פקודה של מנהל מערכת כדי להשעות את BitLocker למשך 2 מחזורי הפעלה מחדש:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
לאחר מכן, הפעל מחדש את המכשיר פעמיים כדי לחדש את ההגנה של BitLocker.
כדי לוודא שהגנת BitLocker חודשה, הפעל את הפקודה הבאה לאחר הפעלה מחדש פעמיים:
-
Manage-bde –Protectors –enable %systemdrive%
פרטי יומן אירועים
מזהה אירוע 1032 יירשם כאשר התצורה של BitLocker בכונן המערכת תגרום למערכת לעבור לשחזור של BitLocker אם עדכון האתחול המאובטח יוחל.
יומן אירועים |
מערכת |
מקור האירוע |
TPM-WMI |
מזהה האירוע |
1032 |
רמה |
שגיאה |
טקסט הודעת אירוע |
עדכון האתחול המאובטח לא הוחל עקב חוסר תאימות ידוע עם התצורה הנוכחית של BitLocker. |
כאשר רשימת הביטול המעודכנת של DBX מותקנת במכשיר, Windows בודק אם המערכת תלויה באחד המודולים הפגיעים כדי להפעיל את המכשיר. אם זוהה אחד מה במודולים הפגיעים, העדכון לרשימת ה- DBX בקושחה נדחה. בכל הפעלה מחדש של המערכת, ההתקן נסרק מחדש כדי לקבוע אם המודול החשוף עודכן ואם בטוח להחיל את רשימת DBX המעודכנת.
בצע פעולה
ברוב המקרים, לספק המודול הפגיע צריכה להיות גירסה מעודכנת שמונעת את הפגיעות. פנה לספק שלך כדי לקבל את העדכון.
פרטי יומן אירועים
מזהה אירוע 1033 יירשם כאשר טוען אתחול פגיע שבוטל על-ידי עדכון זה מזוהה במכשיר שלך.
יומן אירועים |
מערכת |
מקור האירוע |
TPM-WMI |
מזהה האירוע |
1033 |
רמה |
שגיאה |
טקסט הודעת אירוע |
זוהה מנהל אתחול שעלול להיות בוטל במחיצת EFI. לקבלת מידע נוסף, ראה https://go.microsoft.com/fwlink/?linkid=2169931 |
BootMgr של נתוני אירוע |
<ושם קובץ פגיעים> |
אירוע זה נרשם כאשר משתנה DBX של אתחול מאובטח מתעדכן בהצלחה. המשתנה DBX משמש לאי-אמון ברכיבי אתחול מאובטח והוא משמש בדרך כלל לחסימת רכיבים פגיעים או זדוניים של אתחול מאובטח, כגון מנהלי אתחול ואישורים המשמשים לחתום על מנהלי אתחול.
אירוע 1034 מציין שההתבטלות הסטנדרטית של DBX מוחלת על הקושחה,
פרטי יומן אירועים
יומן אירועים |
מערכת |
מקור האירוע |
TPM-WMI |
מזהה האירוע |
1034 |
רמה |
סמל מידע |
טקסט הודעת אירוע |
עדכון Dbx של אתחול מאובטח הוחל בהצלחה |
אירוע זה נרשם כאשר המשתנה Secure Boot DB מתעדכן בהצלחה. המשתנה DB משמש להוספת אמון עבור רכיבי אתחול מאובטח והוא משמש בדרך כלל לאימון אישורים המשמשים להוספת חתימה למנהלי אתחול.
פרטי יומן אירועים
יומן אירועים |
מערכת |
מקור האירוע |
TPM-WMI |
מזהה האירוע |
1036 |
רמה |
סמל מידע |
טקסט הודעת אירוע |
עדכון מסד נתונים של אתחול מאובטח הוחל בהצלחה |
אירוע זה נרשם כאשר אישור Microsoft Windows Production PCA 2011 נוסף למסד הנתונים של חתימות אסורות של אתחול מאובטח של UEFI (DBX). כאשר הדבר מתרחש, כל יישומי האתחול החתמו באמצעות אישור זה לא יהיו מהימנים עוד בעת הפעלת המכשיר. הדבר כולל את כל יישומי האתחול המשמשים עם מדיית שחזור מערכת, יישומי אתחול PXE וכל מדיה אחרת המשתמשת ביישום אתחול החתום על-ידי אישור זה.
מידע אודות יומן שגיאות
יומן אירועים |
מערכת |
מקור האירוע |
TPM-WMI |
מזהה האירוע |
1037 |
רמה |
סמל מידע |
טקסט הודעת שגיאה |
עדכון Dbx לאתחול מאובטח כדי לבטל את תוקף Microsoft Windows Production PCA 2011 הוחל בהצלחה. |
כאשר רשימת הביטולים המעודכנת של DBX מוחלת על הקושחה, הקושחה עשויה להחזיר שגיאה. כאשר מתרחשת שגיאה, אירוע נרשם ו- Windows ינסה להחיל את רשימת ה- DBX על הקושחה בהפעלה מחדש הבאה של המערכת.
בצע פעולה
פנה ליצרן המכשיר כדי לקבוע אם קיים עדכון קושחה זמין.
פרטי יומן אירועים
מזהה אירוע 1795 יירשם כאשר הקושחה במכשיר מחזירה שגיאה. ערך יומן האירועים יכלול את קוד השגיאה המוחזר מה הקושחה.
יומן אירועים |
מערכת |
מקור האירוע |
TPM-WMI |
מזהה האירוע |
1795 |
רמה |
שגיאה |
טקסט הודעת אירוע |
קושחת המערכת החזירה שגיאה<קוד שגיאת קושחה> בעת ניסיון לעדכן משתנה אתחול מאובטח. לקבלת מידע נוסף, ראה https://go.microsoft.com/fwlink/?linkid=2169931 |
כאשר רשימת הביטולים המעודכנת של DBX מוחלת על מכשיר, מתרחשת שגיאה שאינו מכוסה על-ידי האירועים לעיל, נרשם אירוע ו- Windows ינסה להחיל את רשימת DBX על הקושחה בהפעלה מחדש הבאה של המערכת.
פרטי יומן אירועים
מזהה אירוע 1796 מתרחש כאשר מתרחשת שגיאה בלתי צפויה. ערך יומן האירועים יכלול את קוד השגיאה עבור השגיאה הבלתי צפויה.
יומן אירועים |
מערכת |
מקור האירוע |
TPM-WMI |
מזהה האירוע |
1796 |
רמה |
שגיאה |
טקסט הודעת אירוע |
עדכון האתחול המאובטח לא הצליח לעדכן משתנה אתחול מאובטח עם <קוד שגיאה>. לקבלת מידע נוסף, ראה https://go.microsoft.com/fwlink/?linkid=2169931 |
אירוע זה נרשם במהלך ניסיון להוסיף את אישור Microsoft Windows Production PCA 2011 למסד הנתונים של חתימות אסורות של אתחול מאובטח של UEFI (DBX). לפני הוספת אישור זה ל- DBX, נדרשת בדיקה כדי להבטיח שאישור Windows UEFI CA 2023 נוסף למסד הנתונים של חתימת האתחול המאובטח של UEFI (DB). אם Windows UEFI CA 2023 לא נוסף ל- DB, Windows ייכשל במכוון בעדכון DBX. פעולה זו מתבצעת כדי להבטיח שהמכשיר נותן אמון לפחות באחד משני אישורים אלה, פעולה המבטיחה שהמכשיר נותן אמון ביישומי אתחול החתומיים על-ידי Microsoft. בעת הוספת Microsoft Windows Production PCA 2011 ל- DBX, בוצעו שתי הפעולות כדי להבטיח שהמכשיר ימשיך לבצע אתחול בהצלחה: 1) ודא ש- Windows UEFI CA 2023 נוסף ל- DB, 2) ודא כי יישום האתחול המהווה ברירת מחדל אינו חתום על-ידי אישור Microsoft Windows Production PCA 2011.
פרטי יומן אירועים
יומן אירועים |
מערכת |
מקור האירוע |
TPM-WMI |
מזהה האירוע |
1797 |
רמה |
שגיאה |
טקסט הודעת שגיאה |
עדכון Secure Boot Dbx לא הצליח לבטל את תוקף Microsoft Windows Production PCA 2011 מאחר שאישור Windows UEFI CA 2023 אינו קיים במסד הנתונים. |
אירוע זה נרשם במהלך ניסיון להוסיף את אישור Microsoft Windows Production PCA 2011 למסד הנתונים של חתימות אסורות של אתחול מאובטח של UEFI (DBX). לפני הוספת אישור זה ל- DBX, מתבצעת בדיקה כדי להבטיח כי יישום האתחול המוגדר כברירת מחדל אינו חתום על-ידי אישור החתימה של Microsoft Windows Production PCA 2011. אם יישום האתחול המוגדר כברירת מחדל נחתם על-ידי אישור החתימה של Microsoft Windows Production PCA 2011, Windows ייכשל במכוון בעדכון DBX. בעת הוספת Microsoft Windows Production PCA 2011 ל- DBX, בוצעו שתי הפעולות כדי להבטיח שהמכשיר ימשיך לבצע אתחול בהצלחה: 1) ודא ש- Windows UEFI CA 2023 נוסף ל- DB, 2) ודא כי יישום האתחול המהווה ברירת מחדל אינו חתום על-ידי אישור Microsoft Windows Production PCA 2011.
פרטי יומן אירועים
יומן אירועים |
מערכת |
מקור האירוע |
TPM-WMI |
מזהה האירוע |
1798 |
רמה |
שגיאה |
טקסט הודעת שגיאה |
עדכון Secure Boot Dbx לא הצליח לבטל את תוקף Microsoft Windows Production PCA 2011 כמנהל אתחול אינו חתום עם אישור Windows UEFI CA 2023 |
אירוע זה נרשם כאשר מנהל אתחול מוחל על המערכת החתומות על-ידי אישור Windows UEFI CA 2023
פרטי יומן אירועים
יומן אירועים |
מערכת |
מקור האירוע |
TPM-WMI |
מזהה האירוע |
1799 |
רמה |
סמל מידע |
טקסט הודעת שגיאה |
מנהל האתחול חתום עם Windows UEFI CA 2023 הותקן בהצלחה |