Összefoglalás
A Windows-eszközök biztonságának megőrzése érdekében a Microsoft sebezhető bootloader modulokat ad hozzá a Biztonságos rendszerindítási DBX visszavonási listához (a rendszer UEFI-alapú belső vezérlőprogramja kezeli), hogy érvénytelenítse a sebezhető modulokat. Amikor a frissített DBX visszavonási lista telepítve van egy eszközön, a Windows ellenőrzi, hogy a rendszer olyan állapotban van-e, amelyben a DBX-frissítés sikeresen alkalmazható a belső vezérlőprogramra, és hiba észlelése esetén eseménynapló-hibákat jelez.
További információ
Ha ezen sebezhető modulok valamelyikét észleli az eszközön, létrejön egy eseménynapló-bejegyzés, amely figyelmeztet a helyzetre, és tartalmazza az észlelt modul nevét. Az eseménynapló-bejegyzés az alábbihoz hasonló adatokat tartalmaz:
Eseménynapló |
Rendszer |
Esemény forrása |
TPM-WMI |
Eseményazonosító |
<eseményazonosító> |
Szint |
Hiba |
Eseményüzenet szövege |
üzenetszöveg <> |
Eseményazonosítók
Ezt az eseményt akkor naplózza a rendszer, ha a rendszermeghajtón a BitLocker úgy van konfigurálva, hogy a Biztonságos rendszerindítási DBX-lista belső vezérlőprogramra való alkalmazásával a BitLocker helyreállítási módba lép. A megoldás az, hogy ideiglenesen felfüggeszti a BitLockert 2 újraindítási ciklusra a frissítés telepítésének lehetővé céljából.
Művelet végrehajtása
A probléma megoldásához futtassa a következő parancsot egy rendszergazdai parancssorból a BitLocker 2 újraindítási ciklusra való felfüggesztéséhez:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Ezután indítsa újra az eszközt kétszer a BitLocker védelmének folytatásához.
A BitLocker védelmének folytatásához futtassa a következő parancsot két újraindítás után:
-
Manage-bde –Protectors –enable %systemdrive%
Eseménynapló adatai
A rendszer akkor naplózza az 1032-es eseményazonosítót, ha a rendszermeghajtón található BitLocker konfigurációja miatt a rendszer BitLocker-helyreállításba kerül a biztonságos rendszerindítási frissítés alkalmazása esetén.
Eseménynapló |
Rendszer |
Esemény forrása |
TPM-WMI |
Eseményazonosító |
1032 |
Szint |
Hiba |
Eseményüzenet szövege |
A biztonságos rendszerindítási frissítés nem lett alkalmazva az aktuális BitLocker-konfigurációval való ismert inkompatibilitás miatt. |
Amikor a frissített DBX visszavonási lista telepítve van egy eszközön, a Windows ellenőrzi, hogy a rendszer függ-e az eszköz indításához szükséges egyik sebezhető modultól. Ha a rendszer észleli a sebezhető modulok egyikét, a rendszer elhalasztja a belső vezérlőprogram DBX-listájának frissítését. A rendszer minden újraindításakor a rendszer újra megvizsgálja az eszközt annak megállapításához, hogy a sebezhető modul frissült-e, és biztonságos-e a frissített DBX-lista alkalmazása.
Művelet végrehajtása
A legtöbb esetben a sebezhető modul szállítójának olyan frissített verzióval kell rendelkeznie, amely kezeli a biztonsági rést. A frissítés beszerzéséhez forduljon a gyártóhoz.
Eseménynapló adatai
A rendszer akkor naplózza az 1033-at, ha a frissítés által visszavont sebezhető rendszertöltőt észlel az eszközön.
Eseménynapló |
Rendszer |
Esemény forrása |
TPM-WMI |
Eseményazonosító |
1033 |
Szint |
Hiba |
Eseményüzenet szövege |
A rendszer esetleg visszavont rendszerindítás-kezelőt észlelt az EFI-partícióban. További információ: https://go.microsoft.com/fwlink/?linkid=2169931 |
Event Data BootMgr |
<sebezhető fájl elérési útja és neve> |
Ezt az eseményt akkor naplózza a rendszer, amikor a Secure Boot DBX változó frissítése sikeresen megtörtént. A DBX változó a biztonságos rendszerindítási összetevők nem megbízhatóvá tételére szolgál, és általában a sebezhető vagy rosszindulatú Biztonságos rendszerindítási összetevők, például a rendszerindítás-kezelők és a rendszerindítás-kezelők aláírásához használt tanúsítványok letiltására szolgál.
Az 1034-es esemény azt jelzi, hogy a szabványos DBX-visszavonások a belső vezérlőprogramra vannak alkalmazva,
Eseménynapló adatai
Eseménynapló |
Rendszer |
Esemény forrása |
TPM-WMI |
Eseményazonosító |
1034 |
Szint |
Információ |
Eseményüzenet szövege |
A Biztonságos rendszerindítási adatbázisx frissítése sikeresen alkalmazva |
Ezt az eseményt akkor naplózza a rendszer, amikor a Secure Boot DB változó frissítése sikeresen megtörtént. Az adatbázis-változó a biztonságos rendszerindítási összetevők megbízhatóságának hozzáadására szolgál, és általában a rendszerindítás-kezelők aláírásához használt tanúsítványok megbízhatóságára szolgál.
Eseménynapló adatai
Eseménynapló |
Rendszer |
Esemény forrása |
TPM-WMI |
Eseményazonosító |
1036 |
Szint |
Információ |
Eseményüzenet szövege |
A biztonságos rendszerindítási adatbázis frissítése sikeresen alkalmazva |
Ezt az eseményt akkor naplózza a rendszer, amikor hozzáadja a Microsoft Windows Production PCA 2011 tanúsítványt az UEFI Secure Boot Forbidden Signatures Adatbázishoz (DBX). Ilyen esetben az ezzel a tanúsítvánnyal aláírt rendszerindító alkalmazások nem lesznek megbízhatók az eszköz indításakor. Ide tartoznak a rendszer-helyreállítási adathordozóhoz, a PXE rendszerindító alkalmazásokhoz és a tanúsítvány által aláírt rendszerindító alkalmazást használó egyéb adathordozókhoz.
Hibanapló adatai
Eseménynapló |
Rendszer |
Esemény forrása |
TPM-WMI |
Eseményazonosító |
1037 |
Szint |
Információ |
Hibaüzenet szövege |
A Microsoft Windows Production PCA 2011 visszavonására vonatkozó Biztonságos rendszerindítási dbx-frissítés alkalmazása sikeresen megtörtént. |
Ha a frissített DBX visszavonási listát alkalmazza a belső vezérlőprogramra, előfordulhat, hogy a belső vezérlőprogram hibát ad vissza. Hiba esetén a rendszer naplóz egy eseményt, és a Windows a következő rendszer-újraindításkor megpróbálja alkalmazni a DBX-listát a belső vezérlőprogramra.
Művelet végrehajtása
Forduljon az eszköz gyártójához, és állapítsa meg, hogy elérhető-e belső vezérlőprogram-frissítés.
Eseménynapló adatai
Az 1795-ös eseményazonosító akkor lesz naplózva, amikor az eszköz belső vezérlőprogramja hibát ad vissza. Az eseménynapló bejegyzése tartalmazza a belső vezérlőprogram által visszaadott hibakódot.
Eseménynapló |
Rendszer |
Esemény forrása |
TPM-WMI |
Eseményazonosító |
1795 |
Szint |
Hiba |
Eseményüzenet szövege |
A rendszer belső vezérlőprogramja hibát adott vissza ,<belsővezérlőprogram-hibakód> a Secure Boot változó frissítésekor. További információ: https://go.microsoft.com/fwlink/?linkid=2169931 |
Amikor a frissített DBX visszavonási listát alkalmazza egy eszközre, és a fenti események által nem lefedett hiba lép fel, a rendszer naplóz egy eseményt, és a Windows a következő rendszer-újraindításkor megpróbálja alkalmazni a DBX-listát a belső vezérlőprogramra.
Eseménynapló adatai
Az 1796-os eseményazonosító váratlan hiba esetén következik be. Az eseménynapló bejegyzése tartalmazza a váratlan hiba hibakódját.
Eseménynapló |
Rendszer |
Esemény forrása |
TPM-WMI |
Eseményazonosító |
1796 |
Szint |
Hiba |
Eseményüzenet szövege |
A biztonságos rendszerindítási frissítés nem tudta frissíteni a Secure Boot változót <hibakóddal>. További információ: https://go.microsoft.com/fwlink/?linkid=2169931 |
Ezt az eseményt akkor naplózza a rendszer, amikor megpróbálja hozzáadni a Microsoft Windows Production PCA 2011 tanúsítványt az UEFI Secure Boot Forbidden Signatures Adatbázishoz (DBX). Mielőtt hozzáadja ezt a tanúsítványt a DBX-hez, ellenőrizze, hogy a Windows UEFI CA 2023 tanúsítvány hozzá lett-e adva az UEFI biztonságos rendszerindítási aláírási adatbázisához (DB). Ha a Windows UEFI CA 2023 nem lett hozzáadva az adatbázishoz, a Windows szándékosan meghiúsul a DBX-frissítésen. Ezzel biztosítható, hogy az eszköz megbízzon a két tanúsítvány legalább egyikében, ami biztosítja, hogy az eszköz megbízzon a Microsoft által aláírt rendszerindító alkalmazásokban. Amikor hozzáadja a Microsoft Windows production PCA 2011-et a DBX-hez, két ellenőrzést végez, hogy az eszköz továbbra is sikeresen elinduljon: 1) győződjön meg arról, hogy a Windows UEFI CA 2023 hozzá lett adva az adatbázishoz, 2) Győződjön meg arról, hogy az alapértelmezett rendszerindító alkalmazást nem a Microsoft Windows Production PCA 2011 tanúsítványa írta alá.
Eseménynapló adatai
Eseménynapló |
Rendszer |
Esemény forrása |
TPM-WMI |
Eseményazonosító |
1797 |
Szint |
Hiba |
Hibaüzenet szövege |
A Biztonságos rendszerindítási adatbázis frissítése nem tudta visszavonni a Microsoft Windows production PCA 2011-et, mivel a Windows UEFI CA 2023 tanúsítvány nem található az adatbázisban. |
Ezt az eseményt akkor naplózza a rendszer, amikor megpróbálja hozzáadni a Microsoft Windows Production PCA 2011 tanúsítványt az UEFI Secure Boot Forbidden Signatures Adatbázishoz (DBX). Mielőtt hozzáadja ezt a tanúsítványt a DBX-hez, ellenőrizze, hogy az alapértelmezett rendszerindító alkalmazást nem a Microsoft Windows Production PCA 2011 aláíró tanúsítványa írta-e alá. Ha az alapértelmezett rendszerindító alkalmazást a Microsoft Windows Production PCA 2011 aláíró tanúsítványa írja alá, a Windows szándékosan meghiúsul a DBX-frissítésen. Amikor hozzáadja a Microsoft Windows production PCA 2011-et a DBX-hez, két ellenőrzést végez, hogy az eszköz továbbra is sikeresen elinduljon: 1) győződjön meg arról, hogy a Windows UEFI CA 2023 hozzá lett adva az adatbázishoz, 2) Győződjön meg arról, hogy az alapértelmezett rendszerindító alkalmazást nem a Microsoft Windows Production PCA 2011 tanúsítványa írta alá.
Eseménynapló adatai
Eseménynapló |
Rendszer |
Esemény forrása |
TPM-WMI |
Eseményazonosító |
1798 |
Szint |
Hiba |
Hibaüzenet szövege |
A Secure Boot DBx frissítés nem tudta visszavonni a Microsoft Windows Production PCA 2011-et, mivel a rendszerindítás-kezelő nincs aláírva a Windows UEFI CA 2023 tanúsítvánnyal |
Ezt az eseményt akkor naplózza a rendszer, amikor rendszerindítás-kezelőt alkalmaz a Windows UEFI CA 2023-tanúsítvány által aláírt rendszerre
Eseménynapló adatai
Eseménynapló |
Rendszer |
Esemény forrása |
TPM-WMI |
Eseményazonosító |
1799 |
Szint |
Információ |
Hibaüzenet szövege |
A Windows UEFI CA 2023-cal aláírt Rendszerindítás-kezelő telepítése sikerült |