Microsoft-útmutató a Biztonságos rendszerindítási DBX-frissítés alkalmazásához (KB4575994)

DBX-frissítés alkalmazása Windows rendszeren

Miután elolvasta az előző szakaszban található figyelmeztetéseket, és ellenőrizte, hogy az eszköz kompatibilis-e, kövesse az alábbi lépéseket a Secure Boot DBX frissítéséhez:

1. Töltse le a platformjának megfelelő UEFI visszavonási listafájlt (Dbxupdate.bin) erről az UEFI-weblapról.

2. A Dbxupdate.bin fájlt fel kell osztania a szükséges összetevőkre, hogy PowerShell-parancsmagok használatával alkalmazhassa őket. Ezt a következőképpen teheti meg:

   1. Töltse le a PowerShell-szkriptet erről a PowerShell-galéria weblapról.

   2. A szkript megkereséséhez futtassa a következő parancsmagot:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Ellenőrizze, hogy a parancsmag sikeresen letölti-e a szkriptet, és megadja-e a kimeneti adatokat, beleértve a Nevet, a Verziót, a Szerzőt, a PublishedDate-t, az InstalledDate-t és az InstalledLocation-t.

   4. Futtassa a következő parancsmagokat:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

   5. Ellenőrizze, hogy a SplitDbxContent.ps1 fájl most már a Scripts mappában van-e.

   6. Futtassa a következő PowerShell-szkriptet a Dbxupdate.bin fájlon:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Ellenőrizze, hogy a parancs létrehozta-e a következő fájlokat.

      

      • Content.bin – tartalom frissítése

      • Signature.p7 – A frissítési folyamatot engedélyező aláírás

3. Rendszergazdai PowerShell-munkamenetben futtassa a Set-SecureBootUefi parancsmagot a DBX-frissítés alkalmazásához:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   Várt kimeneti
   
   

4. A frissítéstelepítési folyamat befejezéséhez indítsa újra az eszközt.

A Secure Boot konfigurációs parancsmagról és a DBX-frissítésekhez való használatáról a Set-Secure című témakörben talál további információt.

A frissítés sikerességének ellenőrzése  

Miután sikeresen végrehajtotta az előző szakaszban leírt lépéseket, és újraindította az eszközt, az alábbi lépésekkel ellenőrizheti, hogy a frissítés sikeresen alkalmazva lett-e. A sikeres ellenőrzés után a GRUB biztonsági rése már nem érinti az eszközt.

1. Töltse le a DBX frissítés-ellenőrzési szkripteket erről a GitHub Gist weblapról.

2. Bontsa ki a szkripteket és bináris fájlokat a tömörített fájlból.

3. Futtassa a következő PowerShell-szkriptet a kibontott szkripteket és bináris fájlokat tartalmazó mappában a DBX-frissítés ellenőrzéséhez:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Megjegyzés: Ha a visszavonási lista fájlarchívumának 2020. júliusi vagy 2020. októberi verzióinak megfelelő DBX-frissítést alkalmaztak, futtassa helyette a következő megfelelő parancsot:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 ".\dbx-2020-october.bin" 

4. Ellenőrizze, hogy a kimenet megfelel-e a várt eredménynek.
   
   

GYIK

1. kérdés: Mit jelent a "Get-SecureBootUEFI: Ezen a platformon nem támogatott parancsmagok" hibaüzenet?

A1: Ez a hibaüzenet azt jelzi, hogy a NINCS biztonságos rendszerindítás funkció engedélyezve van a számítógépen. Ezért ezt az eszközt NEM érinti a GRUB biztonsági rése. Nincs szükség további beavatkozásra.

2. kérdés: Hogyan konfigurálja az eszközt úgy, hogy megbízzon harmadik féltől származó UEFI-hitelesítésszolgáltatóban? 

A2: Javasoljuk, hogy forduljon az OEM forgalmazójához. 

Microsoft Surface esetén módosítsa a Biztonságos rendszerindítás beállítást "Csak Microsoft" értékre, majd futtassa a következő PowerShell-parancsot (az eredménynek "False" (Hamis) kell lennie): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

További információ a Microsoft Surface konfigurálásáról: Surface UEFI-beállítások kezelése – Surface | Microsoft Docs.

3. kérdés: Érinti ez a probléma az Azure IaaS 1. és 2. generációs virtuális gépeit? 

A3: Nem. Az Azure Gen1 és Gen2 vendég virtuális gépei nem támogatják a Biztonságos rendszerindítás funkciót. Ezért a bizalmi támadási lánc nem érinti őket. 

4. kérdés: Az ADV200011 és a CVE-2020-0689 hivatkozik ugyanarra a biztonsági résre, amely a biztonságos rendszerindításhoz kapcsolódik? 

A: Nem. Ezek a biztonsági tanácsadások különböző biztonsági réseket írnak le. Az "ADV200011" a GRUB (Linux-összetevő) biztonsági résére utal, amely biztonságos rendszerindítási megkerülést okozhat. A "CVE-2020-0689" a biztonságos rendszerindításban található biztonsági funkciók megkerülésével kapcsolatos biztonsági résre utal. 

5. kérdés: Egyik PowerShell-szkriptet sem tudom futtatni. Mit tegyek?

A: Ellenőrizze a PowerShell végrehajtási szabályzatát a Get-ExecutionPolicy parancs futtatásával. A kimenettől függően előfordulhat, hogy frissítenie kell a végrehajtási szabályzatot:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) – PowerShell | Microsoft Docs