Eventi di aggiornamento delle variabili DB e DBX di avvio protetto

Registro eventi	Sistema
Origine evento	TPM-WMI
ID evento	<numero ID evento>
Livello	Errore
Testo del messaggio di evento	> di testo <messaggio

Questo evento viene registrato quando BitLocker nell'unità di sistema è configurato in modo tale che l'applicazione dell'elenco DBX di avvio protetto al firmware farebbe sì che BitLocker passi in modalità di ripristino. La risoluzione consiste nel sospendere temporaneamente BitLocker per 2 cicli di riavvio per consentire l'installazione dell'aggiornamento.

Agire

Per risolvere questo problema, esegui il comando seguente da un prompt dei comandi dell'amministratore per sospendere BitLocker per 2 cicli di riavvio:

• Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2

Quindi, riavvia il dispositivo due volte per riprendere la protezione BitLocker.

Per assicurarti che la protezione BitLocker sia stata ripresa, esegui il comando seguente dopo il riavvio due volte:

• Manage-bde –Protectors –enable %systemdrive%

Informazioni del registro eventi

L'ID evento 1032 viene registrato quando la configurazione di BitLocker nell'unità di sistema causa il ripristino di BitLocker se viene applicato l'aggiornamento di avvio protetto.

Registro eventi	Sistema
Origine evento	TPM-WMI
ID evento	1032
Livello	Errore
Testo del messaggio di evento	L'aggiornamento di avvio protetto non è stato applicato a causa di un'incompatibilità nota con la configurazione di BitLocker corrente.

Quando l'elenco di revoche DBX aggiornato è installato in un dispositivo, Windows verifica se il sistema dipende da uno dei moduli vulnerabili per avviare il dispositivo. Se viene rilevato uno dei moduli vulnerabili, l'aggiornamento all'elenco DBX nel firmware viene posticipato. A ogni riavvio del sistema, il dispositivo viene sottoposto a scansione per determinare se il modulo vulnerabile è stato aggiornato e se è sicuro applicare l'elenco DBX aggiornato.

Agire

Nella maggior parte dei casi, il fornitore del modulo vulnerabile deve avere una versione aggiornata che risolve la vulnerabilità. Contatta il tuo fornitore per ottenere l'aggiornamento.

Informazioni del registro eventi

L'ID evento 1033 verrà registrato quando nel dispositivo viene rilevato un caricatore di avvio vulnerabile revocato da questo aggiornamento.

Registro eventi	Sistema
Origine evento	TPM-WMI
ID evento	1033
Livello	Errore
Testo del messaggio di evento	Gestione avvio potenzialmente revocato è stato rilevato nella partizione EFI. Per ulteriori informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2169931
BootMgr dei dati dell'evento	<percorso e il nome dei> di file vulnerabili

Questo evento viene registrato quando la variabile SECURE Boot DBX viene aggiornata correttamente. La variabile DBX viene utilizzata per rendere non attendibili i componenti di avvio protetto e viene in genere utilizzata per bloccare componenti di avvio protetto vulnerabili o dannosi, ad esempio boot manager e certificati usati per firmare i responsabili di avvio.

L'evento 1034 indica che al firmware vengono applicate le revoche DBX standard,

Informazioni del registro eventi

Registro eventi	Sistema
Origine evento	TPM-WMI
ID evento	1034
Livello	Informazioni
Testo del messaggio di evento	Aggiornamento di Secure Boot Dbx applicato correttamente

Questo evento viene registrato quando la variabile Secure Boot DB viene aggiornata correttamente. La variabile DB viene utilizzata per aggiungere attendibilità per i componenti di avvio protetto e viene in genere utilizzata per considerare attendibili i certificati usati per firmare i boot manager.

Informazioni del registro eventi

Registro eventi	Sistema
Origine evento	TPM-WMI
ID evento	1036
Livello	Informazioni
Testo del messaggio di evento	Aggiornamento secure boot db applicato correttamente

Questo evento viene registrato quando il certificato MICROSOFT Windows Production PCA 2011 viene aggiunto al database delle firme protette dell'avvio protetto DELLA UEFI (DBX). In questo caso, tutte le applicazioni di avvio firmate con questo certificato non verranno più considerate attendibili all'avvio del dispositivo. Sono incluse tutte le applicazioni di avvio utilizzate con il supporto di ripristino del sistema, le applicazioni di avvio PXE e qualsiasi altro supporto che utilizza un'applicazione di avvio firmata da questo certificato.

Informazioni del log degli errori

Registro eventi	Sistema
Origine evento	TPM-WMI
ID evento	1037
Livello	Informazioni
Testo del messaggio di errore	L'aggiornamento Secure Boot Dbx per revocare Microsoft Windows Production PCA 2011 viene applicato correttamente.

Quando al firmware viene applicato un database di firma di avvio protetto, un database di firma revocato (DBX) o un aggiornamento chiave di exchange (KEK, Key Exchange Key), il firmware potrebbe restituire un errore. Quando si verifica un errore, viene registrato un evento e Windows tenterà di applicare l'aggiornamento al firmware al successivo riavvio del sistema.

Agire

Contatta il produttore del dispositivo per determinare se è disponibile un aggiornamento del firmware.

Informazioni del registro eventi

L'ID evento 1795 verrà registrato quando il firmware nel dispositivo restituisce un errore. La voce del registro eventi includerà il codice di errore restituito dal firmware.

Registro eventi	Sistema
Origine evento	TPM-WMI
ID evento	1795
Livello	Errore
Testo del messaggio di evento	Il firmware di sistema ha restituito un errore <codice di errore del firmware> durante il tentativo di aggiornare una variabile di avvio protetto. Per ulteriori informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2169931

Quando l'elenco di revoche DBX aggiornato viene applicato a un dispositivo e si verifica un errore non coperto dagli eventi precedenti, viene registrato un evento e Windows tenterà di applicare l'elenco DBX al firmware al successivo riavvio del sistema.

Informazioni del registro eventi

L'ID evento 1796 si verifica quando si verifica un errore imprevisto. La voce del registro eventi includerà il codice di errore per l'errore imprevisto.

Registro eventi	Sistema
Origine evento	TPM-WMI
ID evento	1796
Livello	Errore
Testo del messaggio di evento	L'aggiornamento dell'avvio protetto non è riuscito ad aggiornare una variabile di avvio protetto con codice di errore<>. Per ulteriori informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2169931

Questo evento viene registrato durante un tentativo di aggiungere il certificato MICROSOFT Windows Production PCA 2011 al database delle firme di avvio protetto DELLA UEFI (DBX). Prima di aggiungere questo certificato al dbX, viene effettuato un controllo per verificare che il certificato CA 2023 UEFI di Windows sia stato aggiunto al database della firma di avvio protetto (DB) UEFI. Se la CA 2023 della UEFI di Windows non è stata aggiunta al database, l'aggiornamento DBX non verrà eseguito intenzionalmente. Questa operazione viene eseguita per garantire che il dispositivo consideri attendibile almeno uno di questi due certificati, per garantire che il dispositivo consideri attendibili le applicazioni di avvio firmate da Microsoft. Quando si aggiunge microsoft Windows Production PCA 2011 al DBX, vengono effettuati due controlli per assicurarsi che il dispositivo continui ad avviarsi correttamente: 1) verificare che la CA 2023 dell'interfaccia UEFI di Windows sia stata aggiunta al database, 2) Verificare che l'applicazione di avvio predefinita non sia firmata dal certificato PCA 2011 di produzione di Microsoft Windows.

Informazioni del registro eventi

Registro eventi	Sistema
Origine evento	TPM-WMI
ID evento	1797
Livello	Errore
Testo del messaggio di errore	L'aggiornamento secure boot dbx non è riuscito a revocare Microsoft Windows Production PCA 2011 poiché il certificato CA 2023 UEFI di Windows non è presente nel database.

Questo evento viene registrato durante un tentativo di aggiungere il certificato MICROSOFT Windows Production PCA 2011 al database delle firme di avvio protetto DELLA UEFI (DBX). Prima di aggiungere questo certificato al DBX, viene effettuato un controllo per verificare che l'applicazione di avvio predefinita non sia firmata dal certificato di firma MICROSOFT Windows Production PCA 2011. Se l'applicazione di avvio predefinita è firmata dal certificato di firma di Microsoft Windows Production PCA 2011, Windows non riuscirà intenzionalmente l'aggiornamento DBX. Quando si aggiunge microsoft Windows Production PCA 2011 al DBX, vengono effettuati due controlli per assicurarsi che il dispositivo continui ad avviarsi correttamente: 1) verificare che la CA 2023 dell'interfaccia UEFI di Windows sia stata aggiunta al database, 2) Verificare che l'applicazione di avvio predefinita non sia firmata dal certificato PCA 2011 di produzione di Microsoft Windows.

Informazioni del registro eventi

Registro eventi	Sistema
Origine evento	TPM-WMI
ID evento	1798
Livello	Errore
Testo del messaggio di errore	L'aggiornamento di Secure Boot Dbx non è riuscito a revocare Microsoft Windows Production PCA 2011 in quanto boot manager non è firmato con il certificato CA 2023 UEFI di Windows

Questo evento viene registrato quando viene applicato un boot manager al sistema firmato dal certificato CA 2023 UEFI di Windows

Informazioni del registro eventi

Registro eventi	Sistema
Origine evento	TPM-WMI
ID evento	1799
Livello	Informazioni
Testo del messaggio di errore	Boot Manager firmato con WINDOWS UEFI CA 2023 è stato installato correttamente