Riassunto
Per proteggere i dispositivi Windows, Microsoft aggiunge moduli bootloader vulnerabili all'elenco di revoche DBX di avvio protetto (mantenuto nel firmware basato su UEFI di sistema) per invalidare i moduli vulnerabili. Quando l'elenco di revoche DBX aggiornato è installato in un dispositivo, Windows verifica se il sistema si trova in uno stato in cui l'aggiornamento DBX può essere applicato correttamente al firmware e segnalerà errori del registro eventi se viene rilevato un problema.
Altre informazioni
Quando viene rilevato uno di questi moduli vulnerabili nel dispositivo, viene creata una voce del registro eventi che segnala la situazione e include il nome del modulo rilevato. La voce del registro eventi contiene dettagli simili ai seguenti:
|
Registro eventi |
Sistema |
|
Origine evento |
TPM-WMI |
|
ID evento |
<numero ID evento> |
|
Livello |
Errore |
|
Testo del messaggio di evento |
> di testo <messaggio |
ID evento
Questo evento viene registrato quando BitLocker nell'unità di sistema è configurato in modo tale che l'applicazione dell'elenco DBX di avvio protetto al firmware farebbe sì che BitLocker passi in modalità di ripristino. La risoluzione consiste nel sospendere temporaneamente BitLocker per 2 cicli di riavvio per consentire l'installazione dell'aggiornamento.
Intervenire
Per risolvere questo problema, esegui il comando seguente da un prompt dei comandi dell'amministratore per sospendere BitLocker per 2 cicli di riavvio:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Quindi, riavvia il dispositivo due volte per riprendere la protezione BitLocker.
Per assicurarti che la protezione BitLocker sia stata ripresa, esegui il comando seguente dopo il riavvio due volte:
-
Manage-bde –Protectors –enable %systemdrive%
Informazioni del registro eventi
L'ID evento 1032 viene registrato quando la configurazione di BitLocker nell'unità di sistema causa il ripristino di BitLocker se viene applicato l'aggiornamento di avvio protetto.
|
Registro eventi |
Sistema |
|
Origine evento |
TPM-WMI |
|
ID evento |
1032 |
|
Livello |
Errore |
|
Testo del messaggio di evento |
L'aggiornamento di avvio protetto non è stato applicato a causa di un'incompatibilità nota con la configurazione di BitLocker corrente. |
Quando l'elenco di revoche DBX aggiornato è installato in un dispositivo, Windows verifica se il sistema dipende da uno dei moduli vulnerabili per avviare il dispositivo. Se viene rilevato uno dei moduli vulnerabili, l'aggiornamento all'elenco DBX nel firmware viene posticipato. A ogni riavvio del sistema, il dispositivo viene sottoposto a scansione per determinare se il modulo vulnerabile è stato aggiornato e se è sicuro applicare l'elenco DBX aggiornato.
Intervenire
Nella maggior parte dei casi, il fornitore del modulo vulnerabile deve avere una versione aggiornata che risolve la vulnerabilità. Contatta il tuo fornitore per ottenere l'aggiornamento.
Informazioni del registro eventi
L'ID evento 1033 verrà registrato quando nel dispositivo viene rilevato un caricatore di avvio vulnerabile revocato da questo aggiornamento.
|
Registro eventi |
Sistema |
|
Origine evento |
TPM-WMI |
|
ID evento |
1033 |
|
Livello |
Errore |
|
Testo del messaggio di evento |
Gestione avvio potenzialmente revocato è stato rilevato nella partizione EFI. Per ulteriori informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2169931 |
|
BootMgr dei dati dell'evento |
<percorso e il nome dei> di file vulnerabili |
Questo evento viene registrato quando la variabile SECURE Boot DBX viene aggiornata correttamente. La variabile DBX viene utilizzata per rendere non attendibili i componenti di avvio protetto e viene in genere utilizzata per bloccare componenti di avvio protetto vulnerabili o dannosi, ad esempio boot manager e certificati usati per firmare i responsabili di avvio.
L'evento 1034 indica che al firmware vengono applicate le revoche DBX standard,
Informazioni del registro eventi
|
Registro eventi |
Sistema |
|
Origine evento |
TPM-WMI |
|
ID evento |
1034 |
|
Livello |
Informazioni |
|
Testo del messaggio di evento |
Aggiornamento di Secure Boot Dbx applicato correttamente |
Questo evento viene registrato quando la variabile Secure Boot DB viene aggiornata correttamente. La variabile DB viene utilizzata per aggiungere attendibilità per i componenti di avvio protetto e viene in genere utilizzata per considerare attendibili i certificati usati per firmare i boot manager.
Informazioni del registro eventi
|
Registro eventi |
Sistema |
|
Origine evento |
TPM-WMI |
|
ID evento |
1036 |
|
Livello |
Informazioni |
|
Testo del messaggio di evento |
Aggiornamento secure boot db applicato correttamente |
Questo evento viene registrato quando il certificato MICROSOFT Windows Production PCA 2011 viene aggiunto al database delle firme protette dell'avvio protetto DELLA UEFI (DBX). In questo caso, tutte le applicazioni di avvio firmate con questo certificato non verranno più considerate attendibili all'avvio del dispositivo. Sono incluse tutte le applicazioni di avvio utilizzate con il supporto di ripristino del sistema, le applicazioni di avvio PXE e qualsiasi altro supporto che utilizza un'applicazione di avvio firmata da questo certificato.
Informazioni del log degli errori
|
Registro eventi |
Sistema |
|
Origine evento |
TPM-WMI |
|
ID evento |
1037 |
|
Livello |
Informazioni |
|
Testo del messaggio di errore |
L'aggiornamento Secure Boot Dbx per revocare Microsoft Windows Production PCA 2011 viene applicato correttamente. |
Quando al firmware viene applicato l'elenco aggiornato delle revoche DBX, il firmware potrebbe restituire un errore. Quando si verifica un errore, viene registrato un evento e Windows tenterà di applicare l'elenco DBX al firmware al successivo riavvio del sistema.
Intervenire
Contatta il produttore del dispositivo per determinare se è disponibile un aggiornamento del firmware.
Informazioni del registro eventi
L'ID evento 1795 verrà registrato quando il firmware nel dispositivo restituisce un errore. La voce del registro eventi includerà il codice di errore restituito dal firmware.
|
Registro eventi |
Sistema |
|
Origine evento |
TPM-WMI |
|
ID evento |
1795 |
|
Livello |
Errore |
|
Testo del messaggio di evento |
Il firmware di sistema ha restituito un errore <codice di errore del firmware> durante il tentativo di aggiornare una variabile di avvio protetto. Per ulteriori informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2169931 |
Quando l'elenco di revoche DBX aggiornato viene applicato a un dispositivo e si verifica un errore non coperto dagli eventi precedenti, viene registrato un evento e Windows tenterà di applicare l'elenco DBX al firmware al successivo riavvio del sistema.
Informazioni del registro eventi
L'ID evento 1796 si verifica quando si verifica un errore imprevisto. La voce del registro eventi includerà il codice di errore per l'errore imprevisto.
|
Registro eventi |
Sistema |
|
Origine evento |
TPM-WMI |
|
ID evento |
1796 |
|
Livello |
Errore |
|
Testo del messaggio di evento |
L'aggiornamento dell'avvio protetto non è riuscito ad aggiornare una variabile di avvio protetto con codice di errore<>. Per ulteriori informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2169931 |
Questo evento viene registrato durante un tentativo di aggiungere il certificato MICROSOFT Windows Production PCA 2011 al database delle firme di avvio protetto DELLA UEFI (DBX). Prima di aggiungere questo certificato al dbX, viene effettuato un controllo per verificare che il certificato CA 2023 UEFI di Windows sia stato aggiunto al database della firma di avvio protetto (DB) UEFI. Se la CA 2023 della UEFI di Windows non è stata aggiunta al database, l'aggiornamento DBX non verrà eseguito intenzionalmente. Questa operazione viene eseguita per garantire che il dispositivo consideri attendibile almeno uno di questi due certificati, per garantire che il dispositivo consideri attendibili le applicazioni di avvio firmate da Microsoft. Quando si aggiunge microsoft Windows Production PCA 2011 al DBX, vengono effettuati due controlli per assicurarsi che il dispositivo continui ad avviarsi correttamente: 1) verificare che la CA 2023 dell'interfaccia UEFI di Windows sia stata aggiunta al database, 2) Verificare che l'applicazione di avvio predefinita non sia firmata dal certificato PCA 2011 di produzione di Microsoft Windows.
Informazioni del registro eventi
|
Registro eventi |
Sistema |
|
Origine evento |
TPM-WMI |
|
ID evento |
1797 |
|
Livello |
Errore |
|
Testo del messaggio di errore |
L'aggiornamento secure boot dbx non è riuscito a revocare Microsoft Windows Production PCA 2011 poiché il certificato CA 2023 UEFI di Windows non è presente nel database. |
Questo evento viene registrato durante un tentativo di aggiungere il certificato MICROSOFT Windows Production PCA 2011 al database delle firme di avvio protetto DELLA UEFI (DBX). Prima di aggiungere questo certificato al DBX, viene effettuato un controllo per verificare che l'applicazione di avvio predefinita non sia firmata dal certificato di firma MICROSOFT Windows Production PCA 2011. Se l'applicazione di avvio predefinita è firmata dal certificato di firma di Microsoft Windows Production PCA 2011, Windows non riuscirà intenzionalmente l'aggiornamento DBX. Quando si aggiunge microsoft Windows Production PCA 2011 al DBX, vengono effettuati due controlli per assicurarsi che il dispositivo continui ad avviarsi correttamente: 1) verificare che la CA 2023 dell'interfaccia UEFI di Windows sia stata aggiunta al database, 2) Verificare che l'applicazione di avvio predefinita non sia firmata dal certificato PCA 2011 di produzione di Microsoft Windows.
Informazioni del registro eventi
|
Registro eventi |
Sistema |
|
Origine evento |
TPM-WMI |
|
ID evento |
1798 |
|
Livello |
Errore |
|
Testo del messaggio di errore |
L'aggiornamento di Secure Boot Dbx non è riuscito a revocare Microsoft Windows Production PCA 2011 in quanto boot manager non è firmato con il certificato CA 2023 UEFI di Windows |
Questo evento viene registrato quando viene applicato un boot manager al sistema firmato dal certificato CA 2023 UEFI di Windows
Informazioni del registro eventi
|
Registro eventi |
Sistema |
|
Origine evento |
TPM-WMI |
|
ID evento |
1799 |
|
Livello |
Informazioni |
|
Testo del messaggio di errore |
Boot Manager firmato con WINDOWS UEFI CA 2023 è stato installato correttamente |
