Linee guida Microsoft per l'applicazione dell'aggiornamento DBX di avvio protetto (KB4575994)

Applicazione di un aggiornamento DBX in Windows

Dopo aver letto gli avvisi nella sezione precedente e verificato che il dispositivo sia compatibile, segui questi passaggi per aggiornare il dbX di avvio protetto:

1. Scarica il file dell'elenco di revoche UEFI appropriato (Dbxupdate.bin) per la piattaforma da questa pagina Web UEFI.

2. È necessario dividere il file Dbxupdate.bin nei componenti necessari per applicarli tramite i cmdlet di PowerShell. A tal fine, attenersi alla seguente procedura:

   1. Scaricare lo script di PowerShell da questa PowerShell Gallery pagina Web.

   2. Per individuare più facilmente lo script, eseguire il cmdlet seguente:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Verificare che il cmdlet scarichi correttamente lo script e fornisca i dettagli dell'output, tra cui Nome, Versione, Autore, PublishedDate, InstalledDate e InstalledLocation.

   4. Eseguire i cmdlet seguenti:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

   5. Verifica che il file SplitDbxContent.ps1 sia ora nella cartella Script.

   6. Eseguire lo script di PowerShell seguente nel file Dbxupdate.bin:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Verificare che il comando ha creato i file seguenti.

      

      • Content.bin: contenuto dell'aggiornamento

      • Signature.p7: firma che consente di autorizzare il processo di aggiornamento

3. In una sessione di PowerShell amministrativa, eseguire il cmdlet Set-SecureBootUefi per applicare l'aggiornamento DBX:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   di output
   
   previsto

4. Per completare il processo di installazione dell'aggiornamento, riavvia il dispositivo.

Per altre informazioni sul cmdlet di configurazione di avvio protetto e su come usarlo per gli aggiornamenti DBX, vedere Set-Secure.

Verifica della riuscita dell'aggiornamento  

Dopo aver completato correttamente i passaggi nella sezione precedente e aver riavviato il dispositivo, segui questi passaggi per verificare che l'aggiornamento sia stato applicato correttamente. Dopo la verifica, il dispositivo non sarà più interessato dalla vulnerabilità GRUB.

1. Scarica gli script di verifica degli aggiornamenti DBX da questa pagina Web del Gist GitHub.

2. Estrarre gli script e i file binari dal file compresso.

3. Eseguire il seguente script di PowerShell all'interno della cartella che contiene gli script espansi e i file binari per verificare l'aggiornamento DBX:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Nota: Se è stato applicato un aggiornamento DBX corrispondente alle versioni di luglio 2020 o ottobre 2020 da questo archivio file di elenco di revoche , eseguire il comando appropriato seguente:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. Verifica che l'output corrisponda al risultato previsto.
   
   

Domande frequenti

D1: Che cosa significa il messaggio di errore "Get-SecureBootUEFI: Cmdlet non supportati in questa piattaforma"?

A1: Questo messaggio di errore indica che nel computer non è abilitata alcuna funzionalità di avvio protetto. Pertanto, questo dispositivo NON è interessato dalla vulnerabilità GRUB. Non è necessario alcun intervento ulteriore.

D2: Ricerca per categorie configurare il dispositivo in modo che consideri attendibile o non consideri attendibile la CA UEFI di terze parti? 

A2: È consigliabile consultare il fornitore OEM. 

Per Microsoft Surface, modifica l'impostazione avvio protetto su "Solo Microsoft", quindi esegui il comando di PowerShell seguente (il risultato dovrebbe essere "False"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Per ulteriori informazioni su come configurare per Microsoft Surface, vedi Gestire le impostazioni UEFI di Surface - Surface | Microsoft Docs.

D3: Questo problema riguarda le macchine virtuali di Azure IaaS di generazione 1 e 2? 

A3: No. Le macchine virtuali guest di Azure Gen1 e Gen2 non supportano la funzionalità di avvio protetto. Pertanto, non sono interessati dalla catena di attacco di fiducia. 

D4: ADV200011 e CVE-2020-0689 fanno riferimento alla stessa vulnerabilità correlata all'avvio protetto? 

Un: No. Questi avvisi di sicurezza descrivono diverse vulnerabilità. "ADV200011" si riferisce a una vulnerabilità in GRUB (componente Linux) che potrebbe causare un bypass di avvio protetto. "CVE-2020-0689" si riferisce a una vulnerabilità di bypass delle funzionalità di sicurezza esistente in Avvio protetto. 

D5: Non è possibile eseguire uno degli script di PowerShell. Cosa devo fare?

Un: Verifica il criterio di esecuzione di PowerShell eseguendo il comando Get-ExecutionPolicy . A seconda dell'output, potrebbe essere necessario aggiornare i criteri di esecuzione:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs