セキュア ブート DBX 更新プログラムの適用に関するマイクロソフトのガイダンス

この資料が適用される製品についてはこちらを参照してください。

概要

2020 年 7 月 29 日、マイクロソフトはセキュア ブートに関連する新しい脆弱性を説明するセキュリティ アドバイザリ 200011 を公開しました。 セキュア ブート構成でサードパーティの Microsoft Unified Extensible Firmware Interface (UEFI) 証明機関 (CA) を信頼するデバイスは、管理者特権またはデバイスへの物理アクセス権を持つ攻撃者の影響を受ける可能性があります。

この記事では、最新のセキュア ブート DBX 失効リストを適用して、脆弱性のあるモジュールを無効にするためのガイダンスを提供します。 マイクロソフトは、2021 年にさらにテストを行った後、この脆弱性に対処するために、Windows Update に更新プログラムをプッシュする予定です。

セキュア ブート更新プログラムのバイナリは、https://uefi.org/revocationlistfile でホストされます。

投稿されたファイルは次のとおりです。

  • x86 (32 ビット) 用 UEFI 失効リスト ファイル

  • x64 (64 ビット) 用 UEFI 失効リスト ファイル

  • arm64 用 UEFI 失効リスト ファイル

これらのハッシュがデバイスのセキュア ブート DBX に追加されると、それらのアプリケーションは読み込みできなくなります。

重要: このサイトは、すべてのアーキテクチャのファイルをホストします。 ホストされている各ファイルには、特定のアーキテクチャに適用されるアプリケーションのハッシュのみが含まれます。 これらのファイルの 1 つをすべてのデバイスに適用する必要がありますが、そのアーキテクチャに関連するファイルを適用するようにしてください。 別のアーキテクチャに更新プログラムを適用することは技術的に可能ですが、適切な更新プログラムをインストールしないと、デバイスが保護されないままになります。

注意


これらの手順のいずれかを試す前に、この脆弱性に関する主要なアドバイザリの記事を参照してください。 DBX 更新プログラムを誤って適用すると、デバイスが起動しなくなる可能性があります。

次の条件に該当する場合にのみ、以下の手順を実行してください。
 

  • セキュア ブート構成でデバイスがサードパーティの UEFI CA を信頼していることを確認しました。

  • これを行うには、管理 PowerShell セッションから PowerShell の次の行を実行します。

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'

  • この更新プログラムによってブロックされているブート アプリケーションを起動する必要はありません。

詳細

Windows での DBX 更新プログラムの適用

警告を読み、デバイスに互換性があることを確認したら、次の手順に従ってセキュア ブート DBX を更新します。

  1. https://uefi.org/revocationlistfile から、プラットフォームに適した UEFI 失効リスト ファイル (Dbxupdate.bin) をダウンロードします。

  2. PowerShell コマンドレットを使用してコンポーネントを適用するには、Dbxupdate.bin ファイルを必要なコンポーネントに分割する必要があります。 これを行うには、次の手順を実行します

    1. https://aka.ms/DbxSplitScript から PowerShell スクリプトをダウンロードします。

    2. 次の PowerShell スクリプトを Dbxupdate.bin ファイルで実行します。 SplitDbxAuthInfo.ps1 “c:\path\to\file\dbxupdate.bin”

    3. コマンドによって次のファイルが作成されたことを確認します。

      • Content.bin - 更新プログラムのコンテンツ

      • Signature.p7 - 更新プロセスを承認する署名

  3. 管理 PowerShell セッションで、Set-SecureBootUefi コマンドレットを実行して DBX 更新プログラムを適用します。

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

  4. デバイスを再起動し、プロセスを完了します

セキュア ブート構成コマンドレットと、コマンドレットを DBX 更新プログラムに使用する方法の詳細については、「Set-Secure

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

フィードバックをお送りいただきありがとうございます!

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×