セキュア ブート DBX 更新プログラムの適用に関するマイクロソフトのガイダンス (KB4575994)

Windows での DBX 更新プログラムの適用

前項の警告を読み、デバイスに互換性があることを確認したら、次の手順に従ってセキュア ブート DBX を更新します。

1. この UEFI Web ページから、プラットフォームに適した UEFI 失効リスト ファイル (Dbxupdate.bin) をダウンロードします。

2. PowerShell コマンドレットを使用してコンポーネントを適用するには、Dbxupdate.bin ファイルを必要なコンポーネントに分割する必要があります。 これを行うには、次の手順を実行します。

   1. この PowerShell ギャラリーの Web ページから PowerShell スクリプトをダウンロードします。

   2. スクリプトの場所を特定するために、次のコマンドレットを実行します。

      • Get-InstalledScript -name SplitDbxContent | select-object Name、Version、Author、PublishedDate、InstalledDate、InstalledLocation

   3. コマンドレットがスクリプトを正常にダウンロードし、名前、バージョン、作成者、PublishedDate、InstalledDate、InstalledLocationなどの出力の詳細を提供することを確認します。

   4. 次のコマンドレットを実行します。

      • [文字列]$ScriptPath = @（Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation）

      • cd $ ScriptPath

      • ls

   5. SplitDbxContent.ps1 ファイルが 「Scripts」フォルダーにあることを確認します。

   6. 次の PowerShell スクリプトを Dbxupdate.bin ファイルで実行します。
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. コマンドによって次のファイルが作成されたことを確認します。

      

      • Content.bin – 更新プログラムのコンテンツ

      • Signature.p7 – 更新プロセスを承認する署名

3. 管理 PowerShell セッションで、Set-SecureBootUefi コマンドレットを実行して DBX 更新プログラムを適用します。
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   予想される出力
   
   

4. アップデートのインストールプロセスを完了するには、デバイスを再起動します。

セキュア ブート構成コマンドレットと、コマンドレットを DBX 更新プログラムに使用する方法の詳細については、「Set-Secure」を参照してください。

更新プログラムが適用されているかどうかの確認  

前のセクションの手順を正常に完了してデバイスを再起動したら、次の手順に従って更新プログラムが正常に適用されたことを確認します。 検証に成功すると、デバイスは GRUB 脆弱性の影響を受けなくなります。

1. この GitHub Gist Web ページから DBX 更新プログラム検証スクリプトをダウンロードします。

2. 圧縮ファイルからスクリプトとバイナリを抽出します。

3. 展開されたスクリプトとバイナリを含むフォルダー内で次の PowerShell スクリプトを実行して、DBX 更新プログラムを確認します。
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   注: この失効リスト ファイル アーカイブの 2020 年 7 月または 2020 年 10 月のバージョンに一致する DBX 更新プログラムが適用された場合は、代わりに次の適切なコマンドを実行します。
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. 出力が予想される結果と一致することを確認します。
   
   

FAQ

Q1: エラー メッセージ「Get-SecureBootUEFI: コマンドレットはこのプラットフォームではサポートされていません」は何を意味しますか?

A1: このエラー メッセージは、コンピューターでセキュア ブート機能が有効になっていないことを示しています。 したがって、このデバイスは GRUB 脆弱性の影響を受けません。 これ以上のアクションは必要ありません。

Q2: サードパーティの UEFI CA を信頼する、または信頼しないようにデバイスを構成するにはどうすればよいですか? 

A2: OEM ベンダーに問い合わせることをお勧めします。 

Microsoft Surface の場合、セキュア ブート設定を「Microsoft のみ」に変更してから、次の PowerShell コマンドを実行します (結果は「False」になります)。 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Microsoft Surface の構成方法の詳細については、「 Surface UEFI 設定の管理 - Surface | Microsoft Docs」を参照してください。

Q3: この問題は、Azure IaaS 第 1 世代および第 2 世代の仮想マシンに影響しますか? 

A3: いいえ。 Azure ゲスト仮想マシン Gen1 および Gen2 は、セキュア ブート機能をサポートしていません。 したがって、それらは信頼の連鎖攻撃の影響を受けません。 

Q4: ADV200011 および CVE-2020-0689 は、セキュア ブートに関連する同じ脆弱性を指していますか? 

A: いいえ。 これらのセキュリティ アドバイザリでは、さまざまな脆弱性について説明しています。 「ADV200011」は、セキュア ブートのバイパスを引き起こす可能性のある GRUB (Linux コンポーネント) の脆弱性を指します。 「CVE-2020-0689」は、セキュア ブートに存在するセキュリティ機能のバイパスの脆弱性を指します。 

Q5: どちらの PowerShell スクリプトも実行できません。 どうすればよいですか?

A: Get-ExecutionPolicy コマンドを実行して、PowerShell の実行ポリシーを確認します。 出力によっては、実行ポリシーの更新が必要になる場合があります。

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs