要約
Windows デバイスのセキュリティを維持するために、Microsoft は脆弱なブートローダ モジュールをセキュア ブート DBX 失効リスト (システム UEFI ベースのファームウェアで管理) に追加して、脆弱なモジュールを無効にします。 更新された DBX 失効リストがデバイスにインストールされると、Windows は、システムが DBX 更新プログラムをファームウェアに正常に適用できる状態にあるかどうかを確認し、問題が検出された場合はイベント ログ エラーを報告します。
詳細
これらの脆弱なモジュールのいずれかがデバイスで検出されると、検出されたモジュールの名前が含まれイベント ログ エントリが作成され、状況に関する警告が鳴らされます。 イベント ログ エントリには、次のような詳細が含まれています。
|
イベント ログ |
System |
|
イベント ソース |
TPM-WMI |
|
イベント ID |
<イベント ID 番号> |
|
Level |
Error |
|
エラー メッセージのテキスト |
<メッセージ テキスト> |
イベント ID
ファームウェアにセキュア ブート DBX リストを適用すると BitLocker が回復モードになるようにシステム ドライブ上の BitLocker が構成されている場合、このイベントがログに記録されます。 解決策は、BitLocker を 2 回の再起動サイクルにわたって一時的に中断し、更新プログラムのインストールを許可することです。
対処方法
この問題を解決するには、管理者コマンド プロンプトから次のコマンドを実行して、BitLocker を 2 回の再起動サイクルにわたって一時停止します。
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
次に、デバイスを 2 回再起動して BitLocker 保護を再開します。
BitLocker 保護が再開されたことを確認するには、2 回再起動した後に次のコマンドを実行します。
-
Manage-bde –Protectors –enable %systemdrive%
イベント ログ情報
セキュア ブート更新プログラムが適用される場合にシステム ドライブ上の BitLocker の構成が原因でシステムが BitLocker 回復に移行する場合、イベント ID 1032 がログに記録されます。
|
イベント ログ |
System |
|
イベント ソース |
TPM-WMI |
|
イベント ID |
1032 |
|
Level |
Error |
|
エラー メッセージのテキスト |
現在の BitLocker 構成との既知の非互換性により、セキュア ブートの更新は適用されませんでした。 |
更新された DBX 失効リストがデバイスにインストールされると、Windows は、システムがデバイスを起動するために脆弱なモジュールのいずれかに依存しているかどうかを確認します。 脆弱なモジュールのいずれかが検出された場合、ファームウェア内の DBX リストの更新は延期されます。 システムを再起動するたびに、デバイスが再スキャンされ、脆弱なモジュールが更新されているかどうか、および更新された DBX リストを安全に適用できるかどうかが判断されます。
対処方法
ほとんどの場合、脆弱なモジュールのベンダーには、脆弱性に対処する更新されたバージョンがあるはずです。 更新プログラムを入手するには、ベンダーにお問い合わせください。
イベント ログ情報
この更新プログラムによって失効された脆弱なブート ローダーがデバイスで検出されると、イベント ID 1033 がログに記録されます。
|
イベント ログ |
System |
|
イベント ソース |
TPM-WMI |
|
イベント ID |
1033 |
|
Level |
Error |
|
エラー メッセージのテキスト |
EFI パーティションで失効した可能性のあるブート マネージャーが検出されました。 詳細については、https://go.microsoft.com/fwlink/?linkid=2169931 を参照してください |
|
イベント データ BootMgr |
<脆弱なファイルのパスと名前> |
このイベントは、セキュア ブート DBX 変数が正常に更新されたときにログに記録されます。 DBX 変数は、信頼されていないセキュア ブート コンポーネントに使用され、通常は、ブート マネージャーやブート マネージャーへの署名に使用される証明書などの脆弱または悪意のあるセキュア ブート コンポーネントをブロックするために使用されます。
イベント 1034 は、標準の DBX 失効がファームウェアに適用されていることを示します。
イベント ログ情報
|
イベント ログ |
System |
|
イベント ソース |
TPM-WMI |
|
イベント ID |
1034 |
|
Level |
情報 |
|
エラー メッセージのテキスト |
セキュア ブート DBX 更新プログラムが正常に適用されました |
このイベントは、セキュア ブート DB 変数が正常に更新されたときにログに記録されます。 DB 変数は、セキュア ブート コンポーネントの信頼を追加するために使用され、通常はブート マネージャーへの署名に使用される証明書を信頼するために使用されます。
イベント ログ情報
|
イベント ログ |
System |
|
イベント ソース |
TPM-WMI |
|
イベント ID |
1036 |
|
Level |
情報 |
|
エラー メッセージのテキスト |
セキュア ブート DB 更新プログラムが正常に適用されました |
このイベントは、Microsoft Windows Production PCA 2011 証明書が UEFI セキュア ブート禁止署名データベース (DBX) に追加されるときに記録されます。 これが発生すると、この証明書で署名されたブート アプリケーションはデバイスの起動時に信頼されなくなります。 これには、システム リカバリ メディアで使用されるブート アプリケーション、PXE ブート アプリケーション、およびこの証明書で署名されたブート アプリケーションを利用するその他のメディアが含まれます。
エラー ログ情報
|
イベント ログ |
System |
|
イベント ソース |
TPM-WMI |
|
イベント ID |
1037 |
|
Level |
情報 |
|
エラー メッセージ テキスト |
Microsoft Windows Production PCA 2011 を無効にするセキュア ブート Dbx 更新プログラムが正常に適用されました。 |
更新された DBX 失効リストがファームウェアに適用されると、ファームウェアからエラーが返されることがあります。 エラーが発生すると、イベントがログに記録され、Windows は次回のシステム再起動時に DBX リストをファームウェアに適用しようとします。
対処方法
ファームウェアの更新プログラムが利用可能かどうかを判断するには、デバイスの製造元に問い合わせてください。
イベント ログ情報
デバイスのファームウェアがエラーを返すと、イベント ID 1795 がログに記録されます。 イベント ログ エントリには、ファームウェアから返されるエラー コードが含まれます。
|
イベント ログ |
System |
|
イベント ソース |
TPM-WMI |
|
イベント ID |
1795 |
|
Level |
Error |
|
エラー メッセージのテキスト |
システム ファームウェアは、セキュア ブート変数を更新しようとしたときにエラー <ファームウェア エラー コード> を返しました。 詳細については、https://go.microsoft.com/fwlink/?linkid=2169931 を参照してください |
更新された DBX 失効リストがデバイスに適用され、上記のイベントの対象ではないエラーが発生すると、イベントがログに記録され、Windows は次回のシステム再起動時に DBX リストをファームウェアに適用しようとします。
イベント ログ情報
予期しないエラーが発生すると、イベント ID 1796 が発生します。 イベント ログ エントリには、予期しないエラーのエラー コードが含まれます。
|
イベント ログ |
System |
|
イベント ソース |
TPM-WMI |
|
イベント ID |
1796 |
|
Level |
Error |
|
エラー メッセージのテキスト |
セキュア ブートの更新プログラムは、セキュア ブート変数を更新できず、エラー <エラー コード> が発生しました。 詳細については、https://go.microsoft.com/fwlink/?linkid=2169931 を参照してください |
このイベントは、Microsoft Windows Production PCA 2011 証明書を UEFI セキュア ブート禁止署名データベース (DBX) に追加しようとしたときに記録されます。 この証明書を DBX に追加する前に、Windows UEFI CA 2023 証明書が UEFI セキュア ブート署名データベース (DB) に追加されていることを確認するためのチェックが行われます。 Windows UEFI CA 2023 が DB に追加されていない場合、Windows は意図的に DBX 更新に失敗します。 これは、デバイスがこれら 2 つの証明書のうち少なくとも 1 つを信頼することを保証するために行われます。これにより、デバイスは Microsoft によって署名されたブート アプリケーションを信頼するようになります。 Microsoft Windows Production PCA 2011 を DBX に追加する場合、デバイスが正常に起動し続けることを確認するために 2 つのチェックが行われます: 1) Windows UEFI CA 2023 が DB に追加されていることを確認する。2) 既定のブート アプリケーションが Microsoft Windows Production PCA 2011 証明書によって署名されていないことを確認する。
イベント ログ情報
|
イベント ログ |
System |
|
イベント ソース |
TPM-WMI |
|
イベント ID |
1797 |
|
Level |
Error |
|
エラー メッセージ テキスト |
Windows UEFI CA 2023 証明書が DB に存在しないため、セキュア ブート Dbx 更新は Microsoft Windows Production PCA 2011 を取り消すことができませんでした。 |
このイベントは、Microsoft Windows Production PCA 2011 証明書を UEFI セキュア ブート禁止署名データベース (DBX) に追加しようとしたときに記録されます。 この証明書を DBX に追加する前に、既定のブート アプリケーションが Microsoft Windows Production PCA 2011 署名証明書によって署名されていないことが確認されます。 既定のブート アプリケーションが Microsoft Windows Production PCA 2011 署名証明書によって署名されている場合、Windows は意図的に DBX 更新に失敗します。 Microsoft Windows Production PCA 2011 を DBX に追加する場合、デバイスが正常に起動し続けることを確認するために 2 つのチェックが行われます: 1) Windows UEFI CA 2023 が DB に追加されていることを確認する。2) 既定のブート アプリケーションが Microsoft Windows Production PCA 2011 証明書によって署名されていないことを確認する。
イベント ログ情報
|
イベント ログ |
System |
|
イベント ソース |
TPM-WMI |
|
イベント ID |
1798 |
|
Level |
Error |
|
エラー メッセージ テキスト |
ブート マネージャーが Windows UEFI CA 2023 証明書で署名されていないため、セキュア ブート Dbx 更新は Microsoft Windows Production PCA 2011 を取り消すことができませんでした |
このイベントは、Windows UEFI CA 2023 証明書によって署名されたシステムにブート マネージャーが適用されるときに記録されます
イベント ログ情報
|
イベント ログ |
System |
|
イベント ソース |
TPM-WMI |
|
イベント ID |
1799 |
|
Level |
情報 |
|
エラー メッセージ テキスト |
Windows UEFI CA 2023 で署名されたブート マネージャーが正常にインストールされました |
