보안 부팅 DBX 업데이트 적용을 위한 Microsoft 지침(KB4575994)

Windows에 DBX 업데이트 적용

이전 섹션에서 경고를 읽고 디바이스가 호환되는지 확인한 후 다음 단계에 따라 보안 부팅 DBX를 업데이트합니다.

1. 이 UEFI 웹페이지에서 플랫폼에 적합한 UEFI 해지 목록 파일(Dbxupdate.bin)을 다운로드합니다.

2. PowerShell cmdlets를 사용하여 적용하려면 Dbxupdate.bin 파일을 필요한 구성 요소로 분할해야 합니다. 이렇게 하려면 다음과 같이 하십시오.

   1. 이 PowerShell Gallery 웹 페이지에서 PowerShell 스크립트를 다운로드하세요.

   2. 스크립트를 찾도록 도와주려면 다음 cmdlet을 실행합니다.

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. cmdlet이 스크립트를 성공적으로 다운로드하고 이름, 버전, 작성자, PublishedDate, InstalledDate, InstalledLocation을 비롯한 출력 세부 정보를 제공하는지 확인합니다.

   4. 다음 cmdlet을 실행합니다.

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • ls

   5. SplitDbxContent.ps1 파일이 이제 Scripts 폴더에 있는지 확인합니다.

   6. Dbxupdate.bin 파일에서 다음 PowerShell 스크립트를 실행합니다.
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. 이 명령으로 다음 파일이 만들어졌는지 확인합니다.

      

      • Content.bin – 업데이트 콘텐츠

      • Signature.p7 – 업데이트 프로세스 승인 서명

3. 관리 PowerShell 세션에서 Set-SecureBootUefi cmdlet를 실행하여 DBX 업데이트를 적용합니다.
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   예상 출력
   
   

4. 업데이트 설치 프로세스를 완료하려면 디바이스를 다시 시작하십시오.

보안 부팅 구성 cmdlet 및 이를 DBX 업데이트에 사용하는 방법에 대한 자세한 내용은 Set-Secure를 참조하세요.

성공적으로 업데이트 되었는지 확인  

이전 섹션의 단계를 성공적으로 완료하고 디바이스를 다시 시작한 후 다음 단계에 따라 업데이트가 성공적으로 적용되었는지 확인합니다. 성공적으로 확인한 후에는 디바이스가 더 이상 GRUB 취약성의 영향을 받지 않습니다.

1. 이 GitHub Gist 웹 페이지에서 DBX 업데이트 확인 스크립트를 다운로드합니다.

2. 압축 파일에서 스크립트와 바이너리를 추출합니다.

3. 확장된 스크립트 및 바이너리가 포함된 폴더 내에서 다음 PowerShell 스크립트를 실행하여 DBX 업데이트를 확인합니다.
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   참고: 이 해지 목록 파일 아카이브의 2020년 7월 또는 2020년 10월 버전과 일치하는 DBX 업데이트가 적용된 경우, 대신 다음과 같은 적절한 명령을 실행합니다.
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. 출력이 예상 결과와 일치하는지 확인합니다.
   
   

FAQ

질문 1: 오류 메시지 "Get-SecureBootUEFI: 이 플랫폼에서 지원되지 않는 cmdlet"은 무엇을 의미하나요?

대답 1: 이 오류 메시지는 컴퓨터에서 보안 부팅 기능을 사용하고 있지 않음을 나타냅니다. 따라서 이 디바이스는 GRUB 취약성의 영향을 받지 않으며, 추가 조치가 필요하지 않습니다.

질문 2: 타사 UEFI CA를 신뢰하거나 신뢰하지 않도록 디바이스를 구성하려면 어떻게 해야 하나요? 

대답 2: OEM 공급 업체에 문의하는 것이 좋습니다. 

Microsoft Surface의 경우 보안 부팅 설정을 "Microsoft 전용"으로 변경한 후 다음 PowerShell 명령을 실행합니다(결과는 "False"여야 함). 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Microsoft Surface를 구성하는 방법에 대한 자세한 내용은 Surface UEFI 설정 관리 - Surface | Microsoft Docs를 참조하세요.

질문 3: 이 문제가 Azure IaaS 1세대, 2세대 가상 머신에 영향을 주나요? 

대답 3: 아니요. Azure 게스트 가상 머신 1세대와 2세대는 보안 부팅 기능을 지원하지 않습니다. 따라서 이들은 신뢰 체인 공격의 영향을 받지 않습니다. 

질문 4: ADV200011 및 CVE-2020-0689에서 보안 부팅과 관련된 동일한 취약성을 설명하나요? 

대답: 아니요. 이 보안 권고들은 다른 취약성에 대해 설명합니다. "ADV200011"은 보안 부팅 우회를 유발할 수 있는 GRUB(Linux 구성 요소)의 취약성에 대해 언급하고, "CVE-2020-0689"는 보안 부팅에 존재하는 보안 기능 우회 취약성에 대해 언급합니다. 

질문 5: PowerShell 스크립트 중 하나를 실행할 수 없습니다. 어떻게 해야 하나요?

대답: Get-ExecutionPolicy 명령을 실행하여 PowerShell 실행 정책을 확인합니다. 출력에 따라 실행 정책을 업데이트해야 할 수 있습니다.

• Set-ExecutionPolicy(Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs