요약
Windows 장치를 안전하게 유지하기 위해 Microsoft는 취약한 부팅 DBX 해지 목록(시스템 UEFI 기반 펌웨어에서 유지 관리됨)에 취약한 부팅 로더 모듈을 추가하여 취약한 모듈을 무효화합니다. 업데이트된 DBX 해지 목록이 장치에 설치되면 Windows에서는 시스템이 DBX 업데이트를 펌웨어에 제대로 적용할 수 있는 상태인지 확인하고 문제가 발견되면 이벤트 로그 오류를 보고합니다.
자세한 정보
이러한 취약 모듈 중 하나가 장치에서 검색되면 이벤트 로그 항목이 생성되어 상황에 대해 알리는 동시에 검색된 모듈의 이름이 포함됩니다. 이벤트 로그 항목에는 다음과 유사한 세부 정보가 포함됩니다.
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
TPM-WMI |
|
이벤트 ID |
<이벤트 ID 번호> |
|
수준 |
Error |
|
이벤트 메시지 텍스트 |
<메시지 텍스트> |
이벤트 ID
이 이벤트는 시스템 드라이브의 BitLocker가 펌웨어에 보안 부팅 DBX 목록을 적용하면 BitLocker가 복구 모드로 전환되도록 구성된 경우에 기록됩니다. 해결 방법은 업데이트를 설치할 수 있도록 재시작 주기 2회 동안 BitLocker를 일시적으로 중단하는 것입니다.
조치 취하기
이 문제를 해결하려면 관리자 명령 프롬프트에서 다음 명령을 실행하여 재시작 주기 2회 동안 BitLocker를 일시 중단합니다.
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
그런 다음 장치를 두 번 재시작하여 BitLocker 보호를 다시 시작합니다.
BitLocker 보호가 재개되었는지 확인하려면 두 번의 재시작 이후에 다음 명령을 실행합니다.
-
Manage-bde –Protectors –enable %systemdrive%
이벤트 로그 정보
시스템 드라이브에서 BitLocker를 구성하면 보안 부팅 업데이트가 적용되는 경우 시스템이 BitLocker 복구로 전환되도록 할 때 이벤트 ID 1032가 기록됩니다.
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
TPM-WMI |
|
이벤트 ID |
1032 |
|
수준 |
Error |
|
이벤트 메시지 텍스트 |
현재 BitLocker 구성과 알려진 비호환성으로 인해 보안 부팅 업데이트가 적용되지 않았습니다. |
업데이트된 DBX 해지 목록이 장치에 설치되면 Windows에서는 시스템이 취약 모듈 중 하나에 따라 장치를 시작하는지 여부를 확인합니다. 취약 모듈 중 하나가 검색되면 펌웨어의 DBX 목록에 대한 업데이트가 지연됩니다. 시스템을 다시 시작할 때마다 장치를 다시 검사해 취약 모듈이 업데이트되었는지 여부와 업데이트한 DBX 목록을 적용하는 것이 안전한지 확인합니다.
조치 취하기
대부분의 경우 취약 모듈의 공급업체에는 취약성을 해결하는 업데이트된 버전이 있게 마련입니다. 공급업체에 문의해 업데이트를 받으세요.
이벤트 로그 정보
이 업데이트로 해지된 취약한 부팅 로더가 장치에서 검색되면 이벤트 ID 1033이 기록됩니다.
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
TPM-WMI |
|
이벤트 ID |
1033 |
|
수준 |
Error |
|
이벤트 메시지 텍스트 |
잠재적으로 해지된 부팅 관리자가 EFI 파티션에서 검색되었습니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2169931을 참조하세요. |
|
이벤트 데이터 BootMgr |
<취약한 파일의 경로와 이름입니다> |
이 이벤트는 보안 부팅 DBX 변수가 업데이트될 때 기록됩니다. DBX 변수는 신뢰할 수 없는 보안 부팅 구성 요소에 사용되며 일반적으로 부팅 관리자와 부팅 관리자 서명에 사용되는 인증서와 같은 취약하거나 악의적인 보안 부팅 구성 요소를 차단하는 데 사용됩니다.
이벤트 1034는 표준 DBX 해지가 펌웨어에 적용되고 있음을 나타냅니다.
이벤트 로그 정보
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
TPM-WMI |
|
이벤트 ID |
1034 |
|
수준 |
정보 |
|
이벤트 메시지 텍스트 |
보안 부팅 DBX 업데이트가 적용됨 |
이 이벤트는 보안 부팅 DB 변수가 업데이트될 때 기록됩니다. DB 변수는 보안 부팅 구성 요소에 대한 신뢰를 추가하는 데 사용되며 일반적으로 부팅 관리자에 서명하는 데 사용되는 인증서를 신뢰하는 데 사용됩니다.
이벤트 로그 정보
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
TPM-WMI |
|
이벤트 ID |
1036 |
|
수준 |
정보 |
|
이벤트 메시지 텍스트 |
보안 부팅 DB 업데이트가 적용됨 |
이 이벤트는 Microsoft Windows Production PCA 2011 인증서가 UEFI 보안 부팅 금지 서명 데이터베이스(DBX)에 추가될 때 기록됩니다. 이 경우 디바이스를 시작할 때 이 인증서로 서명된 모든 부팅 애플리케이션을 더 이상 신뢰할 수 없습니다. 여기에는 시스템 복구 미디어와 PXE 부팅 애플리케이션, 이 인증서로 서명한 부팅 애플리케이션을 활용하는 다른 미디어와 함께 사용되는 모든 부팅 애플리케이션이 포함됩니다.
오류 로그 정보
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
TPM-WMI |
|
이벤트 ID |
1037 |
|
수준 |
정보 |
|
오류 메시지 텍스트 |
Microsoft Windows Production PCA 2011을 해지하는 보안 부팅 Dbx 업데이트를 적용했습니다. |
업데이트된 DBX 해지 목록이 펌웨어에 적용되면 펌웨어에서 오류를 반환할 수 있습니다. 오류가 발생하면 이벤트가 기록되고 Windows에서는 다음 시스템 재시작 시 DBX 목록을 펌웨어에 적용하려고 시도합니다.
조치 취하기
장치 제조업체에 문의하여 펌웨어 업데이트를 사용할 수 있는지 확인합니다.
이벤트 로그 정보
장치의 펌웨어가 오류를 반환하면 이벤트 ID 1795가 기록됩니다. 이벤트 로그 항목에는 펌웨어에서 반환된 오류 코드가 포함됩니다.
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
TPM-WMI |
|
이벤트 ID |
1795 |
|
수준 |
Error |
|
이벤트 메시지 텍스트 |
시스템 펌웨어가 보안 부팅 변수를 업데이트하려고 할 때 오류 <펌웨어 오류 코드>를 반환했습니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2169931을 참조하세요. |
업데이트된 DBX 해지 목록이 장치에 적용된 상태에서 위의 이벤트에서 다루지 않는 오류가 발생하면 이벤트가 기록되고 Windows에서는 다음 시스템 재시작 시 DBX 목록을 펌웨어에 적용하려고 시도합니다.
이벤트 로그 정보
이벤트 ID 1796은 예기치 않은 오류 시에 발생합니다. 이벤트 로그 항목에는 예기치 않은 오류에 대한 오류 코드가 포함됩니다.
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
TPM-WMI |
|
이벤트 ID |
1796 |
|
수준 |
Error |
|
이벤트 메시지 텍스트 |
보안 부팅 업데이트에서 오류 <오류 코드>로 인해 보안 부팅 변수를 업데이트하지 못했습니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2169931을 참조하세요. |
이 이벤트는 Microsoft Windows Production PCA 2011 인증서를 UEFI 보안 부팅 금지 서명 데이터베이스(DBX)에 추가하는 동안 기록됩니다. 이 인증서를 DBX에 추가하기 전에 Windows UEFI CA 2023 인증서가 UEFI 보안 부팅 서명 데이터베이스(DB)에 추가되었는지 확인하세요. Windows UEFI CA 2023이 DB에 추가되지 않은 경우 Windows는 의도적으로 DBX 업데이트에 실패합니다. 이렇게 하면 디바이스가 이러한 두 인증서 한 개 이상을 신뢰하여 디바이스가 Microsoft가 서명한 부팅 애플리케이션을 신뢰할 수 있습니다. Microsoft Windows Production PCA 2011을 DBX에 추가할 때 디바이스가 계속 부팅되는지 확인하기 위해 두 가지 검사를 수행합니다. 1) Windows UEFI CA 2023이 DB에 추가되었는지 확인, 2) Microsoft Windows Production PCA 2011 인증서로 기본 부팅 애플리케이션을 서명하지 않았는지 확인.
이벤트 로그 정보
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
TPM-WMI |
|
이벤트 ID |
1797 |
|
수준 |
Error |
|
오류 메시지 텍스트 |
Windows UEFI CA 2023 인증서가 DB에 없어 보안 부팅 Dbx 업데이트가 Microsoft Windows Production PCA 2011을 해지하지 못했습니다. |
이 이벤트는 Microsoft Windows Production PCA 2011 인증서를 UEFI 보안 부팅 금지 서명 데이터베이스(DBX)에 추가하는 동안 기록됩니다. 이 인증서를 DBX에 추가하기 전에 Microsoft Windows Production PCA 2011 서명 인증서로 기본 부팅 애플리케이션을 서명하지 않았는지 확인하기 위해 검사를 수행합니다. Microsoft Windows Production PCA 2011 서명 인증서로 기본 부팅 애플리케이션을 서명한 경우 Windows는 의도적으로 DBX 업데이트에 실패합니다. Microsoft Windows Production PCA 2011을 DBX에 추가할 때 디바이스가 계속 부팅되는지 확인하기 위해 두 가지 검사를 수행합니다. 1) Windows UEFI CA 2023이 DB에 추가되었는지 확인, 2) Microsoft Windows Production PCA 2011 인증서로 기본 부팅 애플리케이션을 서명하지 않았는지 확인.
이벤트 로그 정보
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
TPM-WMI |
|
이벤트 ID |
1798 |
|
수준 |
Error |
|
오류 메시지 텍스트 |
Windows UEFI CA 2023 인증서로 부팅 관리자를 서명하지 않아 보안 부팅 Dbx 업데이트가 Microsoft Windows Production PCA 2011을 해지하지 못했습니다. |
이 이벤트는 Windows UEFI CA 2023 인증서로 서명한 시스템에 부팅 관리자를 적용할 때 기록됩니다.
이벤트 로그 정보
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
TPM-WMI |
|
이벤트 ID |
1799 |
|
수준 |
정보 |
|
오류 메시지 텍스트 |
Windows UEFI CA 2023으로 서명한 부팅 관리자를 설치했습니다. |
