Oppsummering
For å bidra til å holde Windows-enheter sikre legger Microsoft til sårbare bootloader-moduler i listen over sikker oppstart av DBX-tilbakekalling (vedlikeholdes i systemets UEFI-baserte fastvare) for å gjøre de sårbare modulene ugyldige. Når den oppdaterte DBX-tilbakekallingslisten er installert på en enhet, kontrollerer Windows om systemet er i en tilstand der DBX-oppdateringen kan brukes på fastvaren og rapporterer hendelsesloggfeil hvis det oppdages et problem.
Mer informasjon
Når en av disse sårbare modulene oppdages på enheten, opprettes det en hendelsesloggoppføring som advarer om situasjonen og inkluderer navnet på den oppdagede modulen. Hendelsesloggoppføringen inneholder detaljer som ligner på følgende:
Hendelsesloggen |
System |
Hendelseskilde |
TPM-WMI |
Hendelses-ID |
<hendelses-ID-nummer> |
Nivå |
Feil |
Meldingstekst for hendelse |
<meldingstekst> |
Hendelses-ID-er
Denne hendelsen logges når BitLocker på systemstasjonen er konfigurert på en slik måte at bruk av DBX-listen for sikker oppstart på fastvaren vil føre til at BitLocker går inn i gjenopprettingsmodus. Løsningen er å stanse BitLocker midlertidig i to omstartssykluser for å la oppdateringen installeres.
Utfør handling
Hvis du vil løse dette problemet, kjører du følgende kommando fra en ledetekst for administrator for å stoppe BitLocker i to omstartssykluser:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Start deretter enheten på nytt to ganger for å gjenoppta BitLocker-beskyttelsen.
Hvis du vil forsikre deg om at BitLocker-beskyttelsen er gjenopptatt, kjører du følgende kommando etter å ha startet på nytt to ganger:
-
Manage-bde –Protectors –enable %systemdrive%
Informasjon om hendelseslogg
Hendelses-ID 1032 logges når konfigurasjonen av BitLocker på systemstasjonen vil føre til at systemet går inn i BitLocker-gjenoppretting hvis oppdateringen for sikker oppstart brukes.
Hendelsesloggen |
System |
Hendelseskilde |
TPM-WMI |
Hendelses-ID |
1032 |
Nivå |
Feil |
Meldingstekst for hendelse |
Oppdateringen for sikker oppstart ble ikke brukt på grunn av en kjent inkompatibilitet med gjeldende BitLocker-konfigurasjon. |
Når den oppdaterte DBX-tilbakekallingslisten er installert på en enhet, kontrollerer Windows om systemet er avhengig av en av de sårbare modulene for å starte enheten. Hvis en av de sårbare modulene oppdages, utsettes oppdateringen til DBX-listen i fastvaren. Ved hver omstart av systemet skannes enheten på nytt for å finne ut om den sårbare modulen er oppdatert, og om den er trygg å bruke den oppdaterte DBX-listen.
Utfør handling
I de fleste tilfeller bør leverandøren av den sårbare modulen ha en oppdatert versjon som løser sikkerhetsproblemet. Kontakt leverandøren for å få oppdateringen.
Informasjon om hendelseslogg
Hendelses-ID 1033 logges når en sårbar oppstartslaster som er tilbakekalt av denne oppdateringen, oppdages på enheten.
Hendelsesloggen |
System |
Hendelseskilde |
TPM-WMI |
Hendelses-ID |
1033 |
Nivå |
Feil |
Meldingstekst for hendelse |
Potensielt tilbakekalt oppstartsbehandling ble oppdaget i EFI-partisjonen. Hvis du vil ha mer informasjon, kan du se https://go.microsoft.com/fwlink/?linkid=2169931 |
BootMgr for hendelsesdata |
<banen og navnet på den sårbare filen> |
Denne hendelsen logges når DBX-variabelen for sikker oppstart oppdateres. DBX-variabelen brukes til å oppheve klarerte komponenter for sikker oppstart og brukes vanligvis til å blokkere sårbare eller skadelige komponenter for sikker oppstart, for eksempel oppstartsbehandlere og sertifikater som brukes til å signere oppstartsbehandlere.
Hendelse 1034 indikerer at standard DBX-tilbakekallinger brukes på fastvaren,
Informasjon om hendelseslogg
Hendelsesloggen |
System |
Hendelseskilde |
TPM-WMI |
Hendelses-ID |
1034 |
Nivå |
Informasjon |
Meldingstekst for hendelse |
Oppdatering av sikker oppstart av Dbx er tatt i bruk |
Denne hendelsen logges når DB-variabelen for sikker oppstart oppdateres. DB-variabelen brukes til å legge til klarering for komponenter for sikker oppstart og brukes vanligvis til å klarere sertifikater som brukes til å signere oppstartsbehandlere.
Informasjon om hendelseslogg
Hendelsesloggen |
System |
Hendelseskilde |
TPM-WMI |
Hendelses-ID |
1036 |
Nivå |
Informasjon |
Meldingstekst for hendelse |
Oppdatering av sikker oppstart av DB er tatt i bruk |
Denne hendelsen logges når Microsoft Windows Production PCA 2011-sertifikatet legges til I UEFI Secure Boot Forbidden Signatures Database (DBX). Når dette skjer, klareres ikke lenger eventuelle oppstartsprogrammer som er signert med dette sertifikatet, når du starter enheten. Dette inkluderer eventuelle oppstartsprogrammer som brukes med systemgjenopprettingsmedier, PXE-oppstartsprogrammer og andre medier som bruker et oppstartsprogram signert av dette sertifikatet.
Feillogginformasjon
Hendelsesloggen |
System |
Hendelseskilde |
TPM-WMI |
Hendelses-ID |
1037 |
Nivå |
Informasjon |
Feilmeldingstekst |
Sikker oppstart av Dbx-oppdatering for å tilbakekalle Microsoft Windows Production PCA 2011 brukes. |
Når den oppdaterte DBX-tilbakekallingslisten brukes på fastvaren, kan fastvaren returnere en feil. Når det oppstår en feil, logges en hendelse, og Windows prøver å bruke DBX-listen på fastvaren ved neste omstart av systemet.
Utfør handling
Kontakt enhetsprodusenten for å finne ut om en fastvareoppdatering er tilgjengelig.
Informasjon om hendelseslogg
Hendelses-ID 1795 logges når fastvaren på enheten returnerer en feil. Hendelsesloggoppføringen inkluderer feilkoden som returneres fra fastvaren.
Hendelsesloggen |
System |
Hendelseskilde |
TPM-WMI |
Hendelses-ID |
1795 |
Nivå |
Feil |
Meldingstekst for hendelse |
Fastvaren returnerte en feil <fastvarefeilkode> under forsøk på å oppdatere en variabel for sikker oppstart. Hvis du vil ha mer informasjon, kan du se https://go.microsoft.com/fwlink/?linkid=2169931 |
Når den oppdaterte DBX-tilbakekallingslisten brukes på en enhet, og det oppstår en feil som ikke dekkes av hendelsene ovenfor, logges en hendelse, og Windows prøver å bruke DBX-listen på fastvaren ved neste omstart av systemet.
Informasjon om hendelseslogg
Hendelses-ID 1796 oppstår når det oppstår en uventet feil. Hendelsesloggoppføringen inkluderer feilkoden for den uventede feilen.
Hendelsesloggen |
System |
Hendelseskilde |
TPM-WMI |
Hendelses-ID |
1796 |
Nivå |
Feil |
Meldingstekst for hendelse |
Sikker oppstart-oppdateringen kan ikke oppdatere en variabel for sikker oppstart med feil <feilkode>. Hvis du vil ha mer informasjon, kan du se https://go.microsoft.com/fwlink/?linkid=2169931 |
Denne hendelsen logges under et forsøk på å legge til Microsoft Windows Production PCA 2011-sertifikatet i UEFI Secure Boot Forbidden Signatures Database (DBX). Før du legger til dette sertifikatet i DBX, kontrolleres det for å sikre at Sertifikatet for Windows UEFI CA 2023 er lagt til I UEFI Secure Boot Signature Database (DB). Hvis Windows UEFI CA 2023 ikke er lagt til ID-en, vil Windows med vilje mislykke DBX-oppdateringen. Dette gjøres for å sikre at enheten klarerer minst ett av disse to sertifikatene, noe som sikrer at enheten klarerer oppstartsprogrammer signert av Microsoft. Når du legger til MICROSOFT Windows Production PCA 2011 i DBX, utføres to kontroller for å sikre at enheten fortsetter å starte opp: 1) kontroller at Windows UEFI CA 2023 er lagt til DB, 2) Kontroller at standard oppstartsprogram ikke er signert av Microsoft Windows Production PCA 2011-sertifikatet.
Informasjon om hendelseslogg
Hendelsesloggen |
System |
Hendelseskilde |
TPM-WMI |
Hendelses-ID |
1797 |
Nivå |
Feil |
Feilmeldingstekst |
Oppdateringen for sikker oppstart av Dbx kan ikke tilbakekalle Microsoft Windows Production PCA 2011 fordi Windows UEFI CA 2023-sertifikatet ikke finnes i DB. |
Denne hendelsen logges under et forsøk på å legge til Microsoft Windows Production PCA 2011-sertifikatet i UEFI Secure Boot Forbidden Signatures Database (DBX). Før du legger til dette sertifikatet i DBX, utføres det en kontroll for å sikre at standard oppstartsprogram ikke er signert av microsoft Windows Production PCA 2011-signeringssertifikatet. Hvis standard oppstartsprogram er signert av Microsoft Windows Production PCA 2011-signeringssertifikatet, vil Windows med vilje mislykke DBX-oppdateringen. Når du legger til MICROSOFT Windows Production PCA 2011 i DBX, utføres to kontroller for å sikre at enheten fortsetter å starte opp: 1) kontroller at Windows UEFI CA 2023 er lagt til DB, 2) Kontroller at standard oppstartsprogram ikke er signert av Microsoft Windows Production PCA 2011-sertifikatet.
Informasjon om hendelseslogg
Hendelsesloggen |
System |
Hendelseskilde |
TPM-WMI |
Hendelses-ID |
1798 |
Nivå |
Feil |
Feilmeldingstekst |
Oppdateringen for sikker oppstart av Dbx kan ikke tilbakekalle Microsoft Windows Production PCA 2011 fordi oppstartsbehandling ikke er signert med Windows UEFI CA 2023-sertifikatet |
Denne hendelsen logges når en oppstartsbehandling brukes på systemet som er signert av Windows UEFI CA 2023-sertifikatet
Informasjon om hendelseslogg
Hendelsesloggen |
System |
Hendelseskilde |
TPM-WMI |
Hendelses-ID |
1799 |
Nivå |
Informasjon |
Feilmeldingstekst |
Boot Manager signert med Windows UEFI CA 2023 ble installert |