Microsoft-veiledning for bruk av DBX-oppdatering for sikker oppstart (KB4575994)

Bruke en DBX-oppdatering på Windows

Når du har lest advarslene i forrige del og bekreftet at enheten er kompatibel, følger du disse trinnene for å oppdatere DBX for sikker oppstart:

1. Last ned den aktuelle UEFI-tilbakekallingslistefilen (Dbxupdate.bin) for plattformen fra denne UEFI-nettsiden.

2. Du må dele filen Dbxupdate.bin i de nødvendige komponentene for å kunne bruke dem ved hjelp av PowerShell-cmdleter. Dette gjør du slik:

   1. Last ned PowerShell-skriptet fra nettsiden for PowerShell-galleriet.

   2. Kjør følgende cmdlet for å finne skriptet:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Kontroller at cmdleten laster ned skriptet og gir utdatadetaljer, inkludert Navn, Versjon, Forfatter, PublishedDate, InstalledDate og InstalledLocation.

   4. Kjør følgende cmdleter:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

   5. Kontroller at SplitDbxContent.ps1-filen nå er i Skript-mappen.

   6. Kjør følgende PowerShell-skript på filen Dbxupdate.bin:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Kontroller at kommandoen opprettet følgende filer.

      

      • Content.bin – oppdater innhold

      • Signature.p7 – signatur som godkjenner oppdateringsprosessen

3. Kjør Set-SecureBootUefi-cmdleten i en administrativ PowerShell-økt for å bruke DBX-oppdateringen:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   Forventet utdata
   
   

4. Start enheten på nytt for å fullføre installasjonen av oppdateringen.

Hvis du vil ha mer informasjon om konfigurasjons-cmdleten for sikker oppstart og hvordan du bruker den for DBX-oppdateringer, kan du se Set-Secure.

Kontrollerer at oppdateringen var vellykket  

Når du har fullført trinnene i forrige del og startet enheten på nytt, følger du disse trinnene for å bekrefte at oppdateringen ble brukt. Etter vellykket bekreftelse vil ikke enheten lenger bli påvirket av GRUB-sikkerhetsproblemet.

1. Last ned DBX-oppdateringsbekreftelsesskriptene fra denne GitHub Gist-nettsiden.

2. Pakk ut skript og binærfiler fra den komprimerte filen.

3. Kjør følgende PowerShell-skript i mappen som inneholder de utvidede skriptene og binærfilene for å bekrefte DBX-oppdateringen:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Merk: Hvis en DBX-oppdatering som samsvarer med juli 2020- eller oktober 2020-versjonene fra dette filarkivet for tilbakekallingslisten , ble brukt, kjører du følgende passende kommando i stedet:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. Kontroller at utdataene samsvarer med det forventede resultatet.
   
   

FAQ

Spørsmål 1: Hva betyr feilmeldingen "Get-SecureBootUEFI: Cmdlets not supported on this platform"?

A1: Denne feilmeldingen angir at INGEN sikker oppstart er aktivert på datamaskinen. Derfor påvirkes ikke denne enheten av grub-sikkerhetsproblemet. Ingen ytterligere handling er nødvendig.

Spørsmål 2: Hvordan konfigurere enheten til å klarere eller ikke klarere tredjeparts UEFI CA? 

A2: Vi anbefaler at du kontakter OEM-leverandøren. 

For Microsoft Surface endrer du innstillingen for sikker oppstart til «Bare Microsoft», og kjører deretter følgende PowerShell-kommando (resultatet skal være «Usann»): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Hvis du vil ha mer informasjon om hvordan du konfigurerer for Microsoft Surface, kan du se Administrer Surface UEFI-innstillinger – Surface | Microsoft Docs.

Spørsmål 3: Påvirker dette problemet virtuelle maskiner i Azure IaaS generasjon 1 og generasjon 2? 

A3: Nei. Virtuelle Azure-maskiner Gen1 og Gen2 støtter ikke funksjonen for sikker oppstart. Derfor påvirkes de ikke av tillitskjeden. 

Spørsmål 4: Refererer ADV200011 og CVE-2020-0689 til det samme sikkerhetsproblemet som er relatert til sikker oppstart? 

A: Nei. Disse sikkerhetsveiledningene beskriver ulike sårbarheter. "ADV200011" refererer til et sikkerhetsproblem i GRUB (Linux-komponenten) som kan føre til en sikker oppstartsforbikobling. "CVE-2020-0689" refererer til et sikkerhetsproblem for omgåelse av sikkerhetsfunksjon som finnes i sikker oppstart. 

Spørsmål 5: Jeg kan ikke kjøre noen av PowerShell-skriptene. Hva bør jeg gjøre?

A: Kontroller kjøringspolicyen for PowerShell ved å kjøre kommandoen Get-ExecutionPolicy . Avhengig av utdataene må du kanskje oppdatere kjøringspolicyen:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs