Samenvatting
Om Windows-apparaten veilig te houden, voegt Microsoft kwetsbare opstartlaadmodules toe aan de Secure Boot DBX-intrekkingslijst (onderhouden in de UEFI-firmware van het systeem) om de kwetsbare modules ongeldig te maken. Wanneer de bijgewerkte DBX-intrekkingslijst is geïnstalleerd op een apparaat, controleert Windows of het systeem zich in een status bevindt waarin de DBX-update kan worden toegepast op de firmware. Er worden fouten in gebeurtenislogboeken gerapporteerd als er een probleem wordt gedetecteerd.
Meer informatie
Wanneer een van deze kwetsbare modules op het apparaat wordt gedetecteerd, wordt er een gebeurtenislogboekvermelding gemaakt met een waarschuwing over de situatie en bevat de naam van de gedetecteerde module. De vermelding van het gebeurtenislogboek bevat details die er ongeveer als volgt uitzien:
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenisbron |
TPM-WMI |
|
Gebeurtenis-id |
<gebeurtenis-id-nummer> |
|
Niveau |
Fout |
|
Berichttekst van gebeurtenis |
<berichttekst> |
Gebeurtenis-id's
Deze gebeurtenis wordt geregistreerd wanneer BitLocker op het systeemstation zodanig is geconfigureerd dat het toepassen van de lijst Secure Boot DBX op de firmware ervoor zorgt dat BitLocker in de herstelmodus gaat. De oplossing is om BitLocker tijdelijk te onderbreken voor 2 herstartcycli om de update te laten installeren.
Actie ondernemen
U kunt dit probleem oplossen door de volgende opdracht uit te voeren vanaf een administrator-opdrachtprompt om BitLocker te onderbreken voor 2 herstartcycli:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Start het apparaat vervolgens twee keer opnieuw op om de BitLocker-beveiliging te hervatten.
Voer de volgende opdracht uit nadat u de bitLocker-beveiliging twee keer opnieuw hebt opgestart om ervoor te zorgen dat bitLocker-beveiliging is hervat:
-
Manage-bde –Protectors –enable %systemdrive%
Gebeurtenislogboekgegevens
Gebeurtenis-id 1032 wordt geregistreerd wanneer de configuratie van BitLocker op het systeemstation ertoe leidt dat het systeem overgaat naar BitLocker-herstel als de update voor beveiligd opstarten wordt toegepast.
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenisbron |
TPM-WMI |
|
Gebeurtenis-id |
1032 |
|
Niveau |
Fout |
|
Berichttekst van gebeurtenis |
De update voor beveiligd opstarten is niet toegepast vanwege een bekende incompatibiliteit met de huidige BitLocker-configuratie. |
Wanneer de bijgewerkte DBX-intrekkingslijst op een apparaat is geïnstalleerd, controleert Windows of het systeem afhankelijk is van een van de kwetsbare modules om het apparaat te starten. Als een van de kwetsbare modules wordt gedetecteerd, wordt de update van de DBX-lijst in de firmware uitgesteld. Bij elke herstart van het systeem wordt het apparaat opnieuw gescand om te bepalen of de kwetsbare module is bijgewerkt en of het veilig is om de bijgewerkte DBX-lijst toe te passen.
Actie ondernemen
In de meeste gevallen moet de leverancier van de kwetsbare module een bijgewerkte versie hebben die het beveiligingsprobleem oplost. Neem contact op met uw leverancier om de update op te halen.
Gebeurtenislogboekgegevens
Gebeurtenis-id 1033 wordt geregistreerd wanneer een kwetsbaar opstartlaadprogramma dat door deze update is ingetrokken, op uw apparaat wordt gedetecteerd.
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenisbron |
TPM-WMI |
|
Gebeurtenis-id |
1033 |
|
Niveau |
Fout |
|
Berichttekst van gebeurtenis |
Mogelijk ingetrokken opstartbeheer is gedetecteerd in de EFI-partitie. Zie https://go.microsoft.com/fwlink/?linkid=2169931 voor meer informatie |
|
Event Data BootMgr |
<pad en naam van kwetsbaar bestand> |
Deze gebeurtenis wordt geregistreerd wanneer de DBX-variabele Voor beveiligd opstarten is bijgewerkt. De DBX-variabele wordt gebruikt om Secure Boot-onderdelen niet meer te vertrouwen en wordt meestal gebruikt om kwetsbare of schadelijke Secure Boot-onderdelen te blokkeren, zoals opstartmanagers en certificaten die worden gebruikt om opstartbeheerders te ondertekenen.
Gebeurtenis 1034 geeft aan dat de standaard DBX-intrekkingen worden toegepast op de firmware,
Gebeurtenislogboekgegevens
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenisbron |
TPM-WMI |
|
Gebeurtenis-id |
1034 |
|
Niveau |
Informatie |
|
Berichttekst van gebeurtenis |
Secure Boot Dbx-update is toegepast |
Deze gebeurtenis wordt geregistreerd wanneer de variabele Secure Boot DB is bijgewerkt. De DB-variabele wordt gebruikt om vertrouwensrelatie toe te voegen voor onderdelen van Beveiligd opstarten en wordt meestal gebruikt om certificaten te vertrouwen die worden gebruikt om opstartbeheerders te ondertekenen.
Gebeurtenislogboekgegevens
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenisbron |
TPM-WMI |
|
Gebeurtenis-id |
1036 |
|
Niveau |
Informatie |
|
Berichttekst van gebeurtenis |
Secure Boot Db-update is toegepast |
Deze gebeurtenis wordt geregistreerd wanneer het Microsoft Windows Production PCA 2011-certificaat wordt toegevoegd aan de Database met verboden handtekeningen (DBX) van UEFI Secure Boot. Wanneer dit gebeurt, worden opstarttoepassingen die zijn ondertekend met dit certificaat niet meer vertrouwd bij het starten van het apparaat. Dit omvat alle opstarttoepassingen die worden gebruikt met systeemherstelmedia, PXE-opstarttoepassingen en andere media die gebruikmaken van een opstarttoepassing die door dit certificaat is ondertekend.
Foutlogboekgegevens
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenisbron |
TPM-WMI |
|
Gebeurtenis-id |
1037 |
|
Niveau |
Informatie |
|
Tekst van foutbericht |
Secure Boot Dbx-update voor het intrekken van Microsoft Windows Production PCA 2011 is toegepast. |
Wanneer de bijgewerkte DBX-intrekkingslijst wordt toegepast op de firmware, kan de firmware een fout retourneren. Wanneer er een fout optreedt, wordt een gebeurtenis geregistreerd en probeert Windows de DBX-lijst toe te passen op de firmware bij de volgende keer dat het systeem opnieuw wordt opgestart.
Actie ondernemen
Neem contact op met de fabrikant van uw apparaat om te bepalen of er een firmware-update beschikbaar is.
Gebeurtenislogboekgegevens
Gebeurtenis-id 1795 wordt geregistreerd wanneer de firmware op het apparaat een fout retourneert. De vermelding in het gebeurtenislogboek bevat de foutcode die wordt geretourneerd door de firmware.
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenisbron |
TPM-WMI |
|
Gebeurtenis-id |
1795 |
|
Niveau |
Fout |
|
Berichttekst van gebeurtenis |
De systeemfirmware heeft een fout geretourneerd <firmwarefoutcode> bij het bijwerken van een secure boot-variabele. Zie https://go.microsoft.com/fwlink/?linkid=2169931 voor meer informatie |
Wanneer de bijgewerkte DBX-intrekkingslijst wordt toegepast op een apparaat en er een fout optreedt die niet wordt gedekt door de bovenstaande gebeurtenissen, wordt een gebeurtenis geregistreerd en probeert Windows de DBX-lijst toe te passen op de firmware bij de volgende keer dat het systeem opnieuw wordt opgestart.
Gebeurtenislogboekgegevens
Gebeurtenis-id 1796 treedt op wanneer er een onverwachte fout optreedt. De vermelding van het gebeurtenislogboek bevat de foutcode voor de onverwachte fout.
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenisbron |
TPM-WMI |
|
Gebeurtenis-id |
1796 |
|
Niveau |
Fout |
|
Berichttekst van gebeurtenis |
De secure boot-update kan een secure boot-variabele niet bijwerken met fout <foutcode>. Zie https://go.microsoft.com/fwlink/?linkid=2169931 voor meer informatie |
Deze gebeurtenis wordt geregistreerd tijdens een poging om het Microsoft Windows Production PCA 2011-certificaat toe te voegen aan de database met verboden handtekeningen (DBX) van UEFI Secure Boot. Voordat u dit certificaat aan de DBX toevoegt, wordt gecontroleerd of het Windows UEFI CA 2023-certificaat is toegevoegd aan de UEFI Secure Boot Signature Database (DB). Als de Windows UEFI CA 2023 niet is toegevoegd aan de database, mislukt Windows opzettelijk de DBX-update. Dit wordt gedaan om ervoor te zorgen dat het apparaat ten minste een van deze twee certificaten vertrouwt, waardoor het apparaat opstarttoepassingen vertrouwt die zijn ondertekend door Microsoft. Wanneer u microsoft Windows Production PCA 2011 toevoegt aan de DBX, worden er twee controles uitgevoerd om te controleren of het apparaat blijft opstarten: 1) controleren of Windows UEFI CA 2023 is toegevoegd aan de DB, 2) Zorg ervoor dat de standaardstarttoepassing niet is ondertekend door het Microsoft Windows Production PCA 2011-certificaat.
Gebeurtenislogboekgegevens
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenisbron |
TPM-WMI |
|
Gebeurtenis-id |
1797 |
|
Niveau |
Fout |
|
Tekst van foutbericht |
De Secure Boot Dbx-update kan Microsoft Windows Production PCA 2011 niet intrekken omdat het Windows UEFI CA 2023-certificaat niet aanwezig is in db. |
Deze gebeurtenis wordt geregistreerd tijdens een poging om het Microsoft Windows Production PCA 2011-certificaat toe te voegen aan de database met verboden handtekeningen (DBX) van UEFI Secure Boot. Voordat u dit certificaat toevoegt aan de DBX, wordt gecontroleerd of de standaardstarttoepassing niet is ondertekend door het Microsoft Windows Production PCA 2011-handtekeningcertificaat. Als de standaardstarttoepassing is ondertekend door het Microsoft Windows Production PCA 2011-handtekeningcertificaat, mislukt de DBX-update opzettelijk. Wanneer u microsoft Windows Production PCA 2011 toevoegt aan de DBX, worden er twee controles uitgevoerd om te controleren of het apparaat blijft opstarten: 1) controleren of Windows UEFI CA 2023 is toegevoegd aan de DB, 2) Zorg ervoor dat de standaardstarttoepassing niet is ondertekend door het Microsoft Windows Production PCA 2011-certificaat.
Gebeurtenislogboekgegevens
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenisbron |
TPM-WMI |
|
Gebeurtenis-id |
1798 |
|
Niveau |
Fout |
|
Tekst van foutbericht |
De Secure Boot Dbx-update kan Microsoft Windows Production PCA 2011 niet intrekken omdat opstartbeheer niet is ondertekend met het Windows UEFI CA 2023-certificaat |
Deze gebeurtenis wordt geregistreerd wanneer een opstartbeheer wordt toegepast op het systeem dat is ondertekend door het Windows UEFI CA 2023-certificaat
Gebeurtenislogboekgegevens
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenisbron |
TPM-WMI |
|
Gebeurtenis-id |
1799 |
|
Niveau |
Informatie |
|
Tekst van foutbericht |
Opstartbeheer dat is ondertekend met Windows UEFI CA 2023 is geïnstalleerd |
