Microsoft-richtlijnen voor het toepassen van Secure Boot DBX-update (KB4575994)

Een DBX-update toepassen in Windows

Nadat u de waarschuwingen in de vorige sectie hebt gelezen en hebt gecontroleerd of uw apparaat compatibel is, volgt u deze stappen om de Secure Boot DBX bij te werken:

1. Download het juiste UEFI-intrekkingslijstbestand (Dbxupdate.bin) voor uw platform van deze UEFI-webpagina.

2. U moet het bestand Dbxupdate.bin splitsen in de benodigde onderdelen om ze toe te passen met behulp van PowerShell-cmdlets. Ga hiervoor als volgt te werk:

   1. Download het PowerShell-script van deze PowerShell Gallery webpagina.

   2. Voer de volgende cmdlet uit om het script te vinden:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Controleer of de cmdlet het script heeft gedownload en de uitvoergegevens bevat, waaronder Naam, Versie, Auteur, PublishedDate, InstalledDate en InstalledLocation.

   4. Voer de volgende cmdlets uit:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

   5. Controleer of het SplitDbxContent.ps1-bestand zich nu in de map Scripts bevindt.

   6. Voer het volgende PowerShell-script uit op het bestand Dbxupdate.bin:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Controleer of de opdracht de volgende bestanden heeft gemaakt.

      

      • Content.bin : inhoud bijwerken

      • Signature.p7: handtekening die het updateproces autoriseert

3. Voer in een PowerShell-sessie met beheerdersrechten de cmdlet Set-SecureBootUefi uit om de DBX-update toe te passen:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   Verwachte uitvoer
   
   

4. Start het apparaat opnieuw op om het installatieproces van de update te voltooien.

Zie Set-Secure voor meer informatie over de configuratie-cmdlet voor beveiligd opstarten en hoe u deze kunt gebruiken voor DBX-updates.

Controleren of de update is geslaagd  

Nadat u de stappen in de vorige sectie hebt voltooid en het apparaat opnieuw hebt opgestart, volgt u deze stappen om te controleren of de update is toegepast. Na een geslaagde verificatie wordt uw apparaat niet meer beïnvloed door het GRUB-beveiligingsprobleem.

1. Download de DBX-updateverificatiescripts van deze GitHub Gist-webpagina.

2. Pak de scripts en binaire bestanden uit het gecomprimeerde bestand uit.

3. Voer het volgende PowerShell-script uit in de map met de uitgevouwen scripts en binaire bestanden om de DBX-update te controleren:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Opmerking: Als er een DBX-update is toegepast die overeenkomt met de versies van juli 2020 of oktober 2020 uit dit archief met intrekkingslijsten, voert u in plaats daarvan de volgende juiste opdracht uit:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. Controleer of de uitvoer overeenkomt met het verwachte resultaat.
   
   

Veelgestelde vragen

V1: Wat betekent het foutbericht 'Get-SecureBootUEFI: Cmdlets worden niet ondersteund op dit platform'?

A1: Dit foutbericht geeft aan dat ER GEEN functie voor beveiligd opstarten is ingeschakeld op de computer. Daarom wordt dit apparaat NIET beïnvloed door het GRUB-beveiligingsprobleem. Er is geen verdere actie nodig.

V2: Hoe kan ik het apparaat configureren om UEFI CA van derden al dan niet te vertrouwen? 

A2: We raden u aan contact op te vragen met uw OEM-leverancier. 

Voor Microsoft Surface wijzigt u de instelling Beveiligd opstarten in Alleen Microsoft en voert u vervolgens de volgende PowerShell-opdracht uit (het resultaat moet 'False' zijn): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Zie UEFI-instellingen voor Surface beheren - Surface | Microsoft Docs.

V3: Is dit probleem van invloed op virtuele machines van Azure IaaS, generatie 1 en 2? 

A3: Nee. Virtuele Azure-gastmachines Gen1 en Gen2 bieden geen ondersteuning voor de functie Beveiligd opstarten. Daarom worden ze niet beïnvloed door de keten van vertrouwensaanval. 

V4: Verwijzen ADV200011 en CVE-2020-0689 naar hetzelfde beveiligingsprobleem dat betrekking heeft op Beveiligd opstarten? 

A: Nee. Deze beveiligingsadviezen beschrijven verschillende beveiligingsproblemen. 'ADV200011' verwijst naar een beveiligingsprobleem in GRUB (Linux-onderdeel) dat een secure boot-bypass kan veroorzaken. 'CVE-2020-0689' verwijst naar een beveiligingsprobleem voor het omzeilen van beveiligingsfuncties dat aanwezig is in Beveiligd opstarten. 

V5: Ik kan geen van de PowerShell-scripts uitvoeren. Wat moet ik doen?

A: Controleer het PowerShell-uitvoeringsbeleid door de opdracht Get-ExecutionPolicy uit te voeren. Afhankelijk van de uitvoer moet u mogelijk het uitvoeringsbeleid bijwerken:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs