Podsumowanie
Aby zapewnić bezpieczeństwo urządzeń z systemem Windows, firma Microsoft dodaje wrażliwe moduły rozruchu do listy odwołań DBX bezpiecznego rozruchu (obsługiwanej w systemie oprogramowania układowego opartego na interfejsie UEFI), aby unieważnić wrażliwe moduły. Po zainstalowaniu zaktualizowanej listy odwołań DBX na urządzeniu system Windows sprawdza, czy system jest w stanie, w którym aktualizacja DBX może zostać pomyślnie zastosowana do oprogramowania układowego, i zgłasza błędy dziennika zdarzeń w przypadku wykrycia problemu.
Więcej informacji
Gdy na urządzeniu zostanie wykryty jeden z tych wrażliwych modułów, zostanie utworzony wpis dziennika zdarzeń z ostrzeżeniem o sytuacji i będzie zawierać nazwę wykrytego modułu. Wpis dziennika zdarzeń zawiera szczegóły podobne do następujących:
Dziennik zdarzeń |
System |
Źródło zdarzenia |
TPM-WMI |
Identyfikator zdarzenia |
<numer identyfikatora zdarzenia> |
Poziom |
Błąd |
Tekst wiadomości zdarzenia |
<wiadomości SMS> |
Identyfikatory zdarzeń
To zdarzenie jest rejestrowane, gdy funkcja BitLocker na dysku systemowym jest skonfigurowana w taki sposób, że zastosowanie listy DBX bezpiecznego rozruchu do oprogramowania układowego spowodowałoby przejście funkcji BitLocker w tryb odzyskiwania. Rozwiązaniem jest tymczasowe wstrzymanie funkcji BitLocker na 2 cykle ponownego uruchamiania, aby umożliwić zainstalowanie aktualizacji.
Podejmij działanie
Aby rozwiązać ten problem, uruchom następujące polecenie z wiersza polecenia administratora w celu zawieszenia funkcji BitLocker na 2 cykle ponownego uruchamiania:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Następnie uruchom ponownie urządzenie dwa razy, aby wznowić ochronę funkcji BitLocker.
Aby upewnić się, że ochrona funkcji BitLocker została wznowiona, uruchom następujące polecenie po dwukrotnym ponownym uruchomieniu:
-
Manage-bde –Protectors –enable %systemdrive%
Informacje dziennika zdarzeń
Identyfikator zdarzenia 1032 zostanie zarejestrowany, gdy konfiguracja funkcji BitLocker na dysku systemowym spowoduje, że system przejdzie do odzyskiwania funkcji BitLocker po zastosowaniu aktualizacji bezpiecznego rozruchu.
Dziennik zdarzeń |
System |
Źródło zdarzenia |
TPM-WMI |
Identyfikator zdarzenia |
1032 |
Poziom |
Błąd |
Tekst wiadomości zdarzenia |
Aktualizacja bezpiecznego rozruchu nie została zastosowana ze względu na znaną niezgodność z bieżącą konfiguracją funkcji BitLocker. |
Po zainstalowaniu zaktualizowanej listy odwołań DBX na urządzeniu system Windows sprawdza, czy system zależy od jednego z wrażliwych modułów, aby uruchomić urządzenie. Jeśli zostanie wykryty jeden z wrażliwych modułów, aktualizacja do listy DBX w oprogramowaniu układowym zostanie odroczona. Po każdym ponownym uruchomieniu systemu urządzenie jest ponownie skanowane w celu ustalenia, czy moduł podatny na zagrożenia został zaktualizowany i czy można bezpiecznie zastosować zaktualizowaną listę DBX.
Podejmij działanie
W większości przypadków dostawca modułu, który jest podatny na zagrożenia, powinien mieć zaktualizowaną wersję, która usuwa lukę w zabezpieczeniach. Skontaktuj się z dostawcą, aby uzyskać aktualizację.
Informacje dziennika zdarzeń
Zdarzenie o identyfikatorze 1033 zostanie zarejestrowane, gdy na urządzeniu zostanie wykryty program ładujący, który został odwołany przez tę aktualizację.
Dziennik zdarzeń |
System |
Źródło zdarzenia |
TPM-WMI |
Identyfikator zdarzenia |
1033 |
Poziom |
Błąd |
Tekst wiadomości zdarzenia |
Potencjalnie odwołany menedżer rozruchu został wykryty na partycji EFI. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?linkid=2169931 |
BootMgr danych zdarzeń |
<ścieżkę i nazwę pliku, na który jest> |
To zdarzenie jest rejestrowane, gdy zmienna DBX bezpiecznego rozruchu zostanie pomyślnie zaktualizowana. Zmienna DBX służy do niezaufanych składników bezpiecznego rozruchu i jest zazwyczaj używana do blokowania wrażliwych lub złośliwych składników bezpiecznego rozruchu, takich jak menedżerowie rozruchu i certyfikaty używane do podpisywania menedżerów rozruchu.
Zdarzenie 1034 wskazuje, że do oprogramowania układowego są stosowane standardowe odwołania DBX,
Informacje dziennika zdarzeń
Dziennik zdarzeń |
System |
Źródło zdarzenia |
TPM-WMI |
Identyfikator zdarzenia |
1034 |
Poziom |
Informacje |
Tekst wiadomości zdarzenia |
Aktualizacja bazy danych bezpiecznego rozruchu została pomyślnie zastosowana |
To zdarzenie jest rejestrowane, gdy zmienna DB bezpiecznego rozruchu zostanie pomyślnie zaktualizowana. Zmienna DB służy do dodawania zaufania do składników bezpiecznego rozruchu i jest zazwyczaj używana do ufania certyfikatom używanym do podpisywania menedżerów rozruchu.
Informacje dziennika zdarzeń
Dziennik zdarzeń |
System |
Źródło zdarzenia |
TPM-WMI |
Identyfikator zdarzenia |
1036 |
Poziom |
Informacje |
Tekst wiadomości zdarzenia |
Aktualizacja bazy danych bezpiecznego rozruchu została pomyślnie zastosowana |
To zdarzenie jest rejestrowane, gdy certyfikat Microsoft Windows Production PCA 2011 jest dodawany do bazy danych DBX (DBX) opartej na bezpiecznym rozruchu UEFI . W takim przypadku wszystkie aplikacje rozruchowe podpisane za pomocą tego certyfikatu nie będą już zaufane podczas uruchamiania urządzenia. Obejmuje to wszystkie aplikacje rozruchowe używane z nośnikami odzyskiwania systemu, aplikacjami rozruchu PXE i innymi nośnikami wykorzystującymi aplikację rozruchową podpisaną za pomocą tego certyfikatu.
Informacje dziennika błędów
Dziennik zdarzeń |
System |
Źródło zdarzenia |
TPM-WMI |
Identyfikator zdarzenia |
1037 |
Poziom |
Informacje |
Tekst komunikatu o błędzie |
Aktualizacja bazy danych bezpiecznego rozruchu, aby odwołać program Microsoft Windows Production PCA 2011, została pomyślnie zastosowana. |
Po zastosowaniu zaktualizowanej listy odwołania DBX do oprogramowania układowego oprogramowanie układowe może zwrócić błąd. Gdy wystąpi błąd, zdarzenie jest rejestrowane, a system Windows spróbuje zastosować listę DBX do oprogramowania układowego przy następnym ponownym uruchomieniu systemu.
Podejmij działanie
Skontaktuj się z producentem urządzenia, aby ustalić, czy jest dostępna aktualizacja oprogramowania układowego.
Informacje dziennika zdarzeń
Identyfikator zdarzenia 1795 zostanie zarejestrowany, gdy oprogramowanie układowe urządzenia zwróci błąd. Wpis dziennika zdarzeń będzie zawierać kod błędu zwrócony z oprogramowania układowego.
Dziennik zdarzeń |
System |
Źródło zdarzenia |
TPM-WMI |
Identyfikator zdarzenia |
1795 |
Poziom |
Błąd |
Tekst wiadomości zdarzenia |
Oprogramowanie układowe systemu zwróciło błąd <kod błędu oprogramowania układowego> podczas próby zaktualizowania zmiennej bezpiecznego rozruchu. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?linkid=2169931 |
Po zastosowaniu zaktualizowanej listy odwołań DBX do urządzenia i wystąpieniu błędu, który nie jest objęty powyższymi zdarzeniami, zdarzenie jest rejestrowane, a system Windows spróbuje zastosować listę DBX do oprogramowania układowego przy następnym ponownym uruchomieniu systemu.
Informacje dziennika zdarzeń
Identyfikator zdarzenia 1796 występuje w przypadku wystąpienia nieoczekiwanego błędu. Wpis dziennika zdarzeń będzie zawierać kod błędu dla nieoczekiwanego błędu.
Dziennik zdarzeń |
System |
Źródło zdarzenia |
TPM-WMI |
Identyfikator zdarzenia |
1796 |
Poziom |
Błąd |
Tekst wiadomości zdarzenia |
Aktualizacja bezpiecznego rozruchu nie zaktualizowała zmiennej bezpiecznego rozruchu z kodem błędu<>. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?linkid=2169931 |
To zdarzenie jest rejestrowane podczas próby dodania certyfikatu Microsoft Windows Production PCA 2011 do bazy danych DBX (Secure Boot Forbidden Signatures Database) w środowisku UEFI. Przed dodaniem tego certyfikatu do bazy danych DBX należy sprawdzić, czy certyfikat WINDOWS UEFI CA 2023 został dodany do bazy danych sygnatur bezpiecznego rozruchu uefi (DB). Jeśli interfejs UEFI systemu Windows CA 2023 nie został dodany do bazy danych, system Windows celowo zakończy się niepowodzeniem aktualizacji DBX. Ma to na celu zapewnienie, że urządzenie ufa co najmniej jednemu z tych dwóch certyfikatów, co gwarantuje, że urządzenie będzie ufać aplikacjom rozruchu podpisanym przez firmę Microsoft. Podczas dodawania programu Microsoft Windows Production PCA 2011 do DBX są przeprowadzane dwie testy w celu zapewnienia pomyślnego rozruchu urządzenia: 1) upewnij się, że do bazy danych systemu Windows UEFI CA 2023 dodano do bazy danych, 2) Upewnij się, że domyślna aplikacja rozruchowa nie jest podpisana certyfikatem Microsoft Windows Production PCA 2011.
Informacje dziennika zdarzeń
Dziennik zdarzeń |
System |
Źródło zdarzenia |
TPM-WMI |
Identyfikator zdarzenia |
1797 |
Poziom |
Błąd |
Tekst komunikatu o błędzie |
Aktualizacja bazy danych bezpiecznego rozruchu nie odwołała programu Microsoft Windows Production PCA 2011, ponieważ certyfikat WINDOWS UEFI CA 2023 nie jest obecny w bazie danych. |
To zdarzenie jest rejestrowane podczas próby dodania certyfikatu Microsoft Windows Production PCA 2011 do bazy danych DBX (Secure Boot Forbidden Signatures Database) w środowisku UEFI. Przed dodaniem tego certyfikatu do bazy danych DBX należy sprawdzić, czy domyślna aplikacja rozruchowa nie jest podpisana przez certyfikat podpisywania Microsoft Windows Production PCA 2011. Jeśli domyślna aplikacja rozruchowa jest podpisana przez certyfikat podpisywania Microsoft Windows Production PCA 2011, system Windows celowo nie przeprowadzi aktualizacji DBX. Podczas dodawania programu Microsoft Windows Production PCA 2011 do DBX są przeprowadzane dwie testy w celu zapewnienia pomyślnego rozruchu urządzenia: 1) upewnij się, że do bazy danych systemu Windows UEFI CA 2023 dodano do bazy danych, 2) Upewnij się, że domyślna aplikacja rozruchowa nie jest podpisana certyfikatem Microsoft Windows Production PCA 2011.
Informacje dziennika zdarzeń
Dziennik zdarzeń |
System |
Źródło zdarzenia |
TPM-WMI |
Identyfikator zdarzenia |
1798 |
Poziom |
Błąd |
Tekst komunikatu o błędzie |
Aktualizacja bazy danych bezpiecznego rozruchu nie odwołała programu Microsoft Windows Production PCA 2011 jako menedżera rozruchu nie jest podpisana certyfikatem WINDOWS UEFI CA 2023 |
To zdarzenie jest rejestrowane, gdy menedżer rozruchu jest stosowany do systemu podpisanego certyfikatem Windows UEFI CA 2023
Informacje dziennika zdarzeń
Dziennik zdarzeń |
System |
Źródło zdarzenia |
TPM-WMI |
Identyfikator zdarzenia |
1799 |
Poziom |
Informacje |
Tekst komunikatu o błędzie |
Menedżer rozruchu podpisany za pomocą systemu Windows UEFI CA 2023 został pomyślnie zainstalowany |