Wskazówki firmy Microsoft dotyczące stosowania aktualizacji bazy danych DBX bezpiecznego rozruchu (KB4575994)

Stosowanie aktualizacji DBX w systemie Windows

Po przeczytaniu ostrzeżeń w poprzedniej sekcji i upewnieniu się, że urządzenie jest zgodne, wykonaj następujące czynności, aby zaktualizować DBX bezpiecznego rozruchu:

1. Pobierz odpowiedni plik listy odwołań interfejsu UEFI (Dbxupdate.bin) dla swojej platformy z tej strony internetowej UEFI.

2. Musisz podzielić plik Dbxupdate.bin na składniki niezbędne do ich zastosowania przy użyciu poleceń cmdlet programu PowerShell. W tym celu wykonaj następujące czynności:

   1. Pobierz skrypt programu PowerShell z tej strony internetowej Galeria programu PowerShell.

   2. Aby łatwiej zlokalizować skrypt, uruchom następujące polecenie cmdlet:

      • Get-InstalledScript -nazwa SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Sprawdź, czy polecenie cmdlet pomyślnie pobierze skrypt i poda szczegółowe informacje wyjściowe, takie jak Nazwa, Wersja, Autor, PublishedDate, InstalledDate i InstalledLocation.

   4. Uruchom następujące polecenia cmdlet:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • $ScriptPath cd

      • Ls

   5. Sprawdź, czy plik SplitDbxContent.ps1 znajduje się teraz w folderze Skrypty.

   6. Uruchom następujący skrypt programu PowerShell w pliku Dbxupdate.bin:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Sprawdź, czy polecenie utworzyło następujące pliki.

      

      • Content.bin — aktualizowanie zawartości

      • Signature.p7 — podpis autoryzuje proces aktualizacji

3. W administracyjnej sesji programu PowerShell uruchom polecenie cmdlet Set-SecureBootUefi, aby zastosować aktualizację DBX:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   Oczekiwana wyjściowa
   
   

4. Aby ukończyć proces instalacji aktualizacji, uruchom ponownie urządzenie.

Aby uzyskać więcej informacji na temat polecenia cmdlet konfiguracji bezpiecznego rozruchu i sposobu używania go do aktualizacji DBX, zobacz Set-Secure.

Sprawdzanie, czy aktualizacja zakończyła się pomyślnie  

Po pomyślnym wykonaniu kroków w poprzedniej sekcji i ponownym uruchomieniu urządzenia wykonaj poniższe czynności, aby sprawdzić, czy aktualizacja została pomyślnie zastosowana. Po pomyślnej weryfikacji luki w zabezpieczeniach grub nie będą już miały wpływu na urządzenie.

1. Pobierz skrypty weryfikacyjne aktualizacji bazy danych DBX z tej strony sieci Web GitHub Gist.

2. Wyodrębnij skrypty i pliki binarne ze skompresowanego pliku.

3. Uruchom następujący skrypt programu PowerShell w folderze zawierającym rozwinięte skrypty i pliki binarne, aby zweryfikować aktualizację DBX:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Uwaga: Jeśli aktualizacja DBX zgodna z wersjami z lipca 2020 r. lub października 2020 r. z tego archiwum plików listy odwołań została zastosowana, uruchom zamiast tego następujące odpowiednie polecenie:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. Sprawdź, czy dane wyjściowe są zgodne z oczekiwanym wynikiem.
   
   

Często zadawane pytania

P1: Co oznacza komunikat o błędzie "Get-SecureBootUEFI: Polecenia cmdlet nie są obsługiwane na tej platformie"?

A1: Ten komunikat o błędzie wskazuje, że na komputerze nie włączono funkcji bezpiecznego rozruchu. W związku z tym, to urządzenie NIE ma wpływu na lukę GRUB. Nie trzeba podejmować żadnych dalszych działań.

P2: Jak mogę skonfigurować urządzenie, aby ufało lub nie ufało innej witrynie UEFI CA? 

A2: Zalecamy skonsultowanie się z dostawcą OEM. 

W przypadku urządzenia Microsoft Surface zmień ustawienie bezpiecznego rozruchu na "Tylko Microsoft", a następnie uruchom następujące polecenie programu PowerShell (wynik powinien mieć wartość "Fałsz"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Aby uzyskać więcej informacji na temat sposobu konfigurowania urządzenia Microsoft Surface, zobacz Zarządzanie ustawieniami INTERFEJSU UEFI tabletu Surface — Surface | Microsoft Docs.

P3: Czy ten problem wpływa na maszyny wirtualne azure IaaS generacji 1 i 2? 

A3: Nie. Maszyny wirtualne gości platformy Azure Gen1 i Gen2 nie obsługują funkcji bezpiecznego rozruchu. W związku z tym, są one nienaruszone przez łańcuch ataku zaufania. 

P4: Czy ADV200011 i CVE-2020-0689 odwołują się do tej samej luki w zabezpieczeniach, która jest związana z bezpiecznym rozruchem? 

A: Nie. Te porady dotyczące bezpieczeństwa opisują różne luki w zabezpieczeniach. "ADV200011" to luka w zabezpieczeniach grub (składnik Linux), która może spowodować obejście bezpiecznego rozruchu. "CVE-2020-0689" odnosi się do luki w zabezpieczeniach obejścia funkcji, która występuje w bezpiecznym rozruchu. 

P5: Nie można uruchomić żadnych skryptów programu PowerShell. Co mam zrobić?

A: Sprawdź zasady wykonywania programu PowerShell, uruchamiając polecenie Get-ExecutionPolicy . W zależności od danych wyjściowych może być konieczne zaktualizowanie zasad wykonywania:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) — PowerShell | Microsoft Docs