Applies ToWindows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10 Windows Server 2016 Windows Server 2019 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows Server, version 23H2

Data de publicação original: 15 de junho de 2022

ID do KB: 5016061

Data da alteração

Descrição

29 de janeiro de 2025

  • Revisou o parágrafo principal na ID do Evento: 1795 para incluir o DB (Banco de Dados de Assinatura de Inicialização Segura), um DBX (Banco de Dados de Assinatura Revogada) ou uma atualização kek (Chave de Troca de Chaves). Anteriormente, o parágrafo fazia referência a uma lista de revogação DBX atualizada.

Resumo

Para ajudar a manter os dispositivos Windows seguros, a Microsoft adiciona módulos de carregador de inicialização vulneráveis à lista de revogação DBX de Inicialização Segura (mantida no firmware baseado em UEFI do sistema) para invalidar os módulos vulneráveis. Quando a lista de revogação DBX atualizada é instalada em um dispositivo, o Windows verifica se o sistema está em um estado em que a atualização DBX pode ser aplicada com êxito ao firmware e relatará erros de log de eventos se um problema for detectado. 

Mais informações

Quando um desses módulos vulneráveis é detectado no dispositivo, uma entrada de log de eventos é criada com um aviso sobre a situação e inclui o nome do módulo detectado. A entrada do log de eventos contém detalhes semelhantes ao seguinte:

Log de eventos

Sistema

Origem do evento

TPM-WMI

ID de Evento

< ID do evento>

Nível

Erro

Texto da mensagem do evento

<texto da mensagem>

IDs de Evento​​​​​​​

Esse evento é registrado quando o BitLocker na unidade do sistema é configurado de forma que aplicar a lista DBX de Inicialização Segura ao firmware faria com que o BitLocker entra no modo de recuperação. A resolução é suspender temporariamente o BitLocker por dois ciclos de reinicialização para permitir a instalação da atualização.

Tome medidas

Para resolver esse problema, execute o seguinte comando em um prompt de comando do Administrador para suspender o BitLocker por dois ciclos de reinicialização:

  • Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2

Em seguida, reinicie o dispositivo duas vezes para retomar a proteção do BitLocker.

Para garantir que a proteção do BitLocker tenha sido retomada, execute o seguinte comando após reiniciar duas vezes:

  • Manage-bde –Protectors –enable %systemdrive%

Informações do log de eventos

A ID do evento 1032 será registrada quando a configuração do BitLocker na unidade do sistema fará com que o sistema entre na recuperação do BitLocker se a atualização de Inicialização Segura for aplicada.

Log de eventos

Sistema

Origem do evento

TPM-WMI

ID de Evento

1032

Nível

Erro

Texto da mensagem do evento

A atualização de Inicialização Segura não foi aplicada devido a uma incompatibilidade conhecida com a configuração atual do BitLocker.

Quando a lista de revogação DBX atualizada é instalada em um dispositivo, o Windows verifica se o sistema depende de um dos módulos vulneráveis para iniciar o dispositivo. Se um dos módulos vulneráveis for detectado, a atualização para a lista DBX no firmware será adiada. Em cada reinicialização do sistema, o dispositivo é reiniciado para determinar se o módulo vulnerável foi atualizado e se é seguro aplicar a lista DBX atualizada.

Tome medidas

Na maioria dos casos, o fornecedor do módulo vulnerável deve ter uma versão atualizada que resolve a vulnerabilidade. Entre em contato com o fornecedor para obter a atualização.

Informações do log de eventos

A ID do evento 1033 será registrada quando um carregador de inicialização vulnerável que foi revogado por essa atualização for detectado em seu dispositivo.

Log de eventos

Sistema

Origem do evento

TPM-WMI

ID de Evento

1046

Nível

Erro

Texto da mensagem do evento

O gerenciador de inicialização potencialmente revogado foi detectado na partição EFI. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2169931

BootMgr de Dados de Evento

<caminho e o nome do arquivo vulnerável>

Este evento é registrado quando a variável DBX de Inicialização Segura é atualizada com êxito. A variável DBX é usada para remover a confiança de componentes de Inicialização Segura, e normalmente é usada para bloquear componentes de Inicialização Segura vulneráveis ou mal-intencionados, como gerenciadores de inicialização e certificados usados para assinar gerenciadores de inicialização.

O evento 1034 indica que as revogações padrão do DBX estão sendo aplicadas ao firmware,

Informações do log de eventos

Log de eventos

Sistema

Origem do evento

TPM-WMI

ID de Evento

1034

Nível

Informações

Texto da mensagem do evento

Atualização DBX de inicialização segura aplicada com êxito

Este evento é registrado quando a variável do Banco de Dados de Inicialização Segura é atualizada com êxito. A variável do Banco de Dados é usada para adicionar confiança para componentes de Inicialização Segura e normalmente é usada para confiar em certificados usados para assinar gerenciadores de inicialização.

Informações do log de eventos

Log de eventos

Sistema

Origem do evento

TPM-WMI

ID de Evento

1036

Nível

Informações

Texto da mensagem do evento

Atualização do Banco de Dados de Inicialização Segura aplicada com êxito

Este evento é registrado quando o certificado Microsoft Windows Production PCA 2011 é adicionado ao Banco de Dados de Assinaturas Proibidas (DBX) de Inicialização Segura da UEFI. Quando isso ocorre, todos os aplicativos de inicialização assinados com esse certificado não serão mais confiáveis ao iniciar o dispositivo. Isso inclui todos os aplicativos de inicialização usados com mídia de recuperação do sistema, aplicativos de inicialização PXE e qualquer outra mídia que utilize um aplicativo de inicialização assinado por esse certificado.

Informações do log de erros

Log de eventos

Sistema

Origem do evento

TPM-WMI

ID de Evento

1037

Nível

Informações

Texto da mensagem de erro

A atualização do DBX de Inicialização Segura para revogar o Microsoft Windows Production PCA 2011 foi aplicada com êxito.

Quando um DB (Banco de Dados de Assinatura de Inicialização Segura), um DBX (Banco de Dados de Assinatura Revogada) ou uma atualização kek (chave de troca de chaves) é aplicado ao firmware, o firmware pode retornar um erro. Quando ocorre um erro, um evento é registrado e o Windows tentará aplicar a atualização ao firmware na próxima reinicialização do sistema.

Tome medidas

Entre em contato com o fabricante do dispositivo para determinar se uma atualização de firmware está disponível.

Informações do log de eventos

A ID do evento 1795 será registrada quando o firmware no dispositivo retornar um erro. A entrada do log de eventos incluirá o código de erro retornado do firmware.

Log de eventos

Sistema

Origem do evento

TPM-WMI

ID de Evento

1795

Nível

Erro

Texto da mensagem do evento

O firmware do sistema retornou um erro <código de erro de firmware> ao tentar atualizar uma variável de Inicialização Segura. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2169931

Quando a lista de revogação DBX atualizada é aplicada a um dispositivo e ocorre um erro que não é coberto pelos eventos acima, um evento é registrado e o Windows tentará aplicar a lista DBX ao firmware na próxima reinicialização do sistema.

Informações do log de eventos

A ID do evento 1796 ocorre quando um erro inesperado é encontrado. A entrada do log de eventos incluirá o código de erro para o erro inesperado.

Log de eventos

Sistema

Origem do evento

TPM-WMI

ID de Evento

1796

Nível

Erro

Texto da mensagem do evento

Falha na atualização de Inicialização Segura ao atualizar uma variável de Inicialização Segura com o <código de erro>. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2169931

Este evento é registrado durante uma tentativa de adicionar o certificado Microsoft Windows Production PCA 2011 ao Banco de Dados de Assinaturas Proibidas de Inicialização segura da UEFI (DBX). Antes de adicionar este certificado ao DBX, é feita uma verificação para garantir que o certificado do UEFI CA 2023 do Windows tenha sido adicionado ao Banco de Dados de Assinatura de Inicialização Segura (DB) da UEFI. Se o UEFI CA 2023 do Windows não tiver sido adicionado ao Banco de dados, o Windows falhará intencionalmente na atualização do DBX. Isso é feito para garantir que o dispositivo confie em pelo menos um desses dois certificados, o que garante que o dispositivo confiará nos aplicativos de inicialização assinados pela Microsoft. Ao adicionar o PCA 2011 de Produção do Microsoft Windows ao DBX, duas verificações são feitas para garantir que o dispositivo continue a inicializar com êxito: 1) garantir que o Windows UEFI CA 2023 tenha sido adicionado ao DB, 2) garantir que o aplicativo de inicialização padrão não seja assinado pelo certificado Microsoft Windows Production PCA 2011.

Informações do log de eventos

Log de eventos

Sistema

Origem do evento

TPM-WMI

ID de Evento

1797

Nível

Erro

Texto da mensagem de erro

A atualização do DBX de Inicialização Segura falhou ao revogar o Microsoft Windows Production PCA 2011, pois o certificado UEFI CA 2023 do Windows não está presente no banco de dados.

Este evento é registrado durante uma tentativa de adicionar o certificado Microsoft Windows Production PCA 2011 ao Banco de Dados de Assinaturas Proibidas de Inicialização segura da UEFI (DBX). Antes de adicionar esse certificado ao DBX, é feita uma verificação para garantir que o aplicativo de inicialização padrão não seja assinado pelo certificado de assinatura do Microsoft Windows Production PCA 2011. Se o aplicativo de inicialização padrão for assinado pelo certificado de assinatura do Microsoft Windows Production PCA 2011, o Windows intencionalmente falhará na atualização do DBX. Ao adicionar o PCA 2011 de Produção do Microsoft Windows ao DBX, duas verificações são feitas para garantir que o dispositivo continue a inicializar com êxito: 1) garantir que o Windows UEFI CA 2023 tenha sido adicionado ao DB, 2) garantir que o aplicativo de inicialização padrão não seja assinado pelo certificado Microsoft Windows Production PCA 2011.

Informações do log de eventos

Log de eventos

Sistema

Origem do evento

TPM-WMI

ID de Evento

1798

Nível

Erro

Texto da mensagem de erro

A atualização do DBX de Inicialização Segura falhou ao revogar o Microsoft Windows Production PCA 2011, pois o gerenciador de inicialização não está assinado com o certificado UEFI CA 2023 do Windows

Este evento é registrado quando um gerenciador de inicialização é aplicado ao sistema que é assinado pelo certificado UEFI CA 2023 do Windows

Informações do log de eventos

Log de eventos

Sistema

Origem do evento

TPM-WMI

ID de Evento

1799

Nível

Informações

Texto da mensagem de erro

O gerenciador de inicialização assinado com o UEFI CA 2023 do Windows foi instalado com êxito

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade