Resumo
Para ajudar a manter os dispositivos Windows seguros, a Microsoft adiciona módulos de carregador de inicialização vulneráveis à lista de revogação DBX de Inicialização Segura (mantida no firmware baseado em UEFI do sistema) para invalidar os módulos vulneráveis. Quando a lista de revogação DBX atualizada é instalada em um dispositivo, o Windows verifica se o sistema está em um estado em que a atualização DBX pode ser aplicada com êxito ao firmware e relatará erros de log de eventos se um problema for detectado.
Mais informações
Quando um desses módulos vulneráveis é detectado no dispositivo, uma entrada de log de eventos é criada com um aviso sobre a situação e inclui o nome do módulo detectado. A entrada do log de eventos contém detalhes semelhantes ao seguinte:
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
< ID do evento> |
|
Nível |
Erro |
|
Texto da mensagem do evento |
<texto da mensagem> |
IDs de Evento
Esse evento é registrado quando o BitLocker na unidade do sistema é configurado de forma que aplicar a lista DBX de Inicialização Segura ao firmware faria com que o BitLocker entra no modo de recuperação. A resolução é suspender temporariamente o BitLocker por dois ciclos de reinicialização para permitir a instalação da atualização.
Tome medidas
Para resolver esse problema, execute o seguinte comando em um prompt de comando do Administrador para suspender o BitLocker por dois ciclos de reinicialização:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Em seguida, reinicie o dispositivo duas vezes para retomar a proteção do BitLocker.
Para garantir que a proteção do BitLocker tenha sido retomada, execute o seguinte comando após reiniciar duas vezes:
-
Manage-bde –Protectors –enable %systemdrive%
Informações do log de eventos
A ID do evento 1032 será registrada quando a configuração do BitLocker na unidade do sistema fará com que o sistema entre na recuperação do BitLocker se a atualização de Inicialização Segura for aplicada.
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1032 |
|
Nível |
Erro |
|
Texto da mensagem do evento |
A atualização de Inicialização Segura não foi aplicada devido a uma incompatibilidade conhecida com a configuração atual do BitLocker. |
Quando a lista de revogação DBX atualizada é instalada em um dispositivo, o Windows verifica se o sistema depende de um dos módulos vulneráveis para iniciar o dispositivo. Se um dos módulos vulneráveis for detectado, a atualização para a lista DBX no firmware será adiada. Em cada reinicialização do sistema, o dispositivo é reiniciado para determinar se o módulo vulnerável foi atualizado e se é seguro aplicar a lista DBX atualizada.
Tome medidas
Na maioria dos casos, o fornecedor do módulo vulnerável deve ter uma versão atualizada que resolve a vulnerabilidade. Entre em contato com o fornecedor para obter a atualização.
Informações do log de eventos
A ID do evento 1033 será registrada quando um carregador de inicialização vulnerável que foi revogado por essa atualização for detectado em seu dispositivo.
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1046 |
|
Nível |
Erro |
|
Texto da mensagem do evento |
O gerenciador de inicialização potencialmente revogado foi detectado na partição EFI. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2169931 |
|
BootMgr de Dados de Evento |
<caminho e o nome do arquivo vulnerável> |
Este evento é registrado quando a variável DBX de Inicialização Segura é atualizada com êxito. A variável DBX é usada para remover a confiança de componentes de Inicialização Segura, e normalmente é usada para bloquear componentes de Inicialização Segura vulneráveis ou mal-intencionados, como gerenciadores de inicialização e certificados usados para assinar gerenciadores de inicialização.
O evento 1034 indica que as revogações padrão do DBX estão sendo aplicadas ao firmware,
Informações do log de eventos
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1034 |
|
Nível |
Informações |
|
Texto da mensagem do evento |
Atualização DBX de inicialização segura aplicada com êxito |
Este evento é registrado quando a variável do Banco de Dados de Inicialização Segura é atualizada com êxito. A variável do Banco de Dados é usada para adicionar confiança para componentes de Inicialização Segura e normalmente é usada para confiar em certificados usados para assinar gerenciadores de inicialização.
Informações do log de eventos
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1036 |
|
Nível |
Informações |
|
Texto da mensagem do evento |
Atualização do Banco de Dados de Inicialização Segura aplicada com êxito |
Este evento é registrado quando o certificado Microsoft Windows Production PCA 2011 é adicionado ao Banco de Dados de Assinaturas Proibidas (DBX) de Inicialização Segura da UEFI. Quando isso ocorre, todos os aplicativos de inicialização assinados com esse certificado não serão mais confiáveis ao iniciar o dispositivo. Isso inclui todos os aplicativos de inicialização usados com mídia de recuperação do sistema, aplicativos de inicialização PXE e qualquer outra mídia que utilize um aplicativo de inicialização assinado por esse certificado.
Informações do log de erros
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1037 |
|
Nível |
Informações |
|
Texto da mensagem de erro |
A atualização do DBX de Inicialização Segura para revogar o Microsoft Windows Production PCA 2011 foi aplicada com êxito. |
Quando a lista de revogação DBX atualizada é aplicada ao firmware, o firmware pode retornar um erro. Quando ocorre um erro, um evento é registrado em log e o Windows tentará aplicar a lista DBX ao firmware na próxima reinicialização do sistema.
Tome medidas
Entre em contato com o fabricante do dispositivo para determinar se uma atualização de firmware está disponível.
Informações do log de eventos
A ID do evento 1795 será registrada quando o firmware no dispositivo retornar um erro. A entrada do log de eventos incluirá o código de erro retornado do firmware.
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1795 |
|
Nível |
Erro |
|
Texto da mensagem do evento |
O firmware do sistema retornou um erro <código de erro de firmware> ao tentar atualizar uma variável de Inicialização Segura. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2169931 |
Quando a lista de revogação DBX atualizada é aplicada a um dispositivo e ocorre um erro que não é coberto pelos eventos acima, um evento é registrado e o Windows tentará aplicar a lista DBX ao firmware na próxima reinicialização do sistema.
Informações do log de eventos
A ID do evento 1796 ocorre quando um erro inesperado é encontrado. A entrada do log de eventos incluirá o código de erro para o erro inesperado.
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1796 |
|
Nível |
Erro |
|
Texto da mensagem do evento |
Falha na atualização de Inicialização Segura ao atualizar uma variável de Inicialização Segura com o <código de erro>. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2169931 |
Este evento é registrado durante uma tentativa de adicionar o certificado Microsoft Windows Production PCA 2011 ao Banco de Dados de Assinaturas Proibidas de Inicialização segura da UEFI (DBX). Antes de adicionar este certificado ao DBX, é feita uma verificação para garantir que o certificado do UEFI CA 2023 do Windows tenha sido adicionado ao Banco de Dados de Assinatura de Inicialização Segura (DB) da UEFI. Se o UEFI CA 2023 do Windows não tiver sido adicionado ao Banco de dados, o Windows falhará intencionalmente na atualização do DBX. Isso é feito para garantir que o dispositivo confie em pelo menos um desses dois certificados, o que garante que o dispositivo confiará nos aplicativos de inicialização assinados pela Microsoft. Ao adicionar o PCA 2011 de Produção do Microsoft Windows ao DBX, duas verificações são feitas para garantir que o dispositivo continue a inicializar com êxito: 1) garantir que o Windows UEFI CA 2023 tenha sido adicionado ao DB, 2) garantir que o aplicativo de inicialização padrão não seja assinado pelo certificado Microsoft Windows Production PCA 2011.
Informações do log de eventos
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1797 |
|
Nível |
Erro |
|
Texto da mensagem de erro |
A atualização do DBX de Inicialização Segura falhou ao revogar o Microsoft Windows Production PCA 2011, pois o certificado UEFI CA 2023 do Windows não está presente no banco de dados. |
Este evento é registrado durante uma tentativa de adicionar o certificado Microsoft Windows Production PCA 2011 ao Banco de Dados de Assinaturas Proibidas de Inicialização segura da UEFI (DBX). Antes de adicionar esse certificado ao DBX, é feita uma verificação para garantir que o aplicativo de inicialização padrão não seja assinado pelo certificado de assinatura do Microsoft Windows Production PCA 2011. Se o aplicativo de inicialização padrão for assinado pelo certificado de assinatura do Microsoft Windows Production PCA 2011, o Windows intencionalmente falhará na atualização do DBX. Ao adicionar o PCA 2011 de Produção do Microsoft Windows ao DBX, duas verificações são feitas para garantir que o dispositivo continue a inicializar com êxito: 1) garantir que o Windows UEFI CA 2023 tenha sido adicionado ao DB, 2) garantir que o aplicativo de inicialização padrão não seja assinado pelo certificado Microsoft Windows Production PCA 2011.
Informações do log de eventos
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1798 |
|
Nível |
Erro |
|
Texto da mensagem de erro |
A atualização do DBX de Inicialização Segura falhou ao revogar o Microsoft Windows Production PCA 2011, pois o gerenciador de inicialização não está assinado com o certificado UEFI CA 2023 do Windows |
Este evento é registrado quando um gerenciador de inicialização é aplicado ao sistema que é assinado pelo certificado UEFI CA 2023 do Windows
Informações do log de eventos
|
Log de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1799 |
|
Nível |
Informações |
|
Texto da mensagem de erro |
O gerenciador de inicialização assinado com o UEFI CA 2023 do Windows foi instalado com êxito |
