Resumo
Para ajudar a manter os dispositivos Windows seguros, a Microsoft adiciona módulos de bootloader vulneráveis à lista de revogação DBX de Arranque Seguro (mantido no firmware baseado em UEFI do sistema) para invalidar os módulos vulneráveis. Quando a lista de revogação DBX atualizada é instalada num dispositivo, o Windows verifica se o sistema está num estado em que a atualização DBX pode ser aplicada com êxito ao firmware e comunicará erros de registo de eventos se for detetado um problema.
Mais informações
Quando um destes módulos vulneráveis é detetado no dispositivo, é criada uma entrada de registo de eventos a alertar sobre a situação e inclui o nome do módulo detetado. A entrada do registo de eventos contém detalhes semelhantes aos seguintes:
|
Registo de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
<número do ID do Evento> |
|
Nível |
Erro |
|
Texto da mensagem de evento |
> de texto da mensagem de < |
IDs de Eventos
Este evento é registado quando o BitLocker na unidade do sistema é configurado de forma a que a aplicação da lista DBX de Arranque Seguro ao firmware faça com que o BitLocker entre no modo de recuperação. A resolução é suspender temporariamente o BitLocker durante dois ciclos de reinício para permitir a instalação da atualização.
Tomar medidas
Para resolver este problema, execute o seguinte comando a partir de uma linha de comandos do Administrador para suspender o BitLocker durante 2 ciclos de reinício:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Em seguida, reinicie o dispositivo duas vezes para retomar a proteção do BitLocker.
Para se certificar de que a proteção do BitLocker foi retomada, execute o seguinte comando depois de reiniciar duas vezes:
-
Manage-bde –Protectors –enable %systemdrive%
Informações do registo de eventos
O ID do Evento 1032 será registado quando a configuração do BitLocker na unidade do sistema fizer com que o sistema entre na recuperação do BitLocker se a atualização de Arranque Seguro for aplicada.
|
Registo de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1032 |
|
Nível |
Erro |
|
Texto da mensagem de evento |
A atualização de Arranque Seguro não foi aplicada devido a uma incompatibilidade conhecida com a configuração atual do BitLocker. |
Quando a lista de revogação DBX atualizada é instalada num dispositivo, o Windows verifica se o sistema depende de um dos módulos vulneráveis para iniciar o dispositivo. Se for detetado um dos módulos vulneráveis, a atualização para a lista DBX no firmware é diferida. Em cada reinício do sistema, o dispositivo é reencatado para determinar se o módulo vulnerável foi atualizado e se é seguro aplicar a lista DBX atualizada.
Tomar medidas
Na maioria dos casos, o fornecedor do módulo vulnerável deve ter uma versão atualizada que resolva a vulnerabilidade. Contacte o fornecedor para obter a atualização.
Informações do registo de eventos
O ID do Evento 1033 será registado quando for detetado um carregador de arranque vulnerável que tenha sido revogado por esta atualização no seu dispositivo.
|
Registo de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1033 |
|
Nível |
Erro |
|
Texto da mensagem de evento |
Foi detetado um gestor de arranque potencialmente revogado na partição EFI. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2169931 |
|
BootMgr de Dados de Evento |
<caminho e nome de> de ficheiros vulneráveis |
Este evento é registado quando a variável DBX de Arranque Seguro é atualizada com êxito. A variável DBX é utilizada para desconfiar de componentes de Arranque Seguro e é normalmente utilizada para bloquear componentes de Arranque Seguro vulneráveis ou maliciosos, como gestores de arranque e certificados utilizados para assinar gestores de arranque.
O evento 1034 indica que as revogações DBX padrão estão a ser aplicadas ao firmware,
Informações do registo de eventos
|
Registo de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1034 |
|
Nível |
Informações |
|
Texto da mensagem de evento |
Atualização do Dbx de Arranque Seguro aplicada com êxito |
Este evento é registado quando a variável da BD de Arranque Seguro é atualizada com êxito. A variável DB é utilizada para adicionar confiança aos componentes de Arranque Seguro e é normalmente utilizada para confiar em certificados utilizados para assinar gestores de arranque.
Informações do registo de eventos
|
Registo de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1036 |
|
Nível |
Informações |
|
Texto da mensagem de evento |
Atualização da BD de Arranque Seguro aplicada com êxito |
Este evento é registado quando o certificado PCA 2011 de Produção do Microsoft Windows é adicionado à Base de Dados de Assinaturas Proibidas de Arranque Seguro (DBX) do UEFI. Quando isto ocorre, todas as aplicações de arranque assinadas com este certificado deixarão de ser consideradas fidedignas ao iniciar o dispositivo. Isto inclui todas as aplicações de arranque utilizadas com suportes de dados de recuperação do sistema, aplicações de arranque PXE e qualquer outro suporte de dados que utilize uma aplicação de arranque assinada por este certificado.
Informações do registo de erros
|
Registo de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1037 |
|
Nível |
Informações |
|
Texto da mensagem de erro |
A atualização Secure Boot Dbx para revogar o PCA de Produção do Microsoft Windows 2011 foi aplicada com êxito. |
Quando a lista de revogação DBX atualizada é aplicada ao firmware, o firmware pode devolver um erro. Quando ocorre um erro, é registado um evento e o Windows tentará aplicar a lista DBX ao firmware no próximo reinício do sistema.
Tomar medidas
Contacte o fabricante do dispositivo para determinar se está disponível uma atualização de firmware.
Informações do registo de eventos
O ID do Evento 1795 será registado quando o firmware no dispositivo devolver um erro. A entrada do registo de eventos incluirá o código de erro devolvido do firmware.
|
Registo de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1795 |
|
Nível |
Erro |
|
Texto da mensagem de evento |
O firmware do sistema devolveu um erro <código de erro de firmware> ao tentar atualizar uma variável de Arranque Seguro. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2169931 |
Quando a lista de revogação DBX atualizada é aplicada a um dispositivo e ocorre um erro que não é abrangido pelos eventos acima, é registado um evento e o Windows tentará aplicar a lista DBX ao firmware no próximo reinício do sistema.
Informações do registo de eventos
O ID do Evento 1796 ocorre quando é encontrado um erro inesperado. A entrada do registo de eventos incluirá o código de erro para o erro inesperado.
|
Registo de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1796 |
|
Nível |
Erro |
|
Texto da mensagem de evento |
A atualização de Arranque Seguro não conseguiu atualizar uma variável de Arranque Seguro com o erro<código de erro>. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2169931 |
Este evento é registado durante uma tentativa de adicionar o certificado PCA 2011 de Produção do Microsoft Windows à Base de Dados de Assinaturas Proibidas de Arranque Seguro (DBX) do UEFI. Antes de adicionar este certificado ao DBX, é efetuada uma verificação para garantir que o certificado UEFI CA 2023 do Windows foi adicionado à Base de Dados de Assinaturas de Arranque Seguro (DB) UEFI. Se a AC uefi do Windows 2023 não tiver sido adicionada à BD, o Windows irá falhar intencionalmente a atualização DBX. Isto é feito para garantir que o dispositivo confia em, pelo menos, um destes dois certificados, o que garante que o dispositivo confiará nas aplicações de arranque assinadas pela Microsoft. Ao adicionar o Microsoft Windows Production PCA 2011 ao DBX, são efetuadas duas verificações para garantir que o dispositivo continua a arrancar com êxito: 1) certifique-se de que a AC 2023 do UEFI do Windows foi adicionada à BD, 2) Certifique-se de que a aplicação de arranque predefinida não é assinada pelo certificado PCA 2011 do Microsoft Windows Production.
Informações do registo de eventos
|
Registo de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1797 |
|
Nível |
Erro |
|
Texto da mensagem de erro |
A atualização Dbx de Arranque Seguro não revogou o Microsoft Windows Production PCA 2011, uma vez que o certificado UEFI CA 2023 do Windows não está presente na base de dados. |
Este evento é registado durante uma tentativa de adicionar o certificado PCA 2011 de Produção do Microsoft Windows à Base de Dados de Assinaturas Proibidas de Arranque Seguro (DBX) do UEFI. Antes de adicionar este certificado ao DBX, é feita uma verificação para garantir que a aplicação de arranque predefinida não é assinada pelo certificado de assinatura microsoft Windows Production PCA 2011. Se a aplicação de arranque predefinida for assinada pelo certificado de assinatura microsoft Windows Production PCA 2011, o Windows irá falhar intencionalmente a atualização DBX. Ao adicionar o Microsoft Windows Production PCA 2011 ao DBX, são efetuadas duas verificações para garantir que o dispositivo continua a arrancar com êxito: 1) certifique-se de que a AC 2023 do UEFI do Windows foi adicionada à BD, 2) Certifique-se de que a aplicação de arranque predefinida não é assinada pelo certificado PCA 2011 do Microsoft Windows Production.
Informações do registo de eventos
|
Registo de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1798 |
|
Nível |
Erro |
|
Texto da mensagem de erro |
A atualização Dbx de Arranque Seguro não revogou o Microsoft Windows Production PCA 2011, uma vez que o gestor de arranque não está assinado com o certificado UEFI CA 2023 do Windows |
Este evento é registado quando um gestor de arranque é aplicado ao sistema assinado pelo certificado DA UEFI 2023 do Windows
Informações do registo de eventos
|
Registo de eventos |
Sistema |
|
Origem do evento |
TPM-WMI |
|
ID de Evento |
1799 |
|
Nível |
Informações |
|
Texto da mensagem de erro |
O Boot Manager assinado com o Windows UEFI CA 2023 foi instalado com êxito |
