Documentação de orientação da Microsoft para aplicar a atualização DBX de Arranque Seguro (KB4575994)

Aplicar uma atualização DBX no Windows

Depois de ler os avisos na secção anterior e verificar se o dispositivo é compatível, siga estes passos para atualizar o DBX de Arranque Seguro:

1. Transfira o Ficheiro de Lista de Revogação da UEFI (Dbxupdate.bin) adequado para a sua plataforma a partir desta página Web UEFI.

2. Tem de dividir o ficheiro Dbxupdate.bin nos componentes necessários para os aplicar com cmdlets do PowerShell. Para tal, siga estes passos:

   1. Transfira o script do PowerShell a partir desta página Web Galeria do PowerShell.

   2. Para ajudar a localizar o script, execute o seguinte cmdlet:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Verifique se o cmdlet transfere o script com êxito e fornece detalhes de saída, incluindo Nome, Versão, Autor, Data Publicada, InstalledDate e InstalledLocation.

   4. Execute os seguintes cmdlets:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • ls

   5. Verifique se o ficheiro SplitDbxContent.ps1 está agora na pasta Scripts.

   6. Execute o seguinte script do PowerShell no ficheiro Dbxupdate.bin:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Verifique se o comando criou os seguintes ficheiros.

      

      • Content.bin – atualizar conteúdos

      • Signature.p7 – assinatura que autoriza o processo de atualização

3. Numa sessão administrativa do PowerShell, execute o cmdlet Set-SecureBootUefi para aplicar a atualização DBX:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   de saída
   
   esperado

4. Para concluir o processo de instalação da atualização, reinicie o dispositivo.

Para obter mais informações sobre o cmdlet de configuração de Arranque Seguro e como utilizá-lo para atualizações DBX, veja Set-Secure.

Verificar se a atualização foi efetuada com êxito  

Depois de concluir com êxito os passos na secção anterior e reiniciar o dispositivo, siga estes passos para verificar se a atualização foi aplicada com êxito. Após a verificação com êxito, o dispositivo deixará de ser afetado pela vulnerabilidade GRUB.

1. Transfira os scripts de verificação de atualização DBX a partir desta página Web do GitHub Gist.

2. Extraia os scripts e binários do ficheiro comprimido.

3. Execute o seguinte script do PowerShell na pasta que contém os scripts e binários expandidos para verificar a atualização DBX:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Nota: Se tiver sido aplicada uma atualização DBX que corresponda às versões de julho de 2020 ou outubro de 2020 deste arquivo de ficheiros da lista de revogação , execute o seguinte comando adequado:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 ".\dbx-2020-October.bin" 

4. Verifique se o resultado corresponde ao resultado esperado.
   
   

FAQ

T1: O que significa a mensagem de erro "Get-SecureBootUEFI: Cmdlets não suportados nesta plataforma"?

A1: Esta mensagem de erro indica que nenhuma funcionalidade de Arranque Seguro está ativada no computador. Por conseguinte, este dispositivo NÃO é afetado pela vulnerabilidade GRUB. Não é necessária mais nenhuma ação.

T2: Como devo proceder para configurar o dispositivo para confiar ou não confiar em AC UEFI de terceiros? 

A2: Recomendamos que consulte o fornecedor do OEM. 

Para o Microsoft Surface, altere a definição Arranque Seguro para "Apenas Microsoft" e, em seguida, execute o seguinte comando do PowerShell (o resultado deve ser "Falso"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Para obter mais informações sobre como configurar o Microsoft Surface, consulte Gerir as definições do UEFI do Surface – Surface | Microsoft Docs.

T3: Este problema afeta as máquinas virtuais de Geração 1 e Geração 2 do IaaS do Azure? 

A3: Não, não. As máquinas virtuais convidadas do Azure Gen1 e Gen2 não suportam a funcionalidade Arranque Seguro. Por conseguinte, não são afectados pela cadeia de ataques de confiança. 

T4: O ADV200011 e o CVE-2020-0689 referem-se à mesma vulnerabilidade relacionada com o Arranque Seguro? 

A: Não, não. Estes avisos de segurança descrevem vulnerabilidades diferentes. "ADV200011" refere-se a uma vulnerabilidade no GRUB (componente Linux) que pode causar uma desativação do Arranque Seguro. "CVE-2020-0689" refere-se a uma vulnerabilidade de desativação da funcionalidade de segurança que existe no Arranque Seguro. 

P5: Não consigo executar nenhum dos scripts do PowerShell. O que devo fazer?

A: Verifique a política de execução do PowerShell ao executar o comando Get-ExecutionPolicy . Consoante o resultado, poderá ter de atualizar a política de execução:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs