Instrucțiuni Microsoft pentru aplicarea actualizării Secure Boot DBX (KB4575994)

Aplicarea unei actualizări DBX în Windows

După ce citiți avertismentele din secțiunea anterioară și verificați dacă dispozitivul este compatibil, urmați acești pași pentru a actualiza Secure Boot DBX:

1. Descărcați fișierul listă de revocare UEFI corespunzător (Dbxupdate.bin) pentru platforma dvs. din această pagină web UEFI.

2. Trebuie să scindați fișierul Dbxupdate.bin în componentele necesare pentru a le aplica utilizând cmdleturi PowerShell. Pentru a face acest lucru, urmați acești pași:

   1. Descărcați scriptul PowerShell din această pagină web Galerie PowerShell.

   2. Pentru a găsi scriptul, rulați următorul cmdlet:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Verificați dacă cmdletul descarcă cu succes scriptul și furnizează detalii de ieșire, inclusiv Nume, Versiune, Autor, PublishedDate, InstalledDate și InstalledLocation.

   4. Rulați următoarele cmdleturi:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • $ScriptPath cd

      • Ls

   5. Verificați dacă fișierul SplitDbxContent.ps1 se află acum în folderul Scripturi.

   6. Rulați următorul script PowerShell în fișierul Dbxupdate.bin:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Verificați dacă comanda a creat fișierele următoare.

      

      • Content.bin – actualizare conținut

      • Signature.p7 - semnătură care autorizează procesul de actualizare

3. Într-o sesiune PowerShell administrativă, rulați cmdletul Set-SecureBootUefi pentru a aplica actualizarea DBX:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   de ieșire
   
   așteptate

4. Pentru a finaliza procesul de instalare a actualizării, reporniți dispozitivul.

Pentru mai multe informații despre cmdletul de configurare Secure Boot și cum să o utilizați pentru actualizările DBX, consultați Set-Secure.

Se verifică dacă actualizarea a reușit  

După ce terminați cu succes pașii din secțiunea anterioară și reporniți dispozitivul, urmați acești pași pentru a verifica dacă actualizarea s-a aplicat cu succes. După verificarea reușită, dispozitivul dvs. nu va mai fi afectat de vulnerabilitateaRVA.

1. Descărcați scripturile de verificare a actualizărilor DBX din această pagină web GitHub Gist.

2. Extrageți scripturile și fișierele binare din fișierul comprimat.

3. Rulați următorul script PowerShell în folderul care conține scripturile și fișierele binare extinse pentru a verifica actualizarea DBX:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Notă: Dacă s-a aplicat o actualizare DBX care corespunde versiunilor din iulie 2020 sau octombrie 2020 din această arhivă de fișiere listă revocată , rulați în schimb următoarea comandă corespunzătoare:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-october.bin' 

4. Verificați dacă rezultatul se potrivește cu rezultatul așteptat.
   
   

FAQ

Î1: Ce înseamnă mesajul de eroare "Get-SecureBootUEFI: Cmdleturile nu sunt acceptate pe această platformă"?

A1: Acest mesaj de eroare indică faptul că caracteristica NO Secure Boot este activată pe computer. Prin urmare, acest dispozitiv NU este afectat de vulnerabilitateaNITERV. Nu mai sunt necesare alte acțiuni.

Î2: Cum configurez dispozitivul pentru a avea încredere în UEFI CA terță parte sau nu? 

A2: Vă recomandăm să consultați distribuitorul OEM. 

Pentru Microsoft Surface, modificați setarea Secure Boot la "Doar Microsoft", apoi rulați următoarea comandă PowerShell (rezultatul ar trebui să fie "Fals"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Pentru mai multe informații despre configurarea pentru Microsoft Surface, consultați Gestionarea setărilor Surface UEFI - Surface | Microsoft Docs.

Q3: Această problemă afectează mașinile virtuale Azure IaaS Generation 1 și Generația 2? 

A3: Nu. Mașinile virtuale Invitat Azure Gen1 și Gen2 nu acceptă caracteristica Bootare sigură. Prin urmare, acestea nu sunt afectate de lanțul de atac de încredere. 

Q4: AdV200011 și CVE-2020-0689 se referă la aceeași vulnerabilitate legată de bootarea sigură? 

R: Nu. Aceste recomandări de securitate descriu vulnerabilitățile diferite. "ADV200011" se referă la o vulnerabilitate din CAO (componentă Linux) care ar putea cauza o ocolire Secure Boot. "CVE-2020-0689" se referă la o vulnerabilitate de ocolire a caracteristicilor de securitate care există în Bootare securizată. 

Q5: Nu pot rula niciunul dintre scripturile PowerShell. Ce trebuie să fac?

R: Verificați politica de executare PowerShell rulând comanda Get-ExecutionPolicy . În funcție de rezultat, poate fi necesar să actualizați politica de executare:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs