Rezumat
Pentru a menține dispozitivele Windows în siguranță, Microsoft adaugă module bootloader vulnerabile în lista de revocare Secure Boot DBX (menținute în firmware-ul bazat pe UEFI al sistemului) pentru a invalida modulele vulnerabile. Atunci când lista actualizată de revocare DBX este instalată pe un dispozitiv, Windows verifică dacă sistemul se află într-o stare în care actualizarea DBX poate fi aplicată cu succes la firmware și va raporta erorile din jurnalul de evenimente dacă este detectată o problemă.
Mai multe informații
Atunci când unul dintre aceste module vulnerabile este detectat pe dispozitiv, se creează o intrare în jurnalul de evenimente, care avertizează despre situație și include numele modulului detectat. Intrarea din jurnalul de evenimente conține detalii care seamănă cu următoarele:
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
TPM-WMI |
ID eveniment |
<număr ID eveniment> |
Nivel |
Eroare |
Text mesaj eveniment |
<> text a mesajului |
ID-uri de eveniment
Acest eveniment este înregistrat atunci când BitLocker de pe unitatea de sistem este configurat astfel încât aplicarea listei Secure Boot DBX la firmware ar face ca BitLocker să intre în modul de recuperare. Rezoluția constă în suspendarea temporară a BitLocker pentru 2 cicluri de repornire, pentru a permite instalarea actualizării.
Luați măsuri
Pentru a rezolva această problemă, rulați următoarea comandă dintr-o linie de comandă Administrator pentru a suspenda BitLocker pentru 2 cicluri de repornire:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Apoi reporniți dispozitivul de două ori pentru a relua protecția BitLocker.
Pentru a vă asigura că protecția BitLocker a fost reluată, rulați următoarea comandă după repornire de două ori:
-
Manage-bde –Protectors –enable %systemdrive%
Informații jurnal de evenimente
ID-ul de eveniment 1032 va fi înregistrat atunci când configurația BitLocker de pe unitatea de sistem ar face ca sistemul să intre în recuperarea BitLocker dacă se aplică actualizarea secure Boot.
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
TPM-WMI |
ID eveniment |
1032 |
Nivel |
Eroare |
Text mesaj eveniment |
Actualizarea Secure Boot nu s-a aplicat din cauza unei incompatibilități cunoscute cu configurația BitLocker curentă. |
Atunci când lista actualizată de revocare DBX este instalată pe un dispozitiv, Windows verifică dacă sistemul depinde de unul dintre modulele vulnerabile pentru a porni dispozitivul. Dacă este detectat unul dintre modulele vulnerabile, actualizarea listei DBX din firmware este amânată. La fiecare repornire a sistemului, dispozitivul este reacanizat pentru a determina dacă modulul vulnerabil a fost actualizat și dacă este sigur să aplicați lista DBX actualizată.
Luați măsuri
În majoritatea cazurilor, furnizorul modulului vulnerabil ar trebui să aibă o versiune actualizată care tratează vulnerabilitatea. Contactați furnizorul pentru a obține actualizarea.
Informații jurnal de evenimente
ID-ul de eveniment 1033 va fi înregistrat atunci când un încărcător de boot vulnerabil care a fost revocat de această actualizare este detectat pe dispozitivul dvs.
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
TPM-WMI |
ID eveniment |
1033 |
Nivel |
Eroare |
Text mesaj eveniment |
Managerul de boot posibil revocat a fost detectat în partiția EFI. Pentru mai multe informații, consultați https://go.microsoft.com/fwlink/?linkid=2169931 |
BootMgr date eveniment |
<calea și numele fișierelor vulnerabile> |
Acest eveniment este înregistrat în jurnal atunci când variabila Secure Boot DBX este actualizată cu succes. Variabila DBX este utilizată pentru a nu avea încredere în componentele Secure Boot și este utilizată de obicei pentru a bloca componentele Secure Boot vulnerabile sau rău intenționate, cum ar fi managerii de boot și certificatele utilizate pentru a semna managerii de boot.
Evenimentul 1034 indică faptul că sunt aplicate revocări DBX standard la firmware,
Informații jurnal de evenimente
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
TPM-WMI |
ID eveniment |
1034 |
Nivel |
Informații |
Text mesaj eveniment |
Actualizarea Secure Boot Dbx aplicată cu succes |
Acest eveniment este înregistrat în jurnal atunci când variabila Secure Boot DB este actualizată cu succes. Variabila DB este utilizată pentru a adăuga încredere pentru componentele Secure Boot și este utilizată de obicei pentru a avea încredere în certificatele utilizate pentru a semna managerii de boot.
Informații jurnal de evenimente
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
TPM-WMI |
ID eveniment |
1036 |
Nivel |
Informații |
Text mesaj eveniment |
Actualizarea Secure Boot Db aplicată cu succes |
Acest eveniment este înregistrat atunci când certificatul Microsoft Windows Production PCA 2011 este adăugat la baza de date de semnături UEFI Secure Boot Forbidden Signatures (DBX). Atunci când se întâmplă acest lucru, toate aplicațiile de boot semnate cu acest certificat nu vor mai fi de încredere atunci când porniți dispozitivul. Aceasta include toate aplicațiile de boot utilizate cu suportul de recuperare a sistemului, aplicațiile de boot PXE și orice alte suporturi media care utilizează o aplicație de boot semnată de acest certificat.
Informații jurnal erori
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
TPM-WMI |
ID eveniment |
1037 |
Nivel |
Informații |
Text mesaj de eroare |
Actualizarea Secure Boot Dbx pentru revocarea Microsoft Windows Production PCA 2011 se aplică cu succes. |
Atunci când lista actualizată de revocare DBX este aplicată la firmware, firmware-ul poate returna o eroare. Atunci când apare o eroare, un eveniment este înregistrat în jurnal și Windows va încerca să aplice lista DBX la firmware la următoarea repornire a sistemului.
Luați măsuri
Contactați producătorul dispozitivului pentru a determina dacă este disponibilă o actualizare de firmware.
Informații jurnal de evenimente
ID-ul de eveniment 1795 va fi înregistrat atunci când firmware-ul de pe dispozitiv returnează o eroare. Intrarea în jurnalul de evenimente va include codul de eroare returnat de firmware.
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
TPM-WMI |
ID eveniment |
1795 |
Nivel |
Eroare |
Text mesaj eveniment |
Firmware-ul de sistem a returnat o eroare <cod de eroare firmware> atunci când a încercat să actualizeze o variabilă Secure Boot. Pentru mai multe informații, consultați https://go.microsoft.com/fwlink/?linkid=2169931 |
Atunci când lista actualizată de revocare DBX este aplicată la un dispozitiv și apare o eroare care nu este acoperită de evenimentele de mai sus, se înregistrează un eveniment și Windows va încerca să aplice lista DBX la firmware la următoarea repornire a sistemului.
Informații jurnal de evenimente
ID-ul de eveniment 1796 are loc atunci când se întâlnește o eroare neașteptată. Intrarea în jurnalul de evenimente va include codul de eroare pentru eroarea neașteptată.
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
TPM-WMI |
ID eveniment |
1796 |
Nivel |
Eroare |
Text mesaj eveniment |
Actualizarea Secure Boot nu a reușit să actualizeze o variabilă Secure Boot cu eroare<cod de eroare>. Pentru mai multe informații, consultați https://go.microsoft.com/fwlink/?linkid=2169931 |
Acest eveniment este înregistrat în timpul unei încercări de a adăuga certificatul Microsoft Windows Production PCA 2011 la baza de date de semnături UEFI Secure Boot Forbidden Signatures (DBX). Înainte de a adăuga acest certificat la DBX, se face o verificare pentru a vă asigura că certificatul Windows UEFI CA 2023 a fost adăugat la baza de date UEFI Secure Boot Signature (DB). Dacă Windows UEFI CA 2023 nu a fost adăugat la baza de date, Windows va eșua intenționat actualizarea DBX. Acest lucru se face pentru a vă asigura că dispozitivul are încredere în cel puțin unul dintre aceste două certificate, ceea ce asigură că dispozitivul va avea încredere în aplicațiile de boot semnate de Microsoft. Atunci când adăugați Microsoft Windows Production PCA 2011 la DBX, se efectuează două verificări pentru a vă asigura că dispozitivul continuă să booteze cu succes: 1) asigurați-vă că Windows UEFI CA 2023 a fost adăugat la DB, 2) Asigurați-vă că aplicația de bootare implicită nu este semnată de certificatul Microsoft Windows Production PCA 2011.
Informații jurnal de evenimente
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
TPM-WMI |
ID eveniment |
1797 |
Nivel |
Eroare |
Text mesaj de eroare |
Actualizarea Secure Boot Dbx nu a reușit să revoce Microsoft Windows Production PCA 2011, deoarece certificatul Windows UEFI CA 2023 nu este prezent în DB. |
Acest eveniment este înregistrat în timpul unei încercări de a adăuga certificatul Microsoft Windows Production PCA 2011 la baza de date de semnături UEFI Secure Boot Forbidden Signatures (DBX). Înainte de a adăuga acest certificat la DBX, se face o verificare pentru a vă asigura că aplicația de bootare implicită nu este semnată de certificatul de semnare Microsoft Windows Production PCA 2011. Dacă aplicația de bootare implicită este semnată de certificatul de semnare Microsoft Windows Production PCA 2011, Windows va eșua intenționat actualizarea DBX. Atunci când adăugați Microsoft Windows Production PCA 2011 la DBX, se efectuează două verificări pentru a vă asigura că dispozitivul continuă să booteze cu succes: 1) asigurați-vă că Windows UEFI CA 2023 a fost adăugat la DB, 2) Asigurați-vă că aplicația de bootare implicită nu este semnată de certificatul Microsoft Windows Production PCA 2011.
Informații jurnal de evenimente
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
TPM-WMI |
ID eveniment |
1798 |
Nivel |
Eroare |
Text mesaj de eroare |
Actualizarea Secure Boot Dbx nu a reușit să revoce Microsoft Windows Production PCA 2011, deoarece managerul de boot nu este semnat cu certificatul Windows UEFI CA 2023 |
Acest eveniment este înregistrat atunci când un manager de boot este aplicat la sistemul semnat de certificatul Windows UEFI CA 2023
Informații jurnal de evenimente
Jurnal de evenimente |
Sistem |
Sursa evenimentului |
TPM-WMI |
ID eveniment |
1799 |
Nivel |
Informații |
Text mesaj de eroare |
Managerul de boot semnat cu Windows UEFI CA 2023 a fost instalat cu succes |