Руководство Майкрософт по применению обновления DBX для безопасной загрузки (KB4575994)

Применение обновления DBX в Windows

Прочитав предупреждения в предыдущем разделе и убедившись, что ваше устройство совместимо, выполните следующие действия, чтобы обновить dbX для безопасной загрузки:

1. Скачайте соответствующий файл списка отзыва UEFI (Dbxupdate.bin) для своей платформы с этой веб-страницы UEFI.

2. Необходимо разделить файл Dbxupdate.bin на необходимые компоненты, чтобы применить их с помощью командлетов PowerShell. Для этого выполните следующие действия:

   1. Скачайте скрипт PowerShell с этой коллекция PowerShell веб-страницы.

   2. Чтобы найти скрипт, выполните следующий командлет:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Убедитесь, что командлет успешно скачивает скрипт и предоставляет выходные данные, включая имя, версию, author, PublishedDate, InstalledDate и InstalledLocation.

   4. Выполните следующие командлеты:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

   5. Убедитесь, что файл SplitDbxContent.ps1 теперь находится в папке Скрипты.

   6. Выполните следующий сценарий PowerShell в файле Dbxupdate.bin:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Убедитесь, что команда создала следующие файлы.

      

      • Content.bin — обновление содержимого

      • Signature.p7 — авторизация процесса обновления сигнатурой

3. В административном сеансе PowerShell выполните командлет Set-SecureBootUefi , чтобы применить обновление DBX:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   Ожидаемые выходные
   
   

4. Чтобы завершить процесс установки обновления, перезапустите устройство.

Дополнительные сведения о командлете конфигурации безопасной загрузки и его использовании для обновлений DBX см. в разделе Set-Secure.

Проверка успешности обновления  

После успешного выполнения действий, описанных в предыдущем разделе, и перезапуска устройства, выполните следующие действия, чтобы убедиться, что обновление успешно применено. После успешной проверки на ваше устройство больше не будет влиять уязвимость GRUB.

1. Скачайте скрипты проверки обновлений DBX с этой веб-страницы GitHub Gist.

2. Извлеките скрипты и двоичные файлы из сжатого файла.

3. Выполните следующий сценарий PowerShell в папке, содержащей развернутые скрипты и двоичные файлы, чтобы проверить обновление DBX:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Примечание. Если было применено обновление DBX, соответствующее версиям за июль 2020 г. или октябрь 2020 г. из этого файла списка отзыва , выполните следующую соответствующую команду:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. Убедитесь, что выходные данные соответствуют ожидаемому результату.
   
   

Вопросы и ответы

Вопрос 1. Что означает сообщение об ошибке Get-SecureBootUEFI: командлеты, не поддерживаемые на этой платформе?

A1: Это сообщение об ошибке указывает, что на компьютере не включена функция безопасной загрузки. Таким образом, на это устройство не влияет уязвимость GRUB. Никаких дальнейших действий не требуется.

В2. Разделы справки настроить устройство так, чтобы доверять или не доверять стороннему ЦС UEFI? 

A2: Рекомендуется обратиться к поставщику oem. 

Для Microsoft Surface измените параметр безопасной загрузки на "Только Майкрософт", а затем выполните следующую команду PowerShell (результат должен иметь значение False): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Дополнительные сведения о настройке для Microsoft Surface см. в разделе Управление параметрами UEFI Surface — Surface | Документация Майкрософт.

Вопрос 3. Влияет ли эта проблема на виртуальные машины Azure IaaS поколения 1 и 2? 

A3: Нет. Гостевые виртуальные машины Azure 1-го и 2-го поколения не поддерживают функцию безопасной загрузки. Таким образом, на них не влияет цепочка атак доверия. 

В4. Относятся ли ADV200011 и CVE-2020-0689 к одной и той же уязвимости, связанной с безопасной загрузкой? 

A: Нет. Эти рекомендации по безопасности описывают различные уязвимости. "ADV200011" относится к уязвимости в GRUB (компонент Linux), которая может привести к обходу безопасной загрузки. CVE-2020-0689 относится к уязвимости обхода функции безопасности, которая существует в безопасной загрузке. 

Вопрос 5. Не удается выполнить ни один из сценариев PowerShell. Что мне делать?

A: Проверьте политику выполнения PowerShell, выполнив команду Get-ExecutionPolicy . В зависимости от выходных данных может потребоваться обновить политику выполнения:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) — PowerShell | Документация Майкрософт