Сводка
Чтобы обеспечить безопасность устройств Windows, корпорация Майкрософт добавляет уязвимые модули загрузчика в список отзыва dbx secure boot (поддерживается в встроенном ПО на основе UEFI системы), чтобы сделать уязвимыми модули недействительными. Когда обновленный список отзыва DBX установлен на устройстве, Windows проверяет, находится ли система в состоянии, в котором обновление DBX может быть успешно применено к встроенному ПО, и будет сообщать об ошибках журнала событий при обнаружении проблемы.
Дополнительные сведения
При обнаружении одного из этих уязвимых модулей на устройстве создается запись журнала событий с предупреждением о ситуации и включает имя обнаруженного модуля. Запись журнала событий содержит следующие сведения:
|
Журнал событий |
Система |
|
Источник события |
TPM-WMI |
|
Идентификатор события |
> идентификатор события < |
|
Уровень |
Ошибка |
|
Текст сообщения о событии |
текстовые> сообщений < |
Идентификаторы событий
Это событие регистрируется, когда BitLocker на системном диске настроен таким образом, что применение списка DBX безопасной загрузки к встроенному ПО приведет к переходу BitLocker в режим восстановления. Решение заключается в временной приостановке BitLocker на 2 цикла перезапуска, чтобы разрешить установку обновления.
Принять меры
Чтобы устранить эту проблему, выполните следующую команду в командной строке администратора, чтобы приостановить BitLocker на 2 циклах перезапуска:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Затем перезапустите устройство два раза, чтобы возобновить защиту BitLocker.
Чтобы убедиться, что защита BitLocker возобновлена, выполните следующую команду после перезапуска два раза:
-
Manage-bde –Protectors –enable %systemdrive%
Сведения журнала событий
Событие с идентификатором 1032 регистрируется, когда конфигурация BitLocker на системном диске приведет к переходу системы в восстановление BitLocker, если применено обновление безопасной загрузки.
|
Журнал событий |
Система |
|
Источник события |
TPM-WMI |
|
Идентификатор события |
1032 |
|
Уровень |
Ошибка |
|
Текст сообщения о событии |
Обновление безопасной загрузки не было применено из-за известной несовместимости с текущей конфигурацией BitLocker. |
Когда обновленный список отзыва DBX установлен на устройстве, Windows проверяет, зависит ли система от одного из уязвимых модулей для запуска устройства. При обнаружении одного из уязвимых модулей обновление списка DBX в встроенном ПО откладывается. При каждом перезапуске системы устройство повторно сканируется, чтобы определить, обновлен ли уязвимый модуль и безопасно ли применять обновленный список DBX.
Принять меры
В большинстве случаев поставщик уязвимого модуля должен иметь обновленную версию, которая устраняет уязвимость. Чтобы получить обновление, обратитесь к поставщику.
Сведения журнала событий
Событие с идентификатором 1033 будет зарегистрировано при обнаружении на устройстве уязвимого загрузчика, отозванного этим обновлением.
|
Журнал событий |
Система |
|
Источник события |
TPM-WMI |
|
Идентификатор события |
1033 |
|
Уровень |
Ошибка |
|
Текст сообщения о событии |
В разделе EFI обнаружен потенциально отозванный диспетчер загрузки. Дополнительные сведения см. в разделе https://go.microsoft.com/fwlink/?linkid=2169931 |
|
Event Data BootMgr |
<путь и имя уязвимого файла> |
Это событие регистрируется при успешном обновлении переменной DBX безопасной загрузки. Переменная DBX используется для ненадежных компонентов безопасной загрузки и обычно используется для блокировки уязвимых или вредоносных компонентов безопасной загрузки, таких как диспетчеры загрузки и сертификаты, используемые для подписания диспетчеров загрузки.
Событие 1034 указывает, что к встроенному ПО применяются стандартные отзыва DBX.
Сведения журнала событий
|
Журнал событий |
Система |
|
Источник события |
TPM-WMI |
|
Идентификатор события |
1034 |
|
Уровень |
Сведения |
|
Текст сообщения о событии |
Обновление Dbx для безопасной загрузки успешно применено |
Это событие регистрируется при успешном обновлении переменной базы данных безопасной загрузки. Переменная базы данных используется для добавления доверия для компонентов безопасной загрузки и обычно используется для доверия сертификатов, используемых для подписывания диспетчеров загрузки.
Сведения журнала событий
|
Журнал событий |
Система |
|
Источник события |
TPM-WMI |
|
Идентификатор события |
1036 |
|
Уровень |
Сведения |
|
Текст сообщения о событии |
Обновление базы данных безопасной загрузки успешно применено |
Это событие регистрируется при добавлении сертификата Microsoft Windows Production PCA 2011 в базу данных запрещенных подписей (DBX) UEFI. В этом случае все загрузочные приложения, подписанные этим сертификатом, больше не будут доверенными при запуске устройства. Сюда входят все загрузочные приложения, используемые с носителем восстановления системы, загрузочные приложения PXE и любые другие носители, использующие загрузочное приложение, подписанное этим сертификатом.
Сведения журнала ошибок
|
Журнал событий |
Система |
|
Источник события |
TPM-WMI |
|
Идентификатор события |
1037 |
|
Уровень |
Сведения |
|
Текст сообщения об ошибке |
Обновление Dbx для безопасной загрузки для отзыва Microsoft Windows Production PCA 2011 успешно применено. |
Когда обновленный список отзыва DBX применяется к встроенному ПО, встроенное ПО может вернуть ошибку. При возникновении ошибки регистрируется событие, и Windows попытается применить список DBX к встроенному ПО при следующем перезапуске системы.
Принять меры
Обратитесь к производителю устройства, чтобы определить, доступно ли обновление встроенного ПО.
Сведения журнала событий
Событие с идентификатором 1795 будет зарегистрировано, когда встроенное ПО на устройстве возвращает ошибку. Запись журнала событий будет включать код ошибки, возвращенный из встроенного ПО.
|
Журнал событий |
Система |
|
Источник события |
TPM-WMI |
|
Идентификатор события |
1795 |
|
Уровень |
Ошибка |
|
Текст сообщения о событии |
Встроенное ПО системы вернуло ошибку <код ошибки встроенного ПО> при попытке обновить переменную безопасной загрузки. Дополнительные сведения см. в разделе https://go.microsoft.com/fwlink/?linkid=2169931 |
Когда обновленный список отзыва DBX применяется к устройству и возникает ошибка, которая не охватывается описанными выше событиями, регистрируется событие, и Windows попытается применить список DBX к встроенному ПО при следующем перезапуске системы.
Сведения журнала событий
Событие с идентификатором 1796 возникает при обнаружении непредвиденной ошибки. Запись журнала событий будет содержать код ошибки для непредвиденной ошибки.
|
Журнал событий |
Система |
|
Источник события |
TPM-WMI |
|
Идентификатор события |
1796 |
|
Уровень |
Ошибка |
|
Текст сообщения о событии |
Обновлению безопасной загрузки не удалось обновить переменную безопасной загрузки с ошибкой<код ошибки>. Дополнительные сведения см. в разделе https://go.microsoft.com/fwlink/?linkid=2169931 |
Это событие регистрируется при попытке добавить сертификат Microsoft Windows Production PCA 2011 в базу данных с запретными подписями (DBX) UEFI. Перед добавлением этого сертификата в DBX выполняется проверка, чтобы убедиться, что сертификат Windows UEFI CA 2023 добавлен в базу данных безопасной загрузки UEFI. Если windows UEFI CA 2023 не был добавлен в базу данных, Windows намеренно завершится сбоем обновления DBX. Это делается для того, чтобы устройство доверяет по крайней мере одному из этих двух сертификатов, что гарантирует, что устройство будет доверять загрузочным приложениям, подписанным корпорацией Майкрософт. При добавлении Microsoft Windows Production PCA 2011 в DBX выполняются две проверки, чтобы убедиться, что устройство продолжает успешно загружаться: 1) убедитесь, что windows UEFI CA 2023 добавлен в базу данных, 2) Убедитесь, что загрузочное приложение по умолчанию не подписано сертификатом Microsoft Windows Production PCA 2011.
Сведения журнала событий
|
Журнал событий |
Система |
|
Источник события |
TPM-WMI |
|
Идентификатор события |
1797 |
|
Уровень |
Ошибка |
|
Текст сообщения об ошибке |
Не удалось отозвать microsoft Windows Production PCA 2011, так как сертификат Windows UEFI CA 2023 отсутствует в базе данных. |
Это событие регистрируется при попытке добавить сертификат Microsoft Windows Production PCA 2011 в базу данных с запретными подписями (DBX) UEFI. Перед добавлением этого сертификата в DBX выполняется проверка, чтобы убедиться, что загрузочное приложение по умолчанию не подписано сертификатом подписи Microsoft Windows Production PCA 2011. Если загрузочное приложение по умолчанию подписано сертификатом подписи Microsoft Windows Production PCA 2011, Windows намеренно завершится сбоем обновления DBX. При добавлении Microsoft Windows Production PCA 2011 в DBX выполняются две проверки, чтобы убедиться, что устройство продолжает успешно загружаться: 1) убедитесь, что windows UEFI CA 2023 добавлен в базу данных, 2) Убедитесь, что загрузочное приложение по умолчанию не подписано сертификатом Microsoft Windows Production PCA 2011.
Сведения журнала событий
|
Журнал событий |
Система |
|
Источник события |
TPM-WMI |
|
Идентификатор события |
1798 |
|
Уровень |
Ошибка |
|
Текст сообщения об ошибке |
Не удалось отозвать microsoft Windows Production PCA 2011, так как диспетчер загрузки не подписан с сертификатом Windows UEFI CA 2023 |
Это событие регистрируется при применении диспетчера загрузки к системе, подписанной сертификатом Windows UEFI CA 2023.
Сведения журнала событий
|
Журнал событий |
Система |
|
Источник события |
TPM-WMI |
|
Идентификатор события |
1799 |
|
Уровень |
Сведения |
|
Текст сообщения об ошибке |
Диспетчер загрузки, подписанный с помощью windows UEFI CA 2023, успешно установлен |
