Pokyny spoločnosti Microsoft na použitie aktualizácie databázy DBX zabezpečeného spustenia (KB4575994)

Použitie aktualizácie DBX vo Windowse

Po prečítaní upozornení v predchádzajúcej časti a overení kompatibility zariadenia aktualizujte databázu zabezpečeného spustenia dbx podľa týchto krokov:

1. Z tejto webovej stránky UEFI si stiahnite príslušný súbor zoznamu zrušenia UEFI (Dbxupdate.bin) pre svoju platformu.

2. Súbor Dbxupdate.bin musíte rozdeliť na potrebné súčasti, aby ste ich mohli použiť pomocou rutín typu cmdlet prostredia PowerShell. Postupujte podľa nasledujúcich krokov:

   1. Stiahnite si skript prostredia PowerShell z tejto webovej stránky galérie prostredia PowerShell.

   2. Ak chcete pomôcť nájsť skript, spustite nasledujúcu rutinu typu cmdlet:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Overte, či rutina typu cmdlet úspešne stiahne skript a poskytne podrobnosti o výstupe vrátane podrobností o výstupe vrátane položiek Name, Version, Author, PublishedDate, InstalledDate a InstalledLocation.

   4. Spustite nasledujúce rutiny typu cmdlet:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

   5. Overte, či sa súbor SplitDbxContent.ps1 teraz nachádza v priečinku Skripty.

   6. Spustite nasledujúci skript prostredia PowerShell v súbore Dbxupdate.bin:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Overte, či príkaz vytvoril nasledujúce súbory.

      

      • Content.bin – aktualizácia obsahu

      • Signature.p7 – podpis oprávňujúci proces aktualizácie

3. V relácii prostredia PowerShell na správu spustite rutinu typu cmdlet Set-SecureBootUefi a použite aktualizáciu DBX:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   Očakávaný výstup
   
   

4. Ak chcete dokončiť proces inštalácie aktualizácie, reštartujte zariadenie.

Ďalšie informácie o rutine typu cmdlet konfigurácie zabezpečeného spustenia a o tom, ako ju používať na aktualizácie DBX, nájdete v téme Set-Secure.

Overenie úspešnosti aktualizácie  

Po úspešnom dokončení krokov v predchádzajúcej časti a reštartovaní zariadenia postupujte podľa týchto krokov na overenie úspešného použitia aktualizácie. Po úspešnom overení už vaše zariadenie nebude ovplyvnené zraniteľnosťou GRUB.

1. Stiahnite si skripty overovania aktualizácií DBX z tejto webovej stránky služby GitHub Gist.

2. Extrahujte skripty a binárne údaje z komprimovaného súboru.

3. Spustite nasledujúci skript prostredia PowerShell v priečinku, ktorý obsahuje rozšírené skripty a binárne súbory, a overte aktualizáciu DBX:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Poznámka: Ak sa použila aktualizácia DBX, ktorá zodpovedá verzii z júla 2020 alebo októbra 2020 z tohto archívu súborov so zoznamom zrušených položiek, spustite namiesto toho nasledujúci príslušný príkaz:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 .\dbx-2020-October.bin 

4. Overte, či sa výstup zhoduje s očakávaným výsledkom.
   
   

FAQ

Otázka 1: Čo znamená chybové hlásenie Get-SecureBootUEFI: Rutiny typu cmdlet nie sú podporované na tejto platforme?

A1: Toto chybové hlásenie označuje, že v počítači nie je povolená funkcia zabezpečeného spustenia. Preto toto zariadenie nie je ovplyvnená zraniteľnosťou GRUB. Nie sú potrebné žiadne ďalšie kroky.

Otázka 2: Ako nakonfigurujem zariadenie tak, aby dôveroval certifikačnej autorite UEFI tretej strany alebo jej nedôveroval? 

A2: Odporúčame, aby ste sa poradili s dodávateľom OEM. 

V prípade zariadenia Microsoft Surface zmeňte nastavenie zabezpečeného spustenia na možnosť Iba microsoft a potom spustite nasledujúci príkaz prostredia PowerShell (výsledok by mal byť False): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Ďalšie informácie o konfigurácii zariadenia Microsoft Surface nájdete v téme Správa nastavení rozhrania Surface UEFI – Surface | Microsoft Docs.

3. otázka: Ovplyvňuje tento problém virtuálne počítače Azure IaaS Generation 1 a Generation 2? 

A3: Nie. Hosťovské virtuálne počítače Azure Gen1 a Gen2 nepodporujú funkciu zabezpečeného spustenia. Preto nie sú ovplyvnené reťazcom útoku dôvery. 

4. otázka: Odkazujú ADV200011 a CVE-2020-0689 na rovnaké nedostatočné zabezpečenie, ktoré súvisí s bezpečným spustením? 

A: Nie. Tieto bezpečnostné upozornenia popisujú rôzne chyby. "ADV200011" odkazuje na zraniteľnosť v GRUB (súčasť Linux), ktorá by mohla spôsobiť obídenie zabezpečeného spustenia. Cve-2020-0689 odkazuje na zabezpečenie funkcie obídenie zraniteľnosti, ktorá existuje v secure boot. 

5. otázka: Nemôžem spustiť ani jeden zo skriptov prostredia PowerShell. Čo mám robiť?

A: Overte politiku spustenia prostredia PowerShell spustením príkazu Get-ExecutionPolicy . V závislosti od výstupu možno budete musieť aktualizovať politiku spustenia:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) – PowerShell | Microsoft Docs