Rezime
Da bi Windows uređaji držali bezbednim, Microsoft dodaje ranjive module pokretanja na listu opozvanih DBX-a za bezbedno pokretanje (održava se u sistemu firmvera zasnovanog na UEFI-u) kako bi poništio ranjive module. Kada se na uređaju instalira ažurirana lista opoziva DBX-a, Windows proverava da li se sistem nalazi u stanju u kom se DBX ispravka može uspešno primeniti na firmver i prijaviće greške evidencije događaja ako se otkrije problem.
Više informacija
Kada se na uređaju otkrije neki od ovih ranjivih modula, kreira se stavka evidencije događaja koja upozorava o situaciji i uključuje ime otkrivenog modula. Stavka evidencije događaja sadrži detalje koji podsećaju na sledeće:
Evidencija događaja |
Sistem |
Izvor događaja |
TPM-WMI |
ID događaja |
<broj ID-a događaja> |
Nivo |
Greška |
Tekst poruke o događaju |
<poruke> |
ID-ovi događaja
Ovaj događaj se evidentira kada se BitLocker na sistemskoj disk jedinici konfiguriše na takav način da bi primena liste bezbednog pokretanja DBX-a na firmver dovela do toga da BitLocker ode u režim oporavka. Rešenje je da privremeno obustavite BitLocker za 2 ciklusa ponovnog pokretanja kako bi se omogućilo instaliranje ispravke.
Preduzimanje radnje
Da biste rešili ovaj problem, pokrenite sledeću komandu iz komandne linije administratora da biste obustavili BitLocker za 2 ciklusa ponovnog pokretanja:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Zatim ponovo pokrenite uređaj dva puta da biste nastavili BitLocker zaštitu.
Da biste se uverili da je BitLocker zaštita nastavljena, pokrenite sledeću komandu nakon dva ponovnog pokretanja:
-
Manage-bde –Protectors –enable %systemdrive%
Informacije o evidenciji događaja
ID događaja 1032 će biti evidentiran kada bi konfiguracija funkcije BitLocker na sistemskoj disk jedinici dovela do toga da sistem ode u BitLocker oporavak ako se primeni ispravka bezbednog pokretanja.
Evidencija događaja |
Sistem |
Izvor događaja |
TPM-WMI |
ID događaja |
1032 |
Nivo |
Greška |
Tekst poruke o događaju |
Ažuriranje bezbednog pokretanja nije primenjeno zbog poznate nekompatibilnosti sa trenutnom BitLocker konfiguracijom. |
Kada je na uređaju instalirana ažurirana lista opozivanih DBX datoteka, Windows proverava da li sistem zavisi od jednog od ranjivih modula za pokretanje uređaja. Ako se otkrije neki od ranjivih modula, odlaže se ažuriranje DBX liste u firmveru. Pri svakom ponovnom pokretanju sistema uređaj se ponovo pokreće kako bi se utvrdilo da li je ranjivi modul ažuriran i da li je bezbedno primeniti ažuriranu DBX listu.
Preduzimanje radnje
U većini slučajeva, prodavac ranjivog modula treba da ima ažuriranu verziju koja rešava ranjivost. Obratite se prodavcu da biste dobili ispravku.
Informacije o evidenciji događaja
ID događaja 1033 će biti evidentiran kada se na uređaju otkrije ranjivi učitavač za pokretanje koji je opozvao ova ispravka.
Evidencija događaja |
Sistem |
Izvor događaja |
TPM-WMI |
ID događaja |
1033 |
Nivo |
Greška |
Tekst poruke o događaju |
Potencijalno opozvan menadžer pokretanja je otkriven na EFI particiji. Dodatne informacije potražite u članku https://go.microsoft.com/fwlink/?linkid=2169931 |
Event Data BootMgr |
<putanju i ime ranjive datoteke> |
Ovaj događaj se evidentira kada se DBX promenljiva bezbednog pokretanja uspešno ažurira. DBX promenljiva se koristi za nepouzdane komponente bezbednog pokretanja i obično se koristi za blokiranje ranjivih ili zlonamernih komponenti bezbednog pokretanja kao što su upravljači pokretanjem i certifikati koji se koriste za potpisivanje upravljača pokretanjem.
Događaj 1034 ukazuje na to da se standardna DBX opo pozivanja primenjuju na firmver,
Informacije o evidenciji događaja
Evidencija događaja |
Sistem |
Izvor događaja |
TPM-WMI |
ID događaja |
1034 |
Nivo |
Informacije |
Tekst poruke o događaju |
Ispravka baze podataka za bezbedno pokretanje sistema je uspešno primenjena |
Ovaj događaj se evidentira kada se promenljiva baze podataka za bezbedno pokretanje uspešno ažurira. DB promenljiva se koristi za dodavanje poverenja za komponente bezbednog pokretanja i obično se koristi za pouzdane certifikate koji se koriste za potpisivanje upravljača pokretanjom.
Informacije o evidenciji događaja
Evidencija događaja |
Sistem |
Izvor događaja |
TPM-WMI |
ID događaja |
1036 |
Nivo |
Informacije |
Tekst poruke o događaju |
Ažuriranje baze podataka za bezbedno pokretanje sistema je uspešno primenjeno |
Ovaj događaj se evidentira kada se certifikat Microsoft Windows Production PCA 2011 doda u bazu podataka sa potpisima zabranjenim za bezbedno pokretanje sistema UEFI (DBX). Kada se to dogodi, sve aplikacije za pokretanje potpisane ovim certifikatom više neće biti pouzdane prilikom pokretanja uređaja. To obuhvata sve aplikacije za pokretanje koje se koriste uz medijum za oporavak sistema, aplikacije za PXE pokretanje i sve druge medije koji koriste aplikaciju za pokretanje koju je potpisao ovaj certifikat.
Informacije o evidenciji grešaka
Evidencija događaja |
Sistem |
Izvor događaja |
TPM-WMI |
ID događaja |
1037 |
Nivo |
Informacije |
Tekst poruke o grešci |
Ispravka secure Boot Dbx update to revoke Microsoft Windows Production PCA 2011 is successfully. |
Kada se na firmver primeni ažurirana lista opo pozivanja DBX-a, firmver može da vrati grešku. Kada dođe do greške, događaj se evidentira i Windows će pokušati da primeni DBX listu na firmver pri ponovnom pokretanju sistema.
Preduzimanje radnje
Obratite se proizvođaču uređaja da biste utvrdili da li je dostupna ispravka firmvera.
Informacije o evidenciji događaja
ID događaja 1795 će biti evidentiran kada firmver na uređaju vrati grešku. Stavka evidencije događaja sadržaće kôd greške koji je vraćen iz firmvera.
Evidencija događaja |
Sistem |
Izvor događaja |
TPM-WMI |
ID događaja |
1795 |
Nivo |
Greška |
Tekst poruke o događaju |
Sistemski firmver je vratio grešku <kod greške firmvera> prilikom pokušaja ažuriranja promenljive bezbednog pokretanja. Dodatne informacije potražite u članku https://go.microsoft.com/fwlink/?linkid=2169931 |
Kada se na uređaj primeni ažurirana lista opo pozivanja DBX-a i dođe do greške koja nije pokrivena gorenavedenim događajima, događaj se evidentira i Windows će pokušati da primeni DBX listu na firmver pri sledećem ponovnom pokretanju sistema.
Informacije o evidenciji događaja
ID događaja 1796 se javlja kada se naiđe na neočekivanu grešku. Stavka evidencije događaja sadržaće kôd greške za neočekivanu grešku.
Evidencija događaja |
Sistem |
Izvor događaja |
TPM-WMI |
ID događaja |
1796 |
Nivo |
Greška |
Tekst poruke o događaju |
Ažuriranje bezbednog pokretanja nije uspelo da ažurira promenljivu bezbednog pokretanja pomoću< greške>. Dodatne informacije potražite u članku https://go.microsoft.com/fwlink/?linkid=2169931 |
Ovaj događaj se evidentira tokom pokušaja dodavanja certifikata Microsoft Windows produkcijskog RAČUNARA 2011 u bazu podataka sa potpisima zabranjenim za bezbedno pokretanje UEFI -a (DBX). Pre nego što dodate ovaj certifikat u DBX, izvrši se provera da bi se obezbedilo da certifikat Windows UEFI CA 2023 bude dodat u UEFI bazu podataka potpisa za bezbedno pokretanje (DB). Ako Windows UEFI CA 2023 nije dodat u DB, Windows namerno neće uspeti u DBX ažuriranju. Ovo se radi da bi se osiguralo da uređaj ima poverenja u najmanje jedan od ova dva certifikata, što osigurava da uređaj ima poverenja u aplikacije za pokretanje koje je potpisala korporacija Microsoft. Prilikom dodavanja Microsoft Windows proizvodnog računara 2011 u DBX, izvršene su dve provere da bi se osiguralo da uređaj nastavi uspešno da se pokreće: 1) uverite se da je Windows UEFI CA 2023 dodat u DB, 2) Uverite se da podrazumevanu aplikaciju za pokretanje nije potpisao certifikat Microsoft Windows Production PCA 2011.
Informacije o evidenciji događaja
Evidencija događaja |
Sistem |
Izvor događaja |
TPM-WMI |
ID događaja |
1797 |
Nivo |
Greška |
Tekst poruke o grešci |
Ispravka secure Boot Dbx nije uspela da opozove Microsoft Windows Production PCA 2011 zato što Windows UEFI CA 2023 certifikat nije prisutan u DB-u. |
Ovaj događaj se evidentira tokom pokušaja dodavanja certifikata Microsoft Windows produkcijskog RAČUNARA 2011 u bazu podataka sa potpisima zabranjenim za bezbedno pokretanje UEFI -a (DBX). Pre nego što dodate ovaj certifikat u DBX, izvrši se provera da bi se osiguralo da certifikat potpisa Microsoft Windows Produkcijske PCA 2011 aplikacije za pokretanje nije potpisao podrazumevanu aplikaciju za pokretanje. Ako je podrazumevanu aplikaciju za pokretanje potpisao Microsoft Windows Production PCA 2011 certifikat potpisa, Windows namerno neće uspeti u ažuriranju DBX-a. Prilikom dodavanja Microsoft Windows proizvodnog računara 2011 u DBX, izvršene su dve provere da bi se osiguralo da uređaj nastavi uspešno da se pokreće: 1) uverite se da je Windows UEFI CA 2023 dodat u DB, 2) Uverite se da podrazumevanu aplikaciju za pokretanje nije potpisao certifikat Microsoft Windows Production PCA 2011.
Informacije o evidenciji događaja
Evidencija događaja |
Sistem |
Izvor događaja |
TPM-WMI |
ID događaja |
1798 |
Nivo |
Greška |
Tekst poruke o grešci |
Ispravka secure Boot Dbx nije uspela da opozove Microsoft Windows Production PCA 2011 jer upravljač pokretanjem nije potpisan certifikatom Windows UEFI CA 2023 |
Ovaj događaj se evidentira kada se upravljač pokretanja primeni na sistem koji je potpisao Windows UEFI CA 2023 certifikat
Informacije o evidenciji događaja
Evidencija događaja |
Sistem |
Izvor događaja |
TPM-WMI |
ID događaja |
1799 |
Nivo |
Informacije |
Tekst poruke o grešci |
Boot Manager signed with Windows UEFI CA 2023 was installed successfully |