Sammanfattning
För att skydda Windows-enheter lägger Microsoft till sårbara bootloader-moduler i listan över återkallade dbx-anslutningar för säker start (underhålls i systemets UEFI-baserade inbyggda programvara) för att göra de sårbara modulerna ogiltiga. När den uppdaterade DBX-återkallelselistan installeras på en enhet kontrollerar Windows om systemet befinner sig i ett tillstånd där DBX-uppdateringen kan tillämpas på den inbyggda programvaran och rapporterar händelseloggfel om ett problem upptäcks.
Mer information
När en av dessa sårbara moduler identifieras på enheten skapas en händelseloggpost som varnar om situationen och innehåller namnet på den identifierade modulen. Händelseloggposten innehåller information som liknar följande:
Händelselogg |
System |
Händelsekälla |
TPM-WMI |
Händelse-ID |
<händelse-ID> |
Nivå |
Fel |
Meddelandetext för händelse |
<meddelandetext> |
Händelse-ID:ar
Händelsen loggas när BitLocker på systemenheten är konfigurerad på ett sådant sätt att bitLocker hamnar i återställningsläge om du använder listan Säker start DBX i den inbyggda programvaran. Lösningen är att tillfälligt pausa BitLocker i två omstartscykler för att låta uppdateringen installeras.
Vidta åtgärder
Du kan lösa problemet genom att köra följande kommando från en kommandotolk för administratör för att pausa BitLocker i två omstartscykler:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Starta sedan om enheten två gånger för att återuppta BitLocker-skyddet.
Kontrollera att BitLocker-skyddet har återupptagits genom att köra följande kommando efter att du startat om två gånger:
-
Manage-bde –Protectors –enable %systemdrive%
Händelselogginformation
Händelse-ID 1032 loggas när konfigurationen av BitLocker på systemenheten gör att systemet hamnar i BitLocker-återställning om uppdateringen för säker start tillämpas.
Händelselogg |
System |
Händelsekälla |
TPM-WMI |
Händelse-ID |
1032 |
Nivå |
Fel |
Meddelandetext för händelse |
Uppdateringen för säker start tillämpades inte på grund av en känd inkompatibilitet med den aktuella BitLocker-konfigurationen. |
När den uppdaterade DBX-återkallelselistan installeras på en enhet kontrollerar Windows om systemet är beroende av någon av de sårbara modulerna för att starta enheten. Om en av de sårbara modulerna identifieras skjuts uppdateringen till DBX-listan i den inbyggda programvaran upp. Vid varje omstart av systemet genomsöks enheten igen för att avgöra om den sårbara modulen har uppdaterats och om det är säkert att tillämpa den uppdaterade DBX-listan.
Vidta åtgärder
I de flesta fall bör leverantören av den sårbara modulen ha en uppdaterad version som åtgärdar säkerhetsproblemet. Kontakta leverantören för att få uppdateringen.
Händelselogginformation
Händelse-ID 1033 loggas när en sårbar startinläsningsenhet som har återkallats av den här uppdateringen identifieras på din enhet.
Händelselogg |
System |
Händelsekälla |
TPM-WMI |
Händelse-ID |
1 033 |
Nivå |
Fel |
Meddelandetext för händelse |
Potentiellt återkallad starthanteraren identifierades i EFI-partitionen. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2169931 |
Event Data BootMgr |
<sökväg och namn på sårbara filer> |
Händelsen loggas när DBX-variabeln Säker start uppdateras. DBX-variabeln används för att inte lita på secure boot-komponenter och används vanligtvis för att blockera sårbara eller skadliga komponenter för Säker start, till exempel starthanterare och certifikat som används för att signera starthanterare.
Händelse 1034 anger att DBX-återkallningsstandarden tillämpas på den inbyggda programvaran.
Händelselogginformation
Händelselogg |
System |
Händelsekälla |
TPM-WMI |
Händelse-ID |
1034 |
Nivå |
Information |
Meddelandetext för händelse |
Säker start Dbx-uppdatering har installerats |
Händelsen loggas när db-variabeln Säker start uppdateras. DB-variabeln används för att lägga till förtroende för säker start-komponenter och används vanligtvis för att lita på certifikat som används för att signera starthanterare.
Händelselogginformation
Händelselogg |
System |
Händelsekälla |
TPM-WMI |
Händelse-ID |
1036 |
Nivå |
Information |
Meddelandetext för händelse |
Säker start Db-uppdatering har installerats |
Händelsen loggas när Microsoft Windows Production PCA 2011-certifikatet läggs till i UEFI Secure Boot Forbidden Signatures Database (DBX). När detta inträffar kommer alla startprogram som är signerade med det här certifikatet inte längre att vara betrodda när enheten startas. Detta omfattar alla startprogram som används med systemåterställningsmedia, PXE-startprogram och andra media som använder ett startprogram som signerats av certifikatet.
Fellogginformation
Händelselogg |
System |
Händelsekälla |
TPM-WMI |
Händelse-ID |
1037 |
Nivå |
Information |
Felmeddelandetext |
Säker start Dbx-uppdatering för att återkalla Microsoft Windows Production PCA 2011 tillämpas korrekt. |
När den uppdaterade listan över ÅTERKALLADE DBX tillämpas på den inbyggda programvaran kan den inbyggda programvaran returnera ett fel. När ett fel uppstår loggas en händelse och Windows försöker tillämpa DBX-listan på den inbyggda programvaran vid nästa systemstart.
Vidta åtgärder
Kontakta enhetstillverkaren för att ta reda på om det finns en uppdatering av den inbyggda programvaran.
Händelselogginformation
Händelse-ID 1795 loggas när den inbyggda programvaran på enheten returnerar ett fel. Händelseloggposten innehåller felkoden som returneras från den inbyggda programvaran.
Händelselogg |
System |
Händelsekälla |
TPM-WMI |
Händelse-ID |
1795 |
Nivå |
Fel |
Meddelandetext för händelse |
Systemets inbyggda programvara returnerade ett fel <felkod för inbyggd programvara> när en variabel för säker start skulle uppdateras. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2169931 |
När den uppdaterade DBX-återkallelselistan tillämpas på en enhet och ett fel uppstår som inte täcks av händelserna ovan loggas en händelse och Windows försöker tillämpa DBX-listan på den inbyggda programvaran vid nästa systemomstart.
Händelselogginformation
Händelse-ID 1796 inträffar när ett oväntat fel påträffas. Händelseloggposten innehåller felkoden för det oväntade felet.
Händelselogg |
System |
Händelsekälla |
TPM-WMI |
Händelse-ID |
1796 |
Nivå |
Fel |
Meddelandetext för händelse |
Det gick inte att uppdatera variabeln Säker start med fel <felkod>. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2169931 |
Händelsen loggas under ett försök att lägga till Microsoft Windows Production PCA 2011-certifikatet i UEFI Secure Boot Forbidden Signatures Database (DBX). Innan du lägger till det här certifikatet i DBX görs en kontroll för att säkerställa att Windows UEFI CA 2023-certifikatet har lagts till i UEFI Secure Boot Signature Database (DB). Om Windows UEFI CA 2023 inte har lagts till i DB kommer Windows avsiktligt att misslyckas med DBX-uppdateringen. Detta görs för att säkerställa att enheten litar på minst ett av dessa två certifikat, vilket säkerställer att enheten litar på startprogram som signerats av Microsoft. När du lägger till Microsoft Windows Production PCA 2011 i DBX görs två kontroller för att säkerställa att enheten fortsätter att starta korrekt: 1) se till att Windows UEFI CA 2023 har lagts till i DB, 2) Kontrollera att standardstartprogrammet inte är signerat av Microsoft Windows Production PCA 2011-certifikatet.
Händelselogginformation
Händelselogg |
System |
Händelsekälla |
TPM-WMI |
Händelse-ID |
1797 |
Nivå |
Fel |
Felmeddelandetext |
Det gick inte att återkalla Microsoft Windows Production PCA 2011 eftersom Windows UEFI CA 2023-certifikatet inte finns i DB. |
Händelsen loggas under ett försök att lägga till Microsoft Windows Production PCA 2011-certifikatet i UEFI Secure Boot Forbidden Signatures Database (DBX). Innan du lägger till certifikatet i DBX görs en kontroll för att säkerställa att standardstartprogrammet inte är signerat av signeringscertifikatet Microsoft Windows Production PCA 2011. Om standardstartprogrammet är signerat av Microsoft Windows Production PCA 2011-signeringscertifikatet kommer Windows avsiktligt att misslyckas med DBX-uppdateringen. När du lägger till Microsoft Windows Production PCA 2011 i DBX görs två kontroller för att säkerställa att enheten fortsätter att starta korrekt: 1) se till att Windows UEFI CA 2023 har lagts till i DB, 2) Kontrollera att standardstartprogrammet inte är signerat av Microsoft Windows Production PCA 2011-certifikatet.
Händelselogginformation
Händelselogg |
System |
Händelsekälla |
TPM-WMI |
Händelse-ID |
1798 |
Nivå |
Fel |
Felmeddelandetext |
Dbx-uppdateringen för säker start kunde inte återkalla Microsoft Windows Production PCA 2011 eftersom starthanteraren inte är signerad med Windows UEFI CA 2023-certifikatet |
Händelsen loggas när en starthanterare tillämpas på systemet som är signerat av Windows UEFI CA 2023-certifikatet
Händelselogginformation
Händelselogg |
System |
Händelsekälla |
TPM-WMI |
Händelse-ID |
1799 |
Nivå |
Information |
Felmeddelandetext |
Boot Manager signerad med Windows UEFI CA 2023 installerades korrekt |