เหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับบูตแบบปลอดภัย

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	> หมายเลขรหัสเหตุการณ์ <
ระดับ	ข้อผิดพลาด
ข้อความข้อความเหตุการณ์	> ข้อความ <

เหตุการณ์นี้ถูกบันทึกเมื่อ BitLocker บนไดรฟ์ระบบได้รับการกําหนดค่าในลักษณะที่นํารายการ Secure Boot DBX ไปใช้กับเฟิร์มแวร์จะทําให้ BitLocker เข้าสู่โหมดการกู้คืน ความละเอียดคือการหยุด BitLocker ชั่วคราวสําหรับรอบการเริ่มระบบใหม่ 2 รอบเพื่อให้สามารถติดตั้งการอัปเดตได้

ดําเนินการ

เมื่อต้องการแก้ไขปัญหานี้ ให้เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์คําสั่งของผู้ดูแลระบบเพื่อหยุด BitLocker ชั่วคราวสําหรับรอบการเริ่มระบบใหม่ 2 รอบ:

• Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2

จากนั้นรีสตาร์ตอุปกรณ์สองครั้งเพื่อดําเนินการป้องกัน BitLocker ต่อ

เพื่อให้แน่ใจว่าการป้องกัน BitLocker ดําเนินการต่อ ให้เรียกใช้คําสั่งต่อไปนี้หลังจากเริ่มระบบใหม่สองครั้ง:

• Manage-bde –Protectors –enable %systemdrive%

ข้อมูลบันทึกเหตุการณ์

รหัสเหตุการณ์ 1032 จะถูกบันทึกเมื่อการกําหนดค่าของ BitLocker บนไดรฟ์ระบบจะทําให้ระบบเข้าสู่การกู้คืน BitLocker หากมีการนําการอัปเดตการบูตแบบปลอดภัยไปใช้

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1032
ระดับ	ข้อผิดพลาด
ข้อความข้อความเหตุการณ์	การปรับปรุงการบูตแบบปลอดภัยไม่ถูกนําไปใช้เนื่องจากไม่เข้ากันที่ทราบกับการกําหนดค่า BitLocker ปัจจุบัน

เมื่อติดตั้งรายการเพิกถอน DBX ที่อัปเดตบนอุปกรณ์ Windows จะตรวจสอบว่าระบบขึ้นอยู่กับโมดูลที่มีช่องโหว่ในการเริ่มอุปกรณ์หรือไม่ หากตรวจพบโมดูลที่มีช่องโหว่รายการใดโมดูลหนึ่ง การอัปเดตในรายการ DBX ในเฟิร์มแวร์จะถูกเลื่อนออกไป ในการเริ่มระบบใหม่แต่ละครั้ง อุปกรณ์จะถูกกระจายอีกครั้งเพื่อตรวจสอบว่าโมดูลที่มีช่องโหว่ได้รับการอัปเดตและหากปลอดภัยที่จะใช้รายการ DBX ที่อัปเดตแล้ว

ดําเนินการ

ในกรณีส่วนใหญ่ ผู้จําหน่ายโมดูลที่มีช่องโหว่ควรมีรุ่นที่อัปเดตที่จัดการช่องโหว่ โปรดติดต่อผู้จัดจําหน่ายของคุณเพื่อรับการอัปเดต

ข้อมูลบันทึกเหตุการณ์

รหัสเหตุการณ์ 1033 จะถูกบันทึกเมื่อตรวจพบตัวโหลดการบูตที่มีช่องโหว่ซึ่งถูกเพิกถอนโดยการอัปเดตนี้บนอุปกรณ์ของคุณ

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1033
ระดับ	ข้อผิดพลาด
ข้อความข้อความเหตุการณ์	ตรวจพบตัวจัดการการบูตที่ถูกเพิกถอนในพาร์ติชัน EFI สําหรับข้อมูลเพิ่มเติม โปรดดู https://go.microsoft.com/fwlink/?linkid=2169931
Event Data BootMgr	เส้นทาง <และชื่อของ> แฟ้มที่มีช่องโหว่

บันทึกเหตุการณ์นี้เมื่อตัวแปร DBX การบูตแบบปลอดภัยได้รับการอัปเดตเรียบร้อยแล้ว ตัวแปร DBX ใช้เพื่อยกเลิกการประกันคอมโพเนนต์การบูตแบบปลอดภัย และโดยทั่วไปจะใช้เพื่อบล็อกคอมโพเนนต์การบูตแบบปลอดภัยที่มีความเสี่ยงหรือเป็นอันตราย เช่น ตัวจัดการการเริ่มต้นระบบและใบรับรองที่ใช้ในการลงชื่อในตัวจัดการการบูต

เหตุการณ์ 1034 ระบุถึงการเพิกถอน DBX มาตรฐานถูกนําไปใช้กับเฟิร์มแวร์

ข้อมูลบันทึกเหตุการณ์

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1034
ระดับ	ข้อมูล
ข้อความข้อความเหตุการณ์	นําการอัปเดต Dbx สําหรับบูตแบบปลอดภัยไปใช้เรียบร้อยแล้ว

มีการบันทึกเหตุการณ์นี้เมื่อตัวแปร DB การบูตแบบปลอดภัยได้รับการอัปเดตเรียบร้อยแล้ว ตัวแปร DB ถูกใช้เพื่อเพิ่มความเชื่อถือสําหรับคอมโพเนนต์การบูตแบบปลอดภัย และโดยทั่วไปจะใช้เพื่อเชื่อถือใบรับรองที่ใช้ในการเซ็นชื่อตัวจัดการการเริ่มต้นระบบ

ข้อมูลบันทึกเหตุการณ์

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1036
ระดับ	ข้อมูล
ข้อความข้อความเหตุการณ์	นําการอัปเดต Db การบูตแบบปลอดภัยไปใช้เรียบร้อยแล้ว

เหตุการณ์นี้จะได้รับการบันทึกเมื่อเพิ่มใบรับรอง Microsoft Windows Production PCA 2011 ลงใน UEFI Secure Boot Forbidden Signatures Database (DBX) เมื่อเกิดกรณีนี้ แอปพลิเคชันการเริ่มต้นระบบใดๆ ที่เซ็นชื่อด้วยใบรับรองนี้จะไม่เชื่อถือได้อีกต่อไปเมื่อเริ่มต้นอุปกรณ์ ซึ่งรวมถึงแอปพลิเคชันการบูตใดๆ ที่ใช้กับสื่อการกู้คืนระบบ แอปพลิเคชันการบูตแบบ PXE และสื่ออื่นๆ ที่ใช้แอปพลิเคชันการบูตที่เซ็นชื่อโดยใบรับรองนี้

ข้อมูลบันทึกข้อผิดพลาด

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1037
ระดับ	ข้อมูล
ข้อความแสดงข้อผิดพลาด	การอัปเดต Dbx การบูตแบบปลอดภัยเพื่อเพิกถอน Microsoft Windows Production PCA 2011 ถูกนําไปใช้เรียบร้อยแล้ว

เหตุการณ์นี้ถูกบันทึกเมื่อตัวแปร Secure Boot KEK ได้รับการอัปเดตสําเร็จด้วยใบรับรอง Microsoft Corporation KEK CA 2023 ตัวแปร KEK ถูกใช้เพื่อเพิ่มความน่าเชื่อถือสําหรับการอัปเดต Secure Boot ให้กับตัวแปร DB และ DBX การเพิ่มใบรับรองใหม่นี้ลงใน KEK เป็นสิ่งจําเป็นเพื่อให้อุปกรณ์มีความปลอดภัยหลังจากการหมดอายุของใบรับรอง Microsoft Corporation KEK CA 2011 ที่มีอยู่ที่จะหมดอายุในปี 2026

ข้อมูลบันทึกข้อผิดพลาด

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1043
ระดับ	ข้อมูล
ข้อความข้อความเหตุการณ์	นําการอัปเดต Secure Boot KEK ไปใช้เรียบร้อยแล้ว

บันทึกเหตุการณ์นี้เมื่อเพิ่มใบรับรอง Microsoft Option ROM CA 2023 ให้กับตัวแปร DB ตัวแปร DB ถูกใช้เพื่อเพิ่มความเชื่อถือสําหรับคอมโพเนนต์การบูตแบบปลอดภัย และโดยทั่วไปจะใช้เพื่อเชื่อถือใบรับรองที่ใช้ในการเซ็นชื่อตัวจัดการการเริ่มต้นระบบ การเพิ่มใบรับรอง Option ROM ใหม่ลงใน DB เป็นสิ่งจําเป็นเพื่อให้แน่ใจว่าการสนับสนุนจะหมดอายุล่วงหน้าของ Microsoft UEFI CA 2011 ในปี 2026

ข้อมูลบันทึกข้อผิดพลาด

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1044
ระดับ	ข้อมูล
ข้อความข้อความเหตุการณ์	การอัปเดต DB การบูตแบบปลอดภัยเพื่อติดตั้งใบรับรอง MICROSOFT Option ROM UEFI CA 2023 ที่นําไปใช้สําเร็จ

เหตุการณ์นี้ถูกบันทึกเมื่อเพิ่มใบรับรอง Microsoft UEFI CA 2023 ลงในตัวแปร DB ตัวแปร DB ถูกใช้เพื่อเพิ่มความเชื่อถือสําหรับคอมโพเนนต์การบูตแบบปลอดภัย และโดยทั่วไปจะใช้เพื่อเชื่อถือใบรับรองที่ใช้ในการเซ็นชื่อตัวจัดการการเริ่มต้นระบบ การเพิ่มใบรับรอง Option ROM ใหม่ลงใน DB เป็นสิ่งจําเป็นเพื่อให้แน่ใจว่าการสนับสนุนจะหมดอายุล่วงหน้าของ Microsoft UEFI CA 2011 ในปี 2026

ข้อมูลบันทึกข้อผิดพลาด

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1045
ระดับ	ข้อมูล
ข้อความข้อความเหตุการณ์	การอัปเดต DB การบูตแบบปลอดภัยเพื่อติดตั้งใบรับรอง Microsoft UEFI CA 2023 ที่นําไปใช้สําเร็จ

เมื่อฐานข้อมูลลายเซ็นการบูตแบบปลอดภัย (DB) ฐานข้อมูลลายเซ็น (DBX) ที่ถูกเพิกถอน หรือการอัปเดต Key Exchange Key (KEK) ถูกนําไปใช้กับเฟิร์มแวร์ เฟิร์มแวร์อาจส่งกลับข้อผิดพลาด เมื่อเกิดข้อผิดพลาด มีการบันทึกเหตุการณ์ และ Windows จะพยายามนําการอัปเดตไปใช้กับเฟิร์มแวร์ในการเริ่มระบบใหม่ครั้งถัดไป

ดําเนินการ

ติดต่อผู้ผลิตอุปกรณ์ของคุณเพื่อตรวจสอบว่ามีการอัปเดตเฟิร์มแวร์พร้อมใช้งานหรือไม่

ข้อมูลบันทึกเหตุการณ์

รหัสเหตุการณ์ 1795 จะถูกบันทึกเมื่อเฟิร์มแวร์ในอุปกรณ์ส่งคืนข้อผิดพลาด รายการบันทึกเหตุการณ์จะมีรหัสข้อผิดพลาดที่ส่งกลับจากเฟิร์มแวร์

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1795
ระดับ	ข้อผิดพลาด
ข้อความข้อความเหตุการณ์	เฟิร์มแวร์ระบบส่งกลับข้อผิดพลาด <รหัสข้อผิดพลาดของเฟิร์มแวร์> เมื่อพยายามอัปเดตตัวแปร Secure Boot สําหรับข้อมูลเพิ่มเติม โปรดดู https://go.microsoft.com/fwlink/?linkid=2169931

เมื่อรายการการเพิกถอน DBX ที่อัปเดตถูกนําไปใช้กับอุปกรณ์ และเกิดข้อผิดพลาดที่ไม่ครอบคลุมโดยเหตุการณ์ข้างต้น เหตุการณ์จะถูกบันทึก และ Windows จะพยายามนํารายการ DBX ไปใช้กับเฟิร์มแวร์ในการเริ่มระบบใหม่ครั้งถัดไป

ข้อมูลบันทึกเหตุการณ์

รหัสเหตุการณ์ 1796 เกิดขึ้นเมื่อพบข้อผิดพลาดที่ไม่คาดคิด รายการบันทึกเหตุการณ์จะมีรหัสข้อผิดพลาดสําหรับข้อผิดพลาดที่ไม่คาดคิด

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1796
ระดับ	ข้อผิดพลาด
ข้อความข้อความเหตุการณ์	การอัปเดต Secure Boot ไม่สามารถอัปเดตตัวแปร Secure Boot โดยมีข้อผิดพลาด <รหัสข้อผิดพลาด> สําหรับข้อมูลเพิ่มเติม โปรดดู https://go.microsoft.com/fwlink/?linkid=2169931

บันทึกเหตุการณ์นี้ระหว่างความพยายามที่จะเพิ่มใบรับรอง Microsoft Windows Production PCA 2011 ลงใน UEFI Secure Boot Forbidden Signatures Database (DBX)

ก่อนที่จะเพิ่มใบรับรองนี้ลงใน DBX จะมีการตรวจสอบเพื่อให้แน่ใจว่าได้เพิ่มใบรับรอง Windows UEFI CA 2023 ลงในฐานข้อมูลลายเซ็นการบูตแบบปลอดภัย UEFI (DB) แล้ว หากไม่ได้เพิ่ม Windows UEFI CA 2023 ลงใน DB แล้ว Windows จะล้มเหลวในการอัปเดต DBX โดยเจตนา การดําเนินการนี้ทําเพื่อให้แน่ใจว่าอุปกรณ์เชื่อถือใบรับรองอย่างน้อยหนึ่งในสองใบรับรองเหล่านี้ ซึ่งทําให้มั่นใจว่าอุปกรณ์จะเชื่อถือแอปพลิเคชันการเริ่มต้นระบบที่เซ็นชื่อโดย Microsoft

เมื่อเพิ่ม Microsoft Windows Production PCA 2011 ไปยัง DBX การตรวจสอบสองครั้งจะทําเพื่อให้แน่ใจว่าอุปกรณ์ยังคงเริ่มต้นระบบได้สําเร็จ: 1) ตรวจสอบให้แน่ใจว่าได้เพิ่ม Windows UEFI CA 2023 ลงใน DB, 2) ตรวจสอบให้แน่ใจว่าแอปพลิเคชันการบูตเริ่มต้นไม่ได้ลงนามโดยใบรับรอง Microsoft Windows Production PCA 2011

ข้อมูลบันทึกเหตุการณ์

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1797
ระดับ	ข้อผิดพลาด
ข้อความแสดงข้อผิดพลาด	การอัปเดต Dbx การบูตแบบปลอดภัยไม่สามารถยกเลิก Microsoft Windows Production PCA 2011 เนื่องจากใบรับรอง Windows UEFI CA 2023 ไม่มีอยู่ใน DB

บันทึกเหตุการณ์นี้ระหว่างความพยายามที่จะเพิ่มใบรับรอง Microsoft Windows Production PCA 2011 ลงใน UEFI Secure Boot Forbidden Signatures Database (DBX)

ก่อนที่จะเพิ่มใบรับรองนี้ลงใน DBX จะมีการตรวจสอบเพื่อให้แน่ใจว่าแอปพลิเคชันการเริ่มต้นระบบเริ่มต้นไม่ได้ลงชื่อด้วยใบรับรองการลงชื่อใน Microsoft Windows Production PCA 2011 หากแอปพลิเคชันการเริ่มต้นระบบเริ่มต้นได้รับการเซ็นชื่อโดยใบรับรองการรับรอง Microsoft Windows Production PCA 2011 Windows จะล้มเหลวโดยเจตนาในการอัปเดต DBX 

เมื่อเพิ่ม Microsoft Windows Production PCA 2011 ไปยัง DBX การตรวจสอบสองครั้งจะทําเพื่อให้แน่ใจว่าอุปกรณ์ยังคงเริ่มต้นระบบได้สําเร็จ: 1) ตรวจสอบให้แน่ใจว่าได้เพิ่ม Windows UEFI CA 2023 ลงใน DB, 2) ตรวจสอบให้แน่ใจว่าแอปพลิเคชันการบูตเริ่มต้นไม่ได้ลงนามโดยใบรับรอง Microsoft Windows Production PCA 2011

ข้อมูลบันทึกเหตุการณ์

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1798
ระดับ	ข้อผิดพลาด
ข้อความแสดงข้อผิดพลาด	การอัปเดต Dbx การบูตแบบปลอดภัยไม่สามารถยกเลิก Microsoft Windows Production PCA 2011 เนื่องจากตัวจัดการการเริ่มต้นระบบไม่ได้ลงชื่อด้วยใบรับรอง Windows UEFI CA 2023

เหตุการณ์นี้ถูกบันทึกเมื่อตัวจัดการการเริ่มต้นระบบถูกนําไปใช้กับระบบที่มีลายเซ็นด้วยใบรับรอง Windows UEFI CA 2023

ข้อมูลบันทึกเหตุการณ์

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1799
ระดับ	ข้อมูล
ข้อความแสดงข้อผิดพลาด	ตัวจัดการการเริ่มต้นระบบที่เซ็นชื่อด้วย Windows UEFI CA 2023 ได้รับการติดตั้งเรียบร้อยแล้ว

เหตุการณ์นี้เป็นเหตุการณ์ข้อผิดพลาดที่ระบุว่าไม่มีการนําใบรับรองที่อัปเดตแล้วไปใช้กับเฟิร์มแวร์ของอุปกรณ์ เหตุการณ์นี้จะให้รายละเอียดบางอย่างเกี่ยวกับอุปกรณ์ รวมถึงแอตทริบิวต์ของอุปกรณ์และรหัสบักเก็ตอุปกรณ์ ซึ่งจะช่วยในความสัมพันธ์ระหว่างอุปกรณ์ที่ยังคงต้องอัปเดต

หากทราบระดับความเชื่อมั่นของความสามารถของอุปกรณ์ในการยอมรับการอัปเดต ระบบจะรวมไว้ในเหตุการณ์ ค่ารวมถึง "ความเชื่อมั่นสูง", "ต้องการข้อมูลเพิ่มเติม", "ไม่ทราบ" และ "หยุดชั่วคราว" UpdateType จะเป็น 0 หรือ 22852 (0x5944) ค่า 0x5944 สอดคล้องกับ "ความเชื่อมั่นสูง"

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1801
ระดับ	ข้อผิดพลาด
ข้อความข้อความเหตุการณ์	จําเป็นต้องอัปเดต Secure Boot CA/keys รวมข้อมูลลายเซ็นของอุปกรณ์นี้ไว้ที่นี่ DeviceAttributes: FirmwareManufacturer: ชื่อ<> FirmwareVersion: <เวอร์ชัน> OEMModelNumber: <รุ่น> Machine; OEMManufacturerName: ชื่อ<> OSArchitecture: สถาปัตยกรรม<> Bucketld: 4e22d051e8c143d2875b9d16ef2241c7ec548985a21e5073126d3c1f9bf53bb2 BucketConfidenceLevel: <ระดับความเชื่อมั่น> UpdateType: <ค่าการอัปเดต>   HResult: การดําเนินการเสร็จสมบูรณ์แล้ว

นี่คือเหตุการณ์ที่ให้ข้อมูลซึ่งระบุว่าอุปกรณ์ มีใบรับรองการบูตแบบปลอดภัยที่จําเป็นต้องใช้ใหม่ที่ใช้กับเฟิร์มแวร์ของอุปกรณ์ เหตุการณ์นี้จะถูกบันทึกเมื่อใบรับรองที่จําเป็นทั้งหมดถูกนําไปใช้กับเฟิร์มแวร์ และตัวจัดการการเริ่มต้นระบบได้รับการอัปเดตเป็นตัวจัดการการเริ่มต้นระบบที่เซ็นชื่อโดยใบรับรอง "Windows UEFI CA 2023"

หากทราบระดับความเชื่อมั่นของความสามารถของอุปกรณ์ในการยอมรับการอัปเดต ระบบจะรวมไว้ในเหตุการณ์ ค่ารวมถึง "ความเชื่อมั่นสูง", "ต้องการข้อมูลเพิ่มเติม", "ไม่ทราบ" และ "หยุดชั่วคราว" UpdateType จะเป็น 0 หรือ 22852 (0x5944) ค่า 0x5944 สอดคล้องกับ "ความเชื่อมั่นสูง"

บันทึกเหตุการณ์	ระบบ
แหล่งของเหตุการณ์	TPM-WMI
ID เหตุการณ์	1808
ระดับ	ข้อมูล
ข้อความข้อความเหตุการณ์	อุปกรณ์นี้ได้อัปเดต Secure Boot CA/keys รวมข้อมูลลายเซ็นของอุปกรณ์นี้ไว้ที่นี่ DeviceAttributes: FirmwareManufacturer: ชื่อ <> FirmwareVersion: เวอร์ชัน <> OEMModelNumber:> รุ่น < เครื่องจักร; OEMManufacturerName: ชื่อ <> OSArchitecture: สถาปัตยกรรม <> Bucketld: 4e22d051e8c143d2875b9d16ef2241c7ec548985a21e5073126d3c1f9bf53bb2 BucketConfidenceLevel: <ระดับความเชื่อมั่น> UpdateType: <ค่าการอัปเดต> HResult: การดําเนินการเสร็จสมบูรณ์แล้ว