บทสรุป
เพื่อช่วยรักษาความปลอดภัยของอุปกรณ์ Windows Microsoft เพิ่มโมดูล Bootloader ที่มีความเสี่ยงลงในรายการการเพิกถอน DBX การบูตแบบปลอดภัย (เก็บรักษาไว้ในเฟิร์มแวร์ที่ใช้ UEFI ของระบบ) เพื่อทําให้โมดูลที่มีช่องโหว่ใช้งานไม่ถูกต้อง เมื่อติดตั้งรายการการเพิกถอน DBX ที่อัปเดตแล้วบนอุปกรณ์ Windows จะตรวจสอบว่าระบบอยู่ในสถานะที่การอัปเดต DBX สามารถนําไปใช้กับเฟิร์มแวร์ได้สําเร็จและจะรายงานข้อผิดพลาดบันทึกเหตุการณ์หากตรวจพบปัญหาหรือไม่
ข้อมูลเพิ่มเติม
เมื่อตรวจพบโมดูลที่มีช่องโหว่เหล่านี้บนอุปกรณ์ รายการบันทึกเหตุการณ์จะถูกสร้างขึ้นเพื่อเตือนเกี่ยวกับสถานการณ์และรวมชื่อของโมดูลที่ตรวจพบ รายการบันทึกเหตุการณ์มีรายละเอียดที่มีลักษณะดังต่อไปนี้:
|
บันทึกเหตุการณ์ |
ระบบ |
|
แหล่งของเหตุการณ์ |
TPM-WMI |
|
ID เหตุการณ์ |
> หมายเลขรหัสเหตุการณ์ < |
|
ระดับ |
ข้อผิดพลาด |
|
ข้อความข้อความเหตุการณ์ |
> ข้อความ < |
รหัสเหตุการณ์
เหตุการณ์นี้ถูกบันทึกเมื่อ BitLocker บนไดรฟ์ระบบได้รับการกําหนดค่าในลักษณะที่นํารายการ Secure Boot DBX ไปใช้กับเฟิร์มแวร์จะทําให้ BitLocker เข้าสู่โหมดการกู้คืน ความละเอียดคือการหยุด BitLocker ชั่วคราวสําหรับรอบการเริ่มระบบใหม่ 2 รอบเพื่อให้สามารถติดตั้งการอัปเดตได้
ดำเนิน
เมื่อต้องการแก้ไขปัญหานี้ ให้เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์คําสั่งของผู้ดูแลระบบเพื่อหยุด BitLocker ชั่วคราวสําหรับรอบการเริ่มระบบใหม่ 2 รอบ:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
จากนั้นรีสตาร์ตอุปกรณ์สองครั้งเพื่อดําเนินการป้องกัน BitLocker ต่อ
เพื่อให้แน่ใจว่าการป้องกัน BitLocker ดําเนินการต่อ ให้เรียกใช้คําสั่งต่อไปนี้หลังจากเริ่มระบบใหม่สองครั้ง:
-
Manage-bde –Protectors –enable %systemdrive%
ข้อมูลบันทึกเหตุการณ์
รหัสเหตุการณ์ 1032 จะถูกบันทึกเมื่อการกําหนดค่าของ BitLocker บนไดรฟ์ระบบจะทําให้ระบบเข้าสู่การกู้คืน BitLocker หากมีการนําการอัปเดตการบูตแบบปลอดภัยไปใช้
|
บันทึกเหตุการณ์ |
ระบบ |
|
แหล่งของเหตุการณ์ |
TPM-WMI |
|
ID เหตุการณ์ |
1032 |
|
ระดับ |
ข้อผิดพลาด |
|
ข้อความข้อความเหตุการณ์ |
การปรับปรุงการบูตแบบปลอดภัยไม่ถูกนําไปใช้เนื่องจากไม่เข้ากันที่ทราบกับการกําหนดค่า BitLocker ปัจจุบัน |
เมื่อติดตั้งรายการเพิกถอน DBX ที่อัปเดตบนอุปกรณ์ Windows จะตรวจสอบว่าระบบขึ้นอยู่กับโมดูลที่มีช่องโหว่ในการเริ่มอุปกรณ์หรือไม่ หากตรวจพบโมดูลที่มีช่องโหว่รายการใดโมดูลหนึ่ง การอัปเดตในรายการ DBX ในเฟิร์มแวร์จะถูกเลื่อนออกไป ในการเริ่มระบบใหม่แต่ละครั้ง อุปกรณ์จะถูกกระจายอีกครั้งเพื่อตรวจสอบว่าโมดูลที่มีช่องโหว่ได้รับการอัปเดตและหากปลอดภัยที่จะใช้รายการ DBX ที่อัปเดตแล้ว
ดำเนิน
ในกรณีส่วนใหญ่ ผู้จําหน่ายโมดูลที่มีช่องโหว่ควรมีรุ่นที่อัปเดตที่จัดการช่องโหว่ โปรดติดต่อผู้จัดจําหน่ายของคุณเพื่อรับการอัปเดต
ข้อมูลบันทึกเหตุการณ์
รหัสเหตุการณ์ 1033 จะถูกบันทึกเมื่อตรวจพบตัวโหลดการบูตที่มีช่องโหว่ซึ่งถูกเพิกถอนโดยการอัปเดตนี้บนอุปกรณ์ของคุณ
|
บันทึกเหตุการณ์ |
ระบบ |
|
แหล่งของเหตุการณ์ |
TPM-WMI |
|
ID เหตุการณ์ |
1033 |
|
ระดับ |
ข้อผิดพลาด |
|
ข้อความข้อความเหตุการณ์ |
ตรวจพบตัวจัดการการบูตที่ถูกเพิกถอนในพาร์ติชัน EFI สําหรับข้อมูลเพิ่มเติม โปรดดู https://go.microsoft.com/fwlink/?linkid=2169931 |
|
Event Data BootMgr |
เส้นทาง <และชื่อของ> แฟ้มที่มีช่องโหว่ |
บันทึกเหตุการณ์นี้เมื่อตัวแปร DBX การบูตแบบปลอดภัยได้รับการอัปเดตเรียบร้อยแล้ว ตัวแปร DBX ใช้เพื่อยกเลิกการประกันคอมโพเนนต์การบูตแบบปลอดภัย และโดยทั่วไปจะใช้เพื่อบล็อกคอมโพเนนต์การบูตแบบปลอดภัยที่มีความเสี่ยงหรือเป็นอันตราย เช่น ตัวจัดการการเริ่มต้นระบบและใบรับรองที่ใช้ในการลงชื่อในตัวจัดการการบูต
เหตุการณ์ 1034 ระบุถึงการเพิกถอน DBX มาตรฐานถูกนําไปใช้กับเฟิร์มแวร์
ข้อมูลบันทึกเหตุการณ์
|
บันทึกเหตุการณ์ |
ระบบ |
|
แหล่งของเหตุการณ์ |
TPM-WMI |
|
ID เหตุการณ์ |
1034 |
|
ระดับ |
ข้อมูล |
|
ข้อความข้อความเหตุการณ์ |
นําการอัปเดต Dbx สําหรับบูตแบบปลอดภัยไปใช้เรียบร้อยแล้ว |
มีการบันทึกเหตุการณ์นี้เมื่อตัวแปร DB การบูตแบบปลอดภัยได้รับการอัปเดตเรียบร้อยแล้ว ตัวแปร DB ถูกใช้เพื่อเพิ่มความเชื่อถือสําหรับคอมโพเนนต์การบูตแบบปลอดภัย และโดยทั่วไปจะใช้เพื่อเชื่อถือใบรับรองที่ใช้ในการเซ็นชื่อตัวจัดการการเริ่มต้นระบบ
ข้อมูลบันทึกเหตุการณ์
|
บันทึกเหตุการณ์ |
ระบบ |
|
แหล่งของเหตุการณ์ |
TPM-WMI |
|
ID เหตุการณ์ |
1036 |
|
ระดับ |
ข้อมูล |
|
ข้อความข้อความเหตุการณ์ |
นําการอัปเดต Db การบูตแบบปลอดภัยไปใช้เรียบร้อยแล้ว |
เหตุการณ์นี้จะได้รับการบันทึกเมื่อเพิ่มใบรับรอง Microsoft Windows Production PCA 2011 ลงใน UEFI Secure Boot Forbidden Signatures Database (DBX) เมื่อเกิดกรณีนี้ แอปพลิเคชันการเริ่มต้นระบบใดๆ ที่เซ็นชื่อด้วยใบรับรองนี้จะไม่เชื่อถือได้อีกต่อไปเมื่อเริ่มต้นอุปกรณ์ ซึ่งรวมถึงแอปพลิเคชันการบูตใดๆ ที่ใช้กับสื่อการกู้คืนระบบ แอปพลิเคชันการบูตแบบ PXE และสื่ออื่นๆ ที่ใช้แอปพลิเคชันการบูตที่เซ็นชื่อโดยใบรับรองนี้
ข้อมูลบันทึกข้อผิดพลาด
|
บันทึกเหตุการณ์ |
ระบบ |
|
แหล่งของเหตุการณ์ |
TPM-WMI |
|
ID เหตุการณ์ |
1037 |
|
ระดับ |
ข้อมูล |
|
ข้อความแสดงข้อผิดพลาด |
การอัปเดต Dbx การบูตแบบปลอดภัยเพื่อเพิกถอน Microsoft Windows Production PCA 2011 ถูกนําไปใช้เรียบร้อยแล้ว |
เมื่อรายการการเพิกถอน DBX ที่อัปเดตถูกนําไปใช้กับเฟิร์มแวร์ เฟิร์มแวร์อาจแสดงข้อผิดพลาด เมื่อเกิดข้อผิดพลาด มีการบันทึกเหตุการณ์ และ Windows จะพยายามนํารายการ DBX ไปใช้กับเฟิร์มแวร์ในการเริ่มระบบใหม่ครั้งถัดไป
ดำเนิน
ติดต่อผู้ผลิตอุปกรณ์ของคุณเพื่อตรวจสอบว่ามีการอัปเดตเฟิร์มแวร์พร้อมใช้งานหรือไม่
ข้อมูลบันทึกเหตุการณ์
รหัสเหตุการณ์ 1795 จะถูกบันทึกเมื่อเฟิร์มแวร์ในอุปกรณ์ส่งคืนข้อผิดพลาด รายการบันทึกเหตุการณ์จะมีรหัสข้อผิดพลาดที่ส่งกลับจากเฟิร์มแวร์
|
บันทึกเหตุการณ์ |
ระบบ |
|
แหล่งของเหตุการณ์ |
TPM-WMI |
|
ID เหตุการณ์ |
1795 |
|
ระดับ |
ข้อผิดพลาด |
|
ข้อความข้อความเหตุการณ์ |
เฟิร์มแวร์ระบบส่งกลับข้อผิดพลาด <รหัสข้อผิดพลาดของเฟิร์มแวร์> เมื่อพยายามอัปเดตตัวแปร Secure Boot สําหรับข้อมูลเพิ่มเติม โปรดดู https://go.microsoft.com/fwlink/?linkid=2169931 |
เมื่อรายการการเพิกถอน DBX ที่อัปเดตถูกนําไปใช้กับอุปกรณ์ และเกิดข้อผิดพลาดที่ไม่ครอบคลุมโดยเหตุการณ์ข้างต้น เหตุการณ์จะถูกบันทึก และ Windows จะพยายามนํารายการ DBX ไปใช้กับเฟิร์มแวร์ในการเริ่มระบบใหม่ครั้งถัดไป
ข้อมูลบันทึกเหตุการณ์
รหัสเหตุการณ์ 1796 เกิดขึ้นเมื่อพบข้อผิดพลาดที่ไม่คาดคิด รายการบันทึกเหตุการณ์จะมีรหัสข้อผิดพลาดสําหรับข้อผิดพลาดที่ไม่คาดคิด
|
บันทึกเหตุการณ์ |
ระบบ |
|
แหล่งของเหตุการณ์ |
TPM-WMI |
|
ID เหตุการณ์ |
1796 |
|
ระดับ |
ข้อผิดพลาด |
|
ข้อความข้อความเหตุการณ์ |
การอัปเดต Secure Boot ไม่สามารถอัปเดตตัวแปร Secure Boot โดยมีข้อผิดพลาด <รหัสข้อผิดพลาด> สําหรับข้อมูลเพิ่มเติม โปรดดู https://go.microsoft.com/fwlink/?linkid=2169931 |
บันทึกเหตุการณ์นี้ระหว่างความพยายามที่จะเพิ่มใบรับรอง Microsoft Windows Production PCA 2011 ลงใน UEFI Secure Boot Forbidden Signatures Database (DBX) ก่อนที่จะเพิ่มใบรับรองนี้ลงใน DBX จะมีการตรวจสอบเพื่อให้แน่ใจว่าได้เพิ่มใบรับรอง Windows UEFI CA 2023 ลงในฐานข้อมูลลายเซ็นการบูตแบบปลอดภัย UEFI (DB) แล้ว หากไม่ได้เพิ่ม Windows UEFI CA 2023 ลงใน DB แล้ว Windows จะล้มเหลวในการอัปเดต DBX โดยเจตนา การดําเนินการนี้ทําเพื่อให้แน่ใจว่าอุปกรณ์เชื่อถือใบรับรองอย่างน้อยหนึ่งในสองใบรับรองเหล่านี้ ซึ่งทําให้มั่นใจว่าอุปกรณ์จะเชื่อถือแอปพลิเคชันการเริ่มต้นระบบที่เซ็นชื่อโดย Microsoft เมื่อเพิ่ม Microsoft Windows Production PCA 2011 ไปยัง DBX การตรวจสอบสองครั้งจะทําเพื่อให้แน่ใจว่าอุปกรณ์ยังคงเริ่มต้นระบบได้สําเร็จ: 1) ตรวจสอบให้แน่ใจว่าได้เพิ่ม Windows UEFI CA 2023 ลงใน DB, 2) ตรวจสอบให้แน่ใจว่าแอปพลิเคชันการบูตเริ่มต้นไม่ได้ลงนามโดยใบรับรอง Microsoft Windows Production PCA 2011
ข้อมูลบันทึกเหตุการณ์
|
บันทึกเหตุการณ์ |
ระบบ |
|
แหล่งของเหตุการณ์ |
TPM-WMI |
|
ID เหตุการณ์ |
1797 |
|
ระดับ |
ข้อผิดพลาด |
|
ข้อความแสดงข้อผิดพลาด |
การอัปเดต Dbx การบูตแบบปลอดภัยไม่สามารถยกเลิก Microsoft Windows Production PCA 2011 เนื่องจากใบรับรอง Windows UEFI CA 2023 ไม่มีอยู่ใน DB |
บันทึกเหตุการณ์นี้ระหว่างความพยายามที่จะเพิ่มใบรับรอง Microsoft Windows Production PCA 2011 ลงใน UEFI Secure Boot Forbidden Signatures Database (DBX) ก่อนที่จะเพิ่มใบรับรองนี้ลงใน DBX จะมีการตรวจสอบเพื่อให้แน่ใจว่าแอปพลิเคชันการเริ่มต้นระบบเริ่มต้นไม่ได้ลงชื่อด้วยใบรับรองการลงชื่อใน Microsoft Windows Production PCA 2011 หากแอปพลิเคชันการเริ่มต้นระบบเริ่มต้นได้รับการเซ็นชื่อโดยใบรับรองการรับรอง Microsoft Windows Production PCA 2011 Windows จะล้มเหลวโดยเจตนาในการอัปเดต DBX เมื่อเพิ่ม Microsoft Windows Production PCA 2011 ไปยัง DBX การตรวจสอบสองครั้งจะทําเพื่อให้แน่ใจว่าอุปกรณ์ยังคงเริ่มต้นระบบได้สําเร็จ: 1) ตรวจสอบให้แน่ใจว่าได้เพิ่ม Windows UEFI CA 2023 ลงใน DB, 2) ตรวจสอบให้แน่ใจว่าแอปพลิเคชันการบูตเริ่มต้นไม่ได้ลงนามโดยใบรับรอง Microsoft Windows Production PCA 2011
ข้อมูลบันทึกเหตุการณ์
|
บันทึกเหตุการณ์ |
ระบบ |
|
แหล่งของเหตุการณ์ |
TPM-WMI |
|
ID เหตุการณ์ |
1798 |
|
ระดับ |
ข้อผิดพลาด |
|
ข้อความแสดงข้อผิดพลาด |
การอัปเดต Dbx การบูตแบบปลอดภัยไม่สามารถยกเลิก Microsoft Windows Production PCA 2011 เนื่องจากตัวจัดการการเริ่มต้นระบบไม่ได้ลงชื่อด้วยใบรับรอง Windows UEFI CA 2023 |
เหตุการณ์นี้ถูกบันทึกเมื่อตัวจัดการการเริ่มต้นระบบถูกนําไปใช้กับระบบที่มีลายเซ็นด้วยใบรับรอง Windows UEFI CA 2023
ข้อมูลบันทึกเหตุการณ์
|
บันทึกเหตุการณ์ |
ระบบ |
|
แหล่งของเหตุการณ์ |
TPM-WMI |
|
ID เหตุการณ์ |
1799 |
|
ระดับ |
ข้อมูล |
|
ข้อความแสดงข้อผิดพลาด |
ตัวจัดการการเริ่มต้นระบบที่เซ็นชื่อด้วย Windows UEFI CA 2023 ได้รับการติดตั้งเรียบร้อยแล้ว |
