Зведення
Щоб захистити пристрої Windows, корпорація Майкрософт додає вразливі модулі завантажувача до списку відкликаних файлів DBX безпечного завантаження (підтримується в мікропрограмі на базі UEFI), щоб зробити вразливі модулі недійсними. Коли оновлений список відкликаних даних DBX інстальовано на пристрої, Windows перевіряє, чи перебуває система в стані, у якому оновлення DBX можна успішно застосувати до мікропрограми, і повідомить про помилки журналу подій, якщо виявлено проблему.
Додаткові відомості
Коли один з цих вразливих модулів виявлено на пристрої, запис журналу подій створюється попередження про ситуацію та включає ім'я виявленого модуля. Запис журналу подій містить такі відомості:
|
Журнал подій |
Система |
|
Джерело події |
TPM-WMI |
|
Ідентифікатор події |
<ідентифікатор події> |
|
Рівень |
Помилка |
|
Текст повідомлення про подію |
<текст повідомлення> |
Ідентифікатори подій
Ця подія записується, коли BitLocker на системному диску налаштовано таким чином, що застосування списку Secure Boot DBX до мікропрограми призведе до переходу BitLocker в режим відновлення. Роздільна здатність полягає в тому, щоб тимчасово призупинити BitLocker для 2 циклів перезавантаження, щоб дозволити інсталяцію оновлення.
Вжити заходів
Щоб вирішити цю проблему, виконайте таку команду з командного рядка адміністратора, щоб призупинити BitLocker для 2 циклів перезавантаження:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Потім перезавантажте пристрій два рази, щоб відновити захист BitLocker.
Щоб переконатися, що захист BitLocker відновлено, виконайте таку команду після повторного запуску два рази:
-
Manage-bde –Protectors –enable %systemdrive%
Відомості журналу подій
Подія з ідентифікатором 1032 записується, коли конфігурація BitLocker на системному диску призведе до того, що система перейде в відновлення BitLocker, якщо застосовується оновлення безпечного завантаження.
|
Журнал подій |
Система |
|
Джерело події |
TPM-WMI |
|
Ідентифікатор події |
1032 |
|
Рівень |
Помилка |
|
Текст повідомлення про подію |
Оновлення безпечного завантаження не застосовано через відому несумісність із поточною конфігурацією BitLocker. |
Коли оновлений список відкликаних пристроїв DBX інстальовано на пристрої, Windows перевіряє, чи залежить система від одного з вразливих модулів для запуску пристрою. Якщо виявлено один із вразливих модулів, оновлення списку DBX у мікропрограмі відкладено. Під час кожного перезавантаження системи пристрій перевіряє, чи оновлено вразливий модуль і чи безпечно застосовувати оновлений список DBX.
Вжити заходів
У більшості випадків постачальник вразливого модуля має мати оновлену версію, яка усуває вразливість. Зверніться до постачальника, щоб отримати оновлення.
Відомості журналу подій
Подія з ідентифікатором 1033 записується, коли на вашому пристрої виявлено вразливий завантажувач, відкликаний цим оновленням.
|
Журнал подій |
Система |
|
Джерело події |
TPM-WMI |
|
Ідентифікатор події |
1058 |
|
Рівень |
Помилка |
|
Текст повідомлення про подію |
У розділі EFI виявлено потенційно відкликаний диспетчер завантаження. Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2169931 |
|
Завантаження даних події |
<шлях та ім'я вразливих> файлів |
Ця подія записується під час успішного оновлення змінної DBX безпечного завантаження. Змінна DBX використовується для ненадійних компонентів безпечного завантаження та зазвичай використовується для блокування вразливих або зловмисних компонентів безпечного завантаження, таких як диспетчери завантаження та сертифікати, які використовуються для підписів диспетчерів завантаження.
Подія 1034 вказує на те, що стандартні відкликання DBX застосовуються до мікропрограми,
Відомості журналу подій
|
Журнал подій |
Система |
|
Джерело події |
TPM-WMI |
|
Ідентифікатор події |
1034 |
|
Рівень |
Відомості |
|
Текст повідомлення про подію |
Оновлення secure Boot Dbx успішно застосовано |
Ця подія записується під час успішного оновлення змінної бази даних безпечного завантаження. Змінна DB використовується для додавання довіри до компонентів безпечного завантаження та зазвичай використовується для забезпечення довіри сертифікатам, які використовуються для підписів диспетчерів завантаження.
Відомості журналу подій
|
Журнал подій |
Система |
|
Джерело події |
TPM-WMI |
|
Ідентифікатор події |
1036 |
|
Рівень |
Відомості |
|
Текст повідомлення про подію |
Оновлення бази даних безпечного завантаження успішно застосовано |
Ця подія записується, коли сертифікат Microsoft Windows Production PCA 2011 додається до бази даних UEFI Secure Boot Forbidden Signatures Database (DBX). У такому разі будь-які програми завантаження, підписані цим сертифікатом, більше не довірятимуться під час запуску пристрою. Це стосується будь-яких програм завантаження, які використовуються з носіями відновлення системи, програмами завантаження PXE та іншими носіями, які використовують програму завантаження, підписану цим сертифікатом.
Відомості журналу помилок
|
Журнал подій |
Система |
|
Джерело події |
TPM-WMI |
|
Ідентифікатор події |
1037 |
|
Рівень |
Відомості |
|
Текст повідомлення про помилку |
Оновлення Secure Boot Dbx для відкликання PCA 2011 Microsoft Windows Production 2011 успішно застосовується. |
Коли оновлений список відкликаних DBX застосовується до мікропрограми, мікропрограма може повернути помилку. Коли стається помилка, реєструється подія, і Windows спробує застосувати список DBX до мікропрограми під час наступного перезавантаження системи.
Вжити заходів
Зверніться до виробника пристрою, щоб дізнатися, чи доступне оновлення мікропрограми.
Відомості журналу подій
Подія з ідентифікатором 1795 записується, коли мікропрограма пристрою повертає помилку. Запис журналу подій міститиме код помилки, повернутий із мікропрограми.
|
Журнал подій |
Система |
|
Джерело події |
TPM-WMI |
|
Ідентифікатор події |
1795 |
|
Рівень |
Помилка |
|
Текст повідомлення про подію |
Системна мікропрограма повернула помилку <код помилки мікропрограми> під час спроби оновити змінну безпечного завантаження. Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2169931 |
Коли оновлений список відкликаних даних DBX застосовується до пристрою та виникає помилка, на яку не поширюються описані вище події, подія записується до журналу, і Windows спробує застосувати список DBX до мікропрограми під час наступного перезавантаження системи.
Відомості журналу подій
Подія з ідентифікатором 1796 виникає, коли сталася неочікувана помилка. Запис журналу подій міститиме код помилки для неочікуваної помилки.
|
Журнал подій |
Система |
|
Джерело події |
TPM-WMI |
|
Ідентифікатор події |
1796 |
|
Рівень |
Помилка |
|
Текст повідомлення про подію |
Оновлення безпечного завантаження не оновило змінну безпечного завантаження з помилкою <кодом помилки>. Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2169931 |
Ця подія записується під час спроби додати сертифікат PCA 2011 Microsoft Windows Production до бази даних заборонених підписів UEFI Secure Boot Forbidden Signatures Database (DBX). Перед додаванням цього сертифіката до бази даних DBX перевіряється, чи сертифікат Windows UEFI CA 2023 додано до бази даних UEFI Secure Boot Signature Database (DB). Якщо Windows UEFI CA 2023 не додано до бази даних, Windows навмисно не оновлення DBX. Це робиться, щоб переконатися, що пристрій довіряє принаймні одному з цих двох сертифікатів, що гарантує, що пристрій буде довіряти завантажувальним програмам, підписаним корпорацією Майкрософт. Під час додавання PCA 2011 Microsoft Windows Production до DBX здійснюється два перевірки, щоб переконатися, що пристрій продовжує успішно завантажуватися: 1) переконайтеся, що Windows UEFI CA 2023 додано до бази даних, 2) Переконайтеся, що за замовчуванням завантажувальний застосунок не підписано сертифікатом Microsoft Windows Production PCA 2011.
Відомості журналу подій
|
Журнал подій |
Система |
|
Джерело події |
TPM-WMI |
|
Ідентифікатор події |
1797 |
|
Рівень |
Помилка |
|
Текст повідомлення про помилку |
Оновлення Dbx безпечного завантаження не вдалося відкликати Microsoft Windows Production PCA 2011, оскільки сертифікат Windows UEFI CA 2023 відсутній у DB. |
Ця подія записується під час спроби додати сертифікат PCA 2011 Microsoft Windows Production до бази даних заборонених підписів UEFI Secure Boot Forbidden Signatures Database (DBX). Перед додаванням цього сертифіката до DBX виконується перевірка, щоб переконатися, що програма завантаження за замовчуванням не підписана сертифікатом підпису Microsoft Windows Production PCA 2011. Якщо програму завантаження за замовчуванням підписано сертифікатом підпису Microsoft Windows Production PCA 2011, Windows навмисно не вдасться оновити DBX. Під час додавання PCA 2011 Microsoft Windows Production до DBX здійснюється два перевірки, щоб переконатися, що пристрій продовжує успішно завантажуватися: 1) переконайтеся, що Windows UEFI CA 2023 додано до бази даних, 2) Переконайтеся, що за замовчуванням завантажувальний застосунок не підписано сертифікатом Microsoft Windows Production PCA 2011.
Відомості журналу подій
|
Журнал подій |
Система |
|
Джерело події |
TPM-WMI |
|
Ідентифікатор події |
1798 |
|
Рівень |
Помилка |
|
Текст повідомлення про помилку |
Оновлення Dbx безпечного завантаження не вдалося відкликати Microsoft Windows Production PCA 2011, оскільки диспетчер завантаження не підписано за допомогою сертифіката Windows UEFI CA 2023 |
Ця подія записується, коли диспетчер завантаження застосовується до системи, підписаної сертифікатом Windows UEFI CA 2023
Відомості журналу подій
|
Журнал подій |
Система |
|
Джерело події |
TPM-WMI |
|
Ідентифікатор події |
1799 |
|
Рівень |
Відомості |
|
Текст повідомлення про помилку |
Диспетчер завантаження, підписаний за допомогою Windows UEFI CA 2023, успішно інстальовано |
