Tóm tắt
Để giúp giữ an toàn cho thiết bị Windows, Microsoft thêm mô-đun bộ tải khởi động dễ bị tấn công vào danh sách thu hồi Secure Boot DBX (được duy trì trong chương trình cơ sở dựa trên UEFI hệ thống) để làm vô hiệu hóa các mô-đun dễ bị tấn công. Khi danh sách thu hồi DBX cập nhật được cài đặt trên thiết bị, Windows sẽ kiểm tra để xác định xem hệ thống có ở trạng thái có thể áp dụng thành công bản cập nhật DBX cho vi chương trình hay không và sẽ báo cáo lỗi nhật ký sự kiện nếu phát hiện sự cố.
Thông tin thêm
Khi một trong những mô-đun dễ bị tổn thương được phát hiện trên thiết bị, một mục nhật ký sự kiện được tạo cảnh báo về tình huống và bao gồm tên của mô-đun được phát hiện. Mục nhật ký sự kiện chứa các chi tiết tương tự như sau:
|
Nhật ký sự kiện |
Hệ thống |
|
Nguồn sự kiện |
TPM-WMI |
|
ID Sự kiện |
<số ID Sự kiện> |
|
Cấp độ |
Lỗi |
|
Văn bản tin nhắn sự kiện |
<tin nhắn văn bản> |
ID Sự kiện
Sự kiện này được ghi nhật ký khi BitLocker trên ổ đĩa hệ thống được đặt cấu hình theo cách áp dụng danh sách Secure Boot DBX cho vi chương trình sẽ khiến BitLocker chuyển sang chế độ phục hồi. Giải pháp là tạm thời tạm ngừng BitLocker cho 2 chu kỳ khởi động lại để cho phép cài đặt bản cập nhật.
Thực hiện hành động
Để giải quyết sự cố này, hãy chạy lệnh sau từ dấu nhắc lệnh Người quản trị để tạm ngừng BitLocker trong 2 chu kỳ khởi động lại:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Sau đó, khởi động lại thiết bị hai lần để tiếp tục bảo vệ BitLocker.
Để đảm bảo đã tiếp tục bảo vệ BitLocker, hãy chạy lệnh sau đây sau khi khởi động lại hai lần:
-
Manage-bde –Protectors –enable %systemdrive%
Thông tin nhật ký sự kiện
ID Sự kiện 1032 sẽ được ghi nhật ký khi cấu hình của BitLocker trên ổ đĩa hệ thống có thể khiến hệ thống chuyển sang phục hồi BitLocker nếu áp dụng bản cập nhật Khởi động An toàn.
|
Nhật ký sự kiện |
Hệ thống |
|
Nguồn sự kiện |
TPM-WMI |
|
ID Sự kiện |
1032 |
|
Cấp độ |
Lỗi |
|
Văn bản tin nhắn sự kiện |
Bản cập nhật Khởi động An toàn không được áp dụng do không tương thích với cấu hình BitLocker hiện tại. |
Khi danh sách thu hồi DBX cập nhật được cài đặt trên thiết bị, Windows sẽ kiểm tra để xác định xem hệ thống có phụ thuộc vào một trong các mô-đun dễ bị tấn công để khởi động thiết bị hay không. Nếu một trong các mô-đun dễ bị tấn công được phát hiện, bản cập nhật cho danh sách DBX trong phần vững bị trì hoãn. Mỗi lần khởi động lại hệ thống, thiết bị được quét lại để xác định xem mô-đun dễ bị tổn thương đã được cập nhật hay chưa và liệu có an toàn để áp dụng danh sách DBX được cập nhật hay không.
Thực hiện hành động
Trong hầu hết các trường hợp, nhà cung cấp mô-đun dễ bị tổn thương nên có một phiên bản cập nhật khắc phục lỗ hổng. Vui lòng liên hệ với nhà cung cấp của bạn để nhận bản cập nhật.
Thông tin nhật ký sự kiện
ID Sự kiện 1033 sẽ được ghi nhật ký khi bộ tải khởi động dễ bị tấn công bị thu hồi do phát hiện bản cập nhật này trên thiết bị của bạn.
|
Nhật ký sự kiện |
Hệ thống |
|
Nguồn sự kiện |
TPM-WMI |
|
ID Sự kiện |
1033 |
|
Cấp độ |
Lỗi |
|
Văn bản tin nhắn sự kiện |
Đã phát hiện trình quản lý khởi động có khả năng bị thu hồi trong phân vùng EFI. Để biết thêm thông tin, vui lòng xem https://go.microsoft.com/fwlink/?linkid=2169931 |
|
Trình khởi động Dữ liệu Sự kiện |
<đường dẫn và tên tệp dễ bị> |
Sự kiện này được ghi nhật ký khi biến Secure Boot DBX được cập nhật thành công. Biến DBX được sử dụng để không tin cậy các cấu phần Khởi động An toàn và thường được sử dụng để chặn các cấu phần Khởi động An toàn dễ bị tổn thương hoặc độc hại như trình quản lý khởi động và chứng chỉ được sử dụng để ký trình quản lý khởi động.
Sự kiện 1034 cho biết các mức thu hồi DBX tiêu chuẩn đang được áp dụng cho chương trình cơ sở,
Thông tin nhật ký sự kiện
|
Nhật ký sự kiện |
Hệ thống |
|
Nguồn sự kiện |
TPM-WMI |
|
ID Sự kiện |
1034 |
|
Cấp độ |
Thông tin |
|
Văn bản tin nhắn sự kiện |
Đã áp dụng bản cập nhật Dbx Khởi động An toàn thành công |
Sự kiện này được ghi nhật ký khi biến Secure Boot DB được cập nhật thành công. Biến DB được dùng để thêm độ tin cậy cho các cấu phần Khởi động An toàn và thường được dùng để tin cậy các chứng chỉ được dùng để ký vào người quản lý khởi động.
Thông tin nhật ký sự kiện
|
Nhật ký sự kiện |
Hệ thống |
|
Nguồn sự kiện |
TPM-WMI |
|
ID Sự kiện |
1036 |
|
Cấp độ |
Thông tin |
|
Văn bản tin nhắn sự kiện |
Đã áp dụng thành công bản cập nhật Boot Db an toàn |
Sự kiện này được ghi nhật ký khi chứng chỉ Microsoft Windows Production PCA 2011 được thêm vào Cơ sở dữ liệu Cấm Chữ ký (DBX) Khởi động Bảo mật UEFI (DBX). Khi điều này xảy ra, mọi ứng dụng khởi động đã ký bằng chứng chỉ này sẽ không còn được tin cậy khi khởi động thiết bị. Điều này bao gồm mọi ứng dụng khởi động được sử dụng với phương tiện khôi phục hệ thống, ứng dụng khởi động PXE và bất kỳ phương tiện nào khác sử dụng ứng dụng khởi động được ký bằng chứng chỉ này.
Thông tin nhật ký lỗi
|
Nhật ký sự kiện |
Hệ thống |
|
Nguồn sự kiện |
TPM-WMI |
|
ID Sự kiện |
1037 |
|
Cấp độ |
Thông tin |
|
Văn bản thông báo lỗi |
Bản cập nhật Secure Boot Dbx để thu hồi Microsoft Windows Production PCA 2011 được áp dụng thành công. |
Khi danh sách thu hồi DBX cập nhật được áp dụng cho vi chương trình, vi chương trình có thể trả về lỗi. Khi xảy ra lỗi, một sự kiện đã được ghi nhật ký và Windows sẽ cố gắng áp dụng danh sách DBX cho vi chương trình trên lần khởi động lại hệ thống tiếp theo.
Thực hiện hành động
Hãy liên hệ với nhà sản xuất thiết bị của bạn để xác định xem đã có bản cập nhật vi chương trình hay không.
Thông tin nhật ký sự kiện
ID sự kiện 1795 sẽ được ghi nhật ký khi vi chương trình trong thiết bị trả về lỗi. Mục nhật ký sự kiện sẽ bao gồm mã lỗi được trả về từ vi chương trình.
|
Nhật ký sự kiện |
Hệ thống |
|
Nguồn sự kiện |
TPM-WMI |
|
ID Sự kiện |
1795 |
|
Cấp độ |
Lỗi |
|
Văn bản tin nhắn sự kiện |
Vi chương trình hệ thống đã trả về lỗi<mã lỗi vi chương> khi cố gắng cập nhật biến Khởi động An toàn. Để biết thêm thông tin, vui lòng xem https://go.microsoft.com/fwlink/?linkid=2169931 |
Khi danh sách thu hồi DBX được cập nhật được áp dụng cho một thiết bị và xảy ra lỗi không được đề cập trong các sự kiện ở trên, một sự kiện đã được ghi nhật ký và Windows sẽ cố gắng áp dụng danh sách DBX cho vi chương trình trên khởi động lại hệ thống tiếp theo.
Thông tin nhật ký sự kiện
ID Sự kiện 1796 xảy ra khi gặp phải lỗi không mong muốn. Mục nhật ký sự kiện sẽ bao gồm mã lỗi cho lỗi không mong muốn.
|
Nhật ký sự kiện |
Hệ thống |
|
Nguồn sự kiện |
TPM-WMI |
|
ID Sự kiện |
1796 |
|
Cấp độ |
Lỗi |
|
Văn bản tin nhắn sự kiện |
Bản cập nhật Khởi động An toàn không cập nhật được biến Khởi động An toàn với<mã lỗi>. Để biết thêm thông tin, vui lòng xem https://go.microsoft.com/fwlink/?linkid=2169931 |
Sự kiện này được ghi nhật ký trong một nỗ lực thêm chứng chỉ Microsoft Windows Production PCA 2011 vào Cơ sở dữ liệu Cấm Khởi động An toàn của UEFI (DBX). Trước khi thêm chứng chỉ này vào DBX, hãy kiểm tra để đảm bảo chứng chỉ Windows UEFI CA 2023 đã được thêm vào Cơ sở dữ liệu Chữ ký Khởi động An toàn UEFI (DB). Nếu Windows UEFI CA 2023 chưa được thêm vào DB, Windows sẽ cố ý không thực hiện được bản cập nhật DBX. Điều này được thực hiện để đảm bảo rằng thiết bị tin cậy ít nhất một trong hai chứng chỉ này, đảm bảo rằng thiết bị sẽ tin cậy các ứng dụng khởi động do Microsoft ký. Khi thêm Microsoft Windows Production PCA 2011 vào DBX, hai kiểm tra được thực hiện để đảm bảo thiết bị tiếp tục khởi động thành công: 1) đảm bảo rằng Windows UEFI CA 2023 đã được thêm vào DB, 2) Đảm bảo rằng ứng dụng khởi động mặc định không được ký bằng chứng chỉ MICROSOFT Windows Production PCA 2011.
Thông tin nhật ký sự kiện
|
Nhật ký sự kiện |
Hệ thống |
|
Nguồn sự kiện |
TPM-WMI |
|
ID Sự kiện |
1797 |
|
Cấp độ |
Lỗi |
|
Văn bản thông báo lỗi |
Bản cập nhật Secure Boot Dbx không thu hồi được Microsoft Windows Production PCA 2011 vì chứng chỉ Windows UEFI CA 2023 không có trong DB. |
Sự kiện này được ghi nhật ký trong một nỗ lực thêm chứng chỉ Microsoft Windows Production PCA 2011 vào Cơ sở dữ liệu Cấm Khởi động An toàn của UEFI (DBX). Trước khi thêm chứng chỉ này vào DBX, kiểm tra được thực hiện để đảm bảo rằng ứng dụng khởi động mặc định không được ký bằng chứng chỉ ký PCA 2011 Sản xuất Microsoft Windows. Nếu ứng dụng khởi động mặc định được ký bằng chứng chỉ ký PCA 2011 của Microsoft Windows Production, Windows sẽ cố tình không thực hiện được bản cập nhật DBX. Khi thêm Microsoft Windows Production PCA 2011 vào DBX, hai kiểm tra được thực hiện để đảm bảo thiết bị tiếp tục khởi động thành công: 1) đảm bảo rằng Windows UEFI CA 2023 đã được thêm vào DB, 2) Đảm bảo rằng ứng dụng khởi động mặc định không được ký bằng chứng chỉ MICROSOFT Windows Production PCA 2011.
Thông tin nhật ký sự kiện
|
Nhật ký sự kiện |
Hệ thống |
|
Nguồn sự kiện |
TPM-WMI |
|
ID Sự kiện |
1798 |
|
Cấp độ |
Lỗi |
|
Văn bản thông báo lỗi |
Bản cập nhật Secure Boot Dbx không thu hồi được PCA 2011 Microsoft Windows Production vì trình quản lý khởi động không được ký bằng chứng chỉ Windows UEFI CA 2023 |
Sự kiện này được ghi nhật ký khi trình quản lý khởi động được áp dụng cho hệ thống được ký bằng chứng chỉ Windows UEFI CA 2023
Thông tin nhật ký sự kiện
|
Nhật ký sự kiện |
Hệ thống |
|
Nguồn sự kiện |
TPM-WMI |
|
ID Sự kiện |
1799 |
|
Cấp độ |
Thông tin |
|
Văn bản thông báo lỗi |
Trình quản lý Khởi động đã được cài đặt thành công bằng Windows UEFI CA 2023 |
