应用安全启动 DBX 更新 (KB4575994) 的 Microsoft 指南

在 Windows 中应用 DBX 更新

阅读上一节中的警告并验证设备是否兼容后，请按照以下步骤更新安全启动 DBX：

1. 从 此 UEFI 网页下载适合您平台的 UEFI 吊销列表文件 (Dbxupdate.bin)。

2. 必须将 Dbxupdate.bin 文件拆分为必要的组件，以便使用 PowerShell cmdlet 应用这些组件。 为此，请按照下列步骤操作：

   1. 从 此 PowerShell Gallery 网页下载 PowerShell 脚本。

   2. 要帮助查找脚本，请运行以下 cmdlet：

      • Get-InstalledScript -name SplitDbxContent | select-object 名称、版本、作者、PublishedDate、InstalledDate、InstalledLocation

   3. 验证 cmdlet 是否成功下载脚本并提供输出详细信息，包括名称、版本、作者、PublishedDate、InstalledDate 和 InstalledLocation。

   4. 运行以下 cmdlet：

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • ls

   5. 验证 SplitDbxContent.ps1 文件现在是否位于脚本文件夹中。

   6. 在 Dbxupdate.bin 文件上运行以下 PowerShell 脚本：
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. 验证该命令是否创建了以下文件。

      

      • Content.bin - 更新内容

      • Signature.p7 - 授权更新过程的签名

3. 在管理 PowerShell 会话中，运行 Set-SecureBootUefi cmdlet 以应用 DBX 更新：
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   预期输出
   
   

4. 要完成更新安装过程，请重启设备。

有关安全启动配置 cmdlet 以及如何将其用 DBX 更新的更多信息，请参见设置 - 安全。

验证更新是否成功  

成功完成上一节中的步骤并重新启动设备后，请按照以下步骤验证更新是否已成功应用。 验证成功后，您的设备将不再受 GRUB 漏洞影响。

1. 从 GitHub Gist 网页下载 DBX 更新验证脚本。

2. 从压缩文件中提取脚本和二进制文件。

3. 在包含扩展脚本和二进制文件的文件夹中运行以下 PowerShell 脚本，以验证 DBX 更新：
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   备注： 如果应用了与吊销列表文件存档中的 2020 年 7 月或 2020 年 10 月版本相匹配的 DBX 更新，请运行以下适当的命令：
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   检查 - Dbx.ps1 '.\dbx-2020-October.bin' 

4. 验证输出是否与预期结果匹配。
   
   

FAQ

问题 1：错误信息“Get-SecureBootUEFI：此平台不支持 Cmdlets”是什么意思？

A1： 此错误消息表明该计算机上未启用任何安全启动功能。 因此，该设备不受 GRUB 漏洞的影响。 无需采取进一步行动。

问题 2：如何将设备配置为信任或不信任第三方 UEFI CA？ 

A2： 我们建议您咨询您的 OEM 供应商。 

对于 Microsoft Surface，将 Secure Boot 设置更改为“Microsoft Only”，然后运行以下 PowerShell 命令（结果应为“False”）： 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

有关如何配置 Microsoft Surface 的详细信息，请参阅 管理 Surface UEFI 设置 - Surface |Microsoft 文档.

问题 3：此问题是否影响 Azure IaaS 第 1 代和第 2 代虚拟机？ 

A3： 不需要。 Azure 来宾虚拟机 Gen1 和 Gen2 不支持安全启动功能。 因此，它们不受信任链攻击的影响。 

问题 4：ADV200011 和 CVE-2020-0689 指的是与安全启动相关的同一漏洞吗？ 

答： 不需要。 这些安全公告描述了不同的漏洞。 “ADV200011”是指 GRUB（Linux 组件）中可能导致安全启动旁路的漏洞。 “CVE-2020-0689”是指安全启动中存在的安全功能旁路漏洞。 

问题 5：我无法运行任一 PowerShell 脚本。 我该怎么办？

答： 通过运行 Get ExecutionPolicy 命令，验证 PowerShell 执行策略。 根据输出，您可能需要更新执行策略：

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft 文档