摘要
为了帮助确保 Windows 设备的安全,Microsoft 将易受攻击的启动加载程序模块添加到安全启动 DBX 吊销列表(在基于 UEFI 的系统固件中维护)以使易受攻击的模块失效。 在设备上安装更新的 DBX 吊销列表时,Windows 会检查以确定系统是否处于 DBX 更新可以成功应用于固件的状态,并在检测到问题时报告事件日志错误。
更多信息
在设备上检测到这些易受攻击的模块之一时,将创建一个事件日志条目,其中包含检测到的模块的名称。 事件日志条目包含类似于以下内容的详细信息:
|
事件日志 |
系统 |
|
事件源 |
TPM-WMI |
|
事件 ID |
<事件 ID 号> |
|
级别 |
错误 |
|
事件消息文本 |
<邮件文本> |
事件 ID:
当系统驱动器上的 BitLocker 配置为将安全启动 DBX 列表应用于固件会导致 BitLocker 进入恢复模式时,将记录此事件。 解决方法是暂时挂起 BitLocker 2 个重启周期,以便安装更新。
采取操作
若要解决此问题,请从管理员命令提示符运行以下命令,以暂停 BitLocker 2 个重启周期:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
然后,重启设备两次以恢复 BitLocker 保护。
若要确保已恢复 BitLocker 保护,请在重启两次后运行以下命令:
-
Manage-bde –Protectors –enable %systemdrive%
事件日志信息
当系统驱动器上的 BitLocker 配置会导致系统进入 BitLocker 恢复(如果应用了安全启动更新)时,将记录事件 ID 1032。
|
事件日志 |
系统 |
|
事件源 |
TPM-WMI |
|
事件 ID |
1032 |
|
级别 |
错误 |
|
事件消息文本 |
由于已知与当前 BitLocker 配置不兼容,因此,安全启动更新未应用。 |
在设备上安装更新的 DBX 吊销列表时,Windows 会检查以确定系统是否依赖于易受攻击的模块之一来启动设备。 如果检测到其中一个易受攻击的模块,则将延迟对固件中 DBX 列表的更新。 每次重新启动系统时,将重新扫描设备,以确定易受攻击的模块是否已更新,以及是否可以安全地应用更新的 DBX 列表。
采取操作
在大多数情况下,易受攻击模块的供应商应具有修复此漏洞的更新版本。 请与供应商联系以获取更新。
事件日志信息
在设备上检测到此更新已吊销的易受攻击的启动加载程序时,将记录事件 ID 1033。
|
事件日志 |
系统 |
|
事件源 |
TPM-WMI |
|
事件 ID |
1033 |
|
级别 |
错误 |
|
事件消息文本 |
在 EFI 分区中检测到可能吊销的启动管理器。 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2169931 |
|
事件数据 BootMgr |
<易受攻击文件的路径和名称> |
成功更新安全启动 DBX 变量时,将记录此事件。 DBX 变量用于取消信任安全启动组件,通常用于阻止易受攻击或恶意的安全启动组件,例如启动管理器和用于对启动管理器进行签名的证书。
事件 1034 指示正在将标准 DBX 吊销应用于固件,
事件日志信息
|
事件日志 |
系统 |
|
事件源 |
TPM-WMI |
|
事件 ID |
1034 |
|
级别 |
信息 |
|
事件消息文本 |
已成功应用安全启动 Dbx 更新 |
成功更新安全启动数据库变量时,将记录此事件。 DB 变量用于添加安全启动组件的信任,通常用于信任用于对启动管理器进行签名的证书。
事件日志信息
|
事件日志 |
系统 |
|
事件源 |
TPM-WMI |
|
事件 ID |
1036 |
|
级别 |
信息 |
|
事件消息文本 |
已成功应用安全启动数据库更新 |
将 Microsoft Windows 生产 PCA 2011 证书添加到 UEFI 安全启动禁止签名数据库 (DBX) 时,将会记录此事件。 发生此情况时,使用此证书签名的任何启动应用程序在启动设备时将不再受信任。 这包括与系统恢复媒体、PXE 启动应用程序,以及利用此证书签名的启动应用程序的任何其他介质一起使用的任何启动应用程序。
错误日志信息
|
事件日志 |
系统 |
|
事件源 |
TPM-WMI |
|
事件 ID |
1037 |
|
级别 |
信息 |
|
错误消息文本 |
已成功应用安全启动 Dbx 更新以撤销 Microsoft Windows 生产 PCA 2011。 |
将更新的 DBX 吊销列表应用于固件时,固件可能会返回错误。 发生错误时,将记录事件,Windows 将在下次系统重启时尝试将 DBX 列表应用到固件。
采取操作
请与设备制造商联系,以确定固件更新是否可用。
事件日志信息
当设备中的固件返回错误时,将记录事件 ID 1795。 事件日志条目将包括从固件返回的错误代码。
|
事件日志 |
系统 |
|
事件源 |
TPM-WMI |
|
事件 ID |
1795 |
|
级别 |
错误 |
|
事件消息文本 |
系统固件在尝试更新安全启动变量时返回了错误 <配置程序错误代码>。 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2169931 |
将更新后的 DBX 吊销列表应用于设备时,发生上述事件未涵盖的错误时,将记录一个事件,Windows 将在下次系统重启时尝试将 DBX 列表应用到固件。
事件日志信息
遇到意外错误时发生事件 ID 1796。 事件日志条目将包含意外错误的错误代码。
|
事件日志 |
系统 |
|
事件源 |
TPM-WMI |
|
事件 ID |
1796 |
|
级别 |
错误 |
|
事件消息文本 |
安全启动更新无法更新安全启动变量,错误 <错误代码>。 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2169931 |
尝试将 Microsoft Windows 生产 PCA 2011 证书添加到 UEFI 安全启动禁止签名数据库 (DBX) 期间,将会记录此事件。 在将此证书添加到 DBX 之前,请进行检查以确保 Windows UEFI CA 2023 证书已添加到 UEFI 安全启动签名数据库 (DB)。 如果尚未将 Windows UEFI CA 2023 添加到 DB,Windows 将有意导致 DBX 更新失败。 此操作的目的是确保设备信任这两个证书中的至少一个,这可确保设备信任由 Microsoft 签名的启动应用程序。 将 Microsoft Windows 生产 PCA 2011 添加到 DBX 时,请进行两项检查以确保设备继续成功启动:1) 确保已将 Windows UEFI CA 2023 添加到 DB,2) 确保默认启动应用程序未由 Microsoft Windows 生产 PCA 2011 证书签名。
事件日志信息
|
事件日志 |
系统 |
|
事件源 |
TPM-WMI |
|
事件 ID |
1797 |
|
级别 |
错误 |
|
错误消息文本 |
安全启动 Dbx 更新无法撤销 Microsoft Windows 生产 PCA 2011,因为 DB 中不存在 Windows UEFI CA 2023 证书。 |
尝试将 Microsoft Windows 生产 PCA 2011 证书添加到 UEFI 安全启动禁止签名数据库 (DBX) 期间,将会记录此事件。 在将此证书添加到 DBX 之前,请进行检查以确保默认启动应用程序未由 Microsoft Windows 生产 PCA 2011 签名证书签名。 如果默认启动应用程序已由 Microsoft Windows Production PCA 2011 签名证书签名,Windows 将有意导致 DBX 更新失败。 将 Microsoft Windows 生产 PCA 2011 添加到 DBX 时,请进行两项检查以确保设备继续成功启动:1) 确保已将 Windows UEFI CA 2023 添加到 DB,2) 确保默认启动应用程序未由 Microsoft Windows 生产 PCA 2011 证书签名。
事件日志信息
|
事件日志 |
系统 |
|
事件源 |
TPM-WMI |
|
事件 ID |
1798 |
|
级别 |
错误 |
|
错误消息文本 |
安全启动 Dbx 更新无法撤销 Microsoft Windows 生产 PCA 2011,因为启动管理器未使用 Windows UEFI CA 2023 证书进行签名 |
将启动管理器应用于由 Windows UEFI CA 2023 证书签名的系统时,将会记录此事件
事件日志信息
|
事件日志 |
系统 |
|
事件源 |
TPM-WMI |
|
事件 ID |
1799 |
|
级别 |
信息 |
|
错误消息文本 |
已成功安装使用 Windows UEFI CA 2023 签名的启动管理器 |
