套用安全開機 DBX 更新的 Microsoft 指引 (KB4575994)

在 Windows 上套用 DBX 更新

在您閱讀上個段落中的警告並驗證裝置相容之後，請按照下列步驟更新安全開機 DBX：

1. 從此 UEFI 網頁為您的平台下載適當的 UEFI 撤銷清單檔案 (Dbxupdate.bin)。

2. 您必須使用 PowerShell Cmdlet，將 Dbxupdate.bin 檔案分割為必要的元件，以便加以套用。 若要執行這項動作，請依照下列步驟執行：

   1. 從此 PowerShell 資源庫網頁下載 PowerShell 指令碼。

   2. 若要協助找到此指令碼，請執行下列 Cmdlet：

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. 驗證 Cmdlet 是否成功下載指令碼並提供輸出詳細資料，包括 Name、Version、Author、PublishedDate、InstalledDate 和 InstalledLocation。

   4. 執行下列 Cmdlet：

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • ls

   5. 確認 SplitDbxContent.ps1 檔案現在是否位於 Scripts 資料夾中。

   6. 針對 Dbxupdate.bin 檔案執行下列 PowerShell 指令碼：
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. 確認該命令已建立下列檔案：

      

      • Content.bin – 更新內容

      • Signature.p7 – 授權更新程序的簽章

3. 在系統管理 PowerShell 工作階段中，執行 Set-SecureBootUefi Cmdlet 以套用 DBX 更新：
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   預期輸出
   
   

4. 若要完成更新安裝程序，請將裝置重新開機。

如需有關安全開機設定 Cmdlet 與如何用於 DBX 更新的詳細資訊，請參閱 Set-Secure。

確認更新成功  

成功完成上一節中的各步驟並將裝置重新開機後，請按照下列步驟進行，驗證是否已成功套用更新。 驗證成功之後，您的裝置即不再受 GRUB 弱點影響。

1. 從此 GitHub Gist 網頁下載 DBX 更新驗證指令碼。

2. 從壓縮檔案中將指令碼和二進位檔解壓縮。

3. 在包含已解壓縮指令碼和二進位檔的資料夾中，執行下列 PowerShell 指令碼以驗證 DBX 更新： 
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   附註： 如果套用的 DBX 更新符合此撤銷清單檔案封存中的 2020 年 7 月或 2020 年 10 月版本，請改為執行下列適當命令：
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. 驗證輸出是否符合預期結果。
   
   

常見問題集

問 1：錯誤訊息「Get-SecureBootUEFI: 此平台不支援 Cmdlet」代表什麼意思？

A1： 此錯誤訊息指出電腦上「未」啟用任何安全開機功能。 因此，此裝置「不」會受 GRUB 弱點影響。 不需要採取進一步動作。

問 2：如何設定裝置以信任或不信任第三方 UEFI CA？ 

A2： 建議您向 OEM 廠商諮詢。 

對於 Microsoft Surface，請將安全開機設定變更 [只有 Microsoft]，然後執行下列 PowerShell 命令 (結果應為 “False”)： 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

如需有關如何為 Microsoft Surface 設定的詳細資訊，請參閱管理 Surface UEFI 設定 - Surface | Microsoft Docs。

問 3：此問題是否會影響 Azure IaaS 第 1 代和第 2 代虛擬機器？ 

A3： 否。 Azure 客體虛擬機器第 1 代和第 2 代均不支持安全開機功能。 因此，並不會受信任鏈結攻擊影響。 

問 4：ADV200011 和 CVE-2020-0689 指的都是同一個安全開機相關弱點嗎？ 

答： 否。 這些資訊安全諮詢都在描述不同的弱點。 「ADV200011」是指 GRUB (Linux 元件) 中可能導致略過安全開機的弱點。 「CVE-2020-0689」是指安全開機中存在的略過安全功能弱點。 

問 5：我無法執行任何一個 PowerShell 指令碼。 該怎麼辦？

答： 請執行 Get-ExecutionPolicy 命令來確認 PowerShell 執行原則。 根據輸出，您可能必須更新執行原則：

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs