原始發布日期: 六月15,2022
KB 編號:5016061
變更日期 |
描述 |
2025 年 10 月 14 日 |
|
2025 年 7 月 9 日 |
|
2025 年 1 月 29 日 |
|
摘要
為了協助保護 Windows 裝置安全,Microsoft 會將易受攻擊的開機載入器模組新增至 [安全開機 DBX] 撤銷清單 (在系統 UEFI 型韌體中維護),以使易受攻擊模組失效。 當更新的 DBX 撤銷清單安裝在裝置上時,Windows 會檢查系統是否處於可將 DBX 更新成功套用到韌體的狀態,如果偵測到問題,則會回報事件記錄檔錯誤。
其他相關資訊
當系統在裝置上偵測到其中一個易受攻擊模組時,會建立事件記錄項目來警示該情況,並包含所偵測之模組名稱。 事件記錄項目包含類似下列內容的詳細資料:
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
<事件識別碼編號> |
層級 |
錯誤 |
事件訊息文字 |
<訊息文字> |
事件識別碼
當系統磁碟機上的 BitLocker 以將 [安全開機 DBX] 清單套用到韌體的方式進行設定,並導致 BitLocker 進入修復模式時,則會記錄此事件。 解決方法是暫時暫停 BitLocker 進行 2 次的重新啟動循環,讓系統可以安裝更新。
採取行動
若要解決此問題,請從系統管理員命令提示字元執行下列命令,暫停 BitLocker 進行 2 次的重新啟動循環:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
然後,重新啟動裝置兩次以恢復 BitLocker 保護。
若要確保已恢復 BitLocker 保護,請在重新啟動兩次之後執行下列命令:
-
Manage-bde –Protectors –enable %systemdrive%
事件記錄資訊
當系統磁碟機上的 BitLocker 設定在套用 [安全性更新時] 導致系統進入 BitLocker 修復,則會記錄事件識別碼 1032。
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1032 |
層級 |
錯誤 |
事件訊息文字 |
未套用安全開機更新,因為已知與目前的 BitLocker 設定不相容。 |
當更新的 DBX 撤銷清單安裝在裝置上時,Windows 會檢查系統是否要依據其中一個易受攻擊模組來啟動裝置。 如果偵測到其中一個易受攻擊模組,則會延遲對韌體中的 DBX 清單更新。 每次系統重新啟動時,都會重新掃描裝置以判斷是否已更新易受攻擊模組,以及是否可以安全地套用更新的 DBX 清單。
採取行動
在大多數情況下,易受攻擊模組的廠商應該會有可解決該弱點的更新版本。 請連絡您的廠商以取得更新。
事件記錄資訊
當系統在您的裝置上偵測到一個易受攻擊的開機載入器遭此更新撤銷時,則會記錄事件識別碼 1033。
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1033 |
層級 |
錯誤 |
事件訊息文字 |
在 EFI 磁碟分割中偵測到可能撤銷的開機管理員。 如需詳細資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2169931 |
事件資料 BootMgr |
<易受攻擊檔案的路徑和名稱> |
當安全開機 DBX 變數更新成功時,會記錄此事件。 DBX 變數是用來不信任安全開機組件,通常用於封鎖易受攻擊或惡意的安全開機組件,例如開機管理程式以及用來簽署開機管理程序憑證。
事件 1034 表示正在將標準 DBX 撤銷套用至韌體,
事件記錄資訊
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1034 |
層級 |
資訊 |
事件訊息文字 |
已成功套用安全開機 Dbx 更新 |
當安全開機 DB 變數更新成功時,會記錄此事件。 DB 變數是用來新增安全開機組件的信任,通常用來信任用來簽署開機管理員的憑證。
事件記錄資訊
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1036 |
層級 |
資訊 |
事件訊息文字 |
已成功套用安全開機 Db 更新 |
當 Microsoft Windows Production PCA 2011 憑證新增至 UEFI 安全開機禁止簽章資料庫 (DBX) 時,就會記錄此事件。 發生這種情況時,任何使用此憑證簽署的開機應用程式在啟動裝置時將不再受到信任。 這包括與系統復原媒體、PXE 開機應用程式以及使用此憑證所簽署之開機應用程式的任何其他媒體搭配使用的任何開機應用程式。
錯誤記錄資訊
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1037 |
層級 |
資訊 |
錯誤訊息文字 |
已成功套用安全開機 Dbx 更新以撤銷 Microsoft Windows Production PCA 2011。 |
當安全開機 KEK 變數成功更新為 Microsoft Corporation KEK CA 2023 憑證時,就會記錄此事件。 KEK 變數可用來將安全開機更新的信任新增至資料庫和 DBX 變數。 必須將此新憑證新增至 KEK,才能在 2026 年到期的現有 Microsoft Corporation KEK CA 2011 憑證到期後確保裝置安全。
錯誤記錄資訊
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1043 |
層級 |
資訊 |
事件訊息文字 |
安全開機 KEK 更新已成功套用 |
將 Microsoft Option ROM CA 2023 憑證新增至資料庫變數時,會記錄此事件。 DB 變數是用來新增安全開機組件的信任,通常用來信任用來簽署開機管理員的憑證。 必須將新的選項 ROM 憑證新增至資料庫,以確保在 2026 年 Microsoft UEFI CA 2011 到期之前提供支援的持續性。
錯誤記錄資訊
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1044 |
層級 |
資訊 |
事件訊息文字 |
安全開機資料庫更新以安裝 Microsoft 選項 ROM UEFI CA 2023 憑證已成功套用 |
將 Microsoft UEFI CA 2023 憑證新增至資料庫變數時,會記錄此事件。 DB 變數是用來新增安全開機組件的信任,通常用來信任用來簽署開機管理員的憑證。 必須將新的選項 ROM 憑證新增至資料庫,以確保在 2026 年 Microsoft UEFI CA 2011 到期之前提供支援的持續性。
錯誤記錄資訊
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1045 |
層級 |
資訊 |
事件訊息文字 |
安全開機資料庫更新以安裝 Microsoft UEFI CA 2023 憑證已成功套用 |
當安全開機簽章資料庫 (資料庫) 、撤銷簽章資料庫 (DBX) ,或將金鑰交換金鑰 (KEK) 更新套用至韌體時,韌體可能會傳回錯誤。 發生錯誤時,會記錄事件,Windows 會嘗試在下次系統重新啟動時將更新套用至韌體。
採取行動
請連絡您的裝置製造商,判斷是否有可用的韌體更新。
事件記錄資訊
當裝置中的韌體傳回錯誤時,則會記錄事件識別碼 1795。 事件記錄項目會包含從韌體傳回的錯誤碼。
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1795 |
層級 |
錯誤 |
事件訊息文字 |
系統韌體在嘗試更新安全開機變數時,會傳回錯誤 <韌體錯誤碼>。 如需詳細資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2169931 |
當更新的 DBX 撤銷清單套用至裝置,且發生上述事件未涵蓋的錯誤時,會記錄事件,而 Windows 會嘗試在下一次系統重新開機時,將 DBX 清單套用至韌體。
事件記錄資訊
發生非預期的錯誤時,會發生事件識別碼 1796。 事件記錄項目會包含非預期錯誤的錯誤碼。
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1796 |
層級 |
錯誤 |
事件訊息文字 |
安全開機更新無法更新具有錯誤 <error code> 的安全開機變數。 如需詳細資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2169931 |
在嘗試將 Microsoft Windows Production PCA 2011 憑證新增至 UEFI 安全開機禁止簽章資料庫 (DBX) 期間,會記錄此事件。
在將此憑證新增至 DBX 之前,系統會先檢查,以確保 Windows UEFI CA 2023 憑證已新增至 UEFI 安全開機簽章資料庫 (DB)。 如果 Windows UEFI CA 2023 尚未新增至 DB,Windows 將會刻意使 DBX 更新失敗。 這樣做可確保裝置至少信任這兩個憑證的其中之一,這可確保裝置將信任 Microsoft 簽署的開機應用程式。
將 Microsoft Windows Production PCA 2011 新增至 DBX 時,系統會進行兩項檢查,以確保裝置繼續順利開機: 1) 確認 Windows UEFI CA 2023 已新增至 DB,2) 確認 Microsoft Windows Production PCA 2011 憑證未簽署預設開機應用程式。
事件記錄資訊
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1797 |
層級 |
錯誤 |
錯誤訊息文字 |
安全開機 Dbx 更新無法撤銷 Microsoft Windows Production PCA 2011,因為 Windows UEFI CA 2023 憑證不在 DB 中。 |
在嘗試將 Microsoft Windows Production PCA 2011 憑證新增至 UEFI 安全開機禁止簽章資料庫 (DBX) 期間,會記錄此事件。
在將此憑證新增至 DBX 之前,系統會先檢查,以確保 Microsoft Windows Production PCA 2011 簽署憑證未簽署預設開機應用程式。 如果預設開機應用程式是由 Microsoft Windows Production PCA 2011 簽署憑證所簽署,則 Windows 將會刻意使 DBX 更新失敗。
將 Microsoft Windows Production PCA 2011 新增至 DBX 時,系統會進行兩項檢查,以確保裝置繼續順利開機: 1) 確認 Windows UEFI CA 2023 已新增至 DB,2) 確認 Microsoft Windows Production PCA 2011 憑證未簽署預設開機應用程式。
事件記錄資訊
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1798 |
層級 |
錯誤 |
錯誤訊息文字 |
安全開機 Dbx 更新無法撤銷 Microsoft Windows Production PCA 2011,因為開機管理員未使用 Windows UEFI CA 2023 憑證簽署 |
當開機管理員套用到由 Windows UEFI CA 2023 憑證簽署的系統時,就會記錄此事件
事件記錄資訊
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1799 |
層級 |
資訊 |
錯誤訊息文字 |
已成功安裝使用 Windows UEFI CA 2023 簽署的開機管理器 |
這是一個錯誤事件,表示更新的憑證尚未套用至裝置的韌體。 此事件提供裝置的一些詳細資料,包括裝置屬性和裝置儲存貯體ID,有助於關聯哪些裝置仍需要更新。
如果已知裝置接受更新的能力的信賴層級,則會包含在事件中。 這些值包括「高置信度」、「需要更多資料」、「未知」和「已暫停」。 UpdateType 會是 0 或 22852 (0x5944) 。 0x5944值對應於「高置信度」。
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1801 |
層級 |
錯誤 |
事件訊息文字 |
需要更新安全開機 CA/金鑰。 此裝置簽章資訊包含在此處。 裝置屬性: 韌體製造商: <名稱> 韌體版本: <版本> OEM型號: <型號> 機器;OEMManufacturerName: <名稱> 作業系統 Archhitecture: <架構> Bucketld: 4e22d051e8c143d2875b9d16ef2241c7ec548985a21e5073126d3c1f9bf53bb2 BucketConfidenceLevel: <信賴水準> UpdateType: <更新值>Hesult: 作業已順利完成。 |
這是一個參考事件,指出裝置 已將必要的新安全開機憑證套用至裝置的韌體。 當所有必要的憑證都已套用至韌體,且開機管理員已更新為由「Windows UEFI CA 2023」憑證簽署的開機管理員時,就會記錄此事件。
如果已知裝置接受更新的能力的信賴層級,則會包含在事件中。 這些值包括「高置信度」、「需要更多資料」、「未知」和「已暫停」。 UpdateType 會是 0 或 22852 (0x5944) 。 0x5944值對應於「高置信度」。
事件記錄檔 |
系統 |
事件來源 |
TPM-WMI |
事件識別碼 |
1808 |
層級 |
資訊 |
事件訊息文字 |
此裝置已更新安全開機 CA/金鑰。 此裝置簽章資訊包含在此處。 裝置屬性: 韌體製造商:<名稱> 韌體版本:<版本> OEMModelNumber:<型號>。 機;OEMManufacturerName: <名稱> 作業系統 Urlhitecture: <架構> Bucketld: 4e22d051e8c143d2875b9d16ef2241c7ec548985a21e5073126d3c1f9bf53bb2 BucketConfidenceLevel: <信賴水準> UpdateType: <更新值>Hesult: 作業已順利完成。 |