原始出版日期: 2022年6月15日
KB ID:5016061
|
變更日期 |
描述 |
|
2026年2月10日 |
|
|
2026年2月9日 |
|
|
2025 年 10 月 14 日 |
|
|
2025年7月9日 |
|
|
2025年1月29日 |
|
摘要
為協助維護 Windows 裝置的安全,Microsoft 維護多個與安全開機相關的元件,包括 DB 與 DBX) (安全開機簽章資料庫、KEK) (金鑰交換金鑰,以及 Windows 開機管理器。 Windows 會在這些元件可用時套用更新,並檢查每次更新是否能安全安裝於裝置上。 當更新成功或偵測到無法將更新套用到系統韌體時,Windows 會建立事件日誌條目。
詳細資訊
當 Windows 更新這些安全開機相關元件時,當更新正確套用時,會記錄成功事件。 當 Windows 偵測到無法套用更新的狀況時,會產生警告或錯誤事件,識別受影響的元件並描述問題。 當韌體不支援必要的更新、存在有漏洞或不受信任的開機載入程式、安全啟動金鑰已被自訂,或開機管理員需要修正措施時,可能會發生這種情況。 每個事件都包含診斷細節,如元件名稱及成功或失敗的原因,可能類似以下範例:
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
<事件識別碼編號> |
|
層級 |
錯誤 |
|
事件訊息文字 |
<訊息文字> |
通用安全啟動事件:
事件識別碼
當系統磁碟上的 BitLocker 設定為對韌體執行安全開機更新時,會記錄此事件,使 BitLocker 進入復原模式。 解決方法是暫時暫停 BitLocker 進行 2 次的重新啟動循環,讓系統可以安裝更新。
採取行動
若要解決此問題,請從系統管理員命令提示字元執行下列命令,暫停 BitLocker 進行 2 次的重新啟動循環:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
然後,重新啟動裝置兩次以恢復 BitLocker 保護。
若要確保已恢復 BitLocker 保護,請在重新啟動兩次之後執行下列命令:
-
Manage-bde –Protectors –enable %systemdrive%
事件記錄資訊
當系統磁碟機上的 BitLocker 設定在套用 [安全性更新時] 導致系統進入 BitLocker 修復,則會記錄事件識別碼 1032。 在此情況下,<事件類型> 可能為以下之一:「DB」、「DBX」、「SBAT」、「 (SKU) 政策更新」、「Windows UEFI CA 2023 (DB) 」、「Option ROM CA 2023 (DB) 」、「3P UEFI CA 2023 (DB) 」、「KEK 2023」、「DBX SVN」或「撤銷 UEFI CA 2011 (DBX) 」。
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1032 |
|
層級 |
錯誤 |
|
事件訊息文字 |
由於已知與目前 BitLocker 配置不相容,安全開機更新 <事件類型> 未被套用。 |
當更新的 DBX 撤銷清單安裝在裝置上時,Windows 會檢查系統是否要依據其中一個易受攻擊模組來啟動裝置。 如果偵測到其中一個易受攻擊模組,則會延遲對韌體中的 DBX 清單更新。 每次系統重新啟動時,都會重新掃描裝置以判斷是否已更新易受攻擊模組,以及是否可以安全地套用更新的 DBX 清單。
採取行動
在大多數情況下,易受攻擊模組的廠商應該會有可解決該弱點的更新版本。 請連絡您的廠商以取得更新。
事件記錄資訊
當系統在您的裝置上偵測到一個易受攻擊的開機載入器遭此更新撤銷時,則會記錄事件識別碼 1033。
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1033 |
|
層級 |
錯誤 |
|
事件訊息文字 |
在 EFI 磁碟分割中偵測到可能撤銷的開機管理員。 如需詳細資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2169931 |
|
事件資料 BootMgr |
<易受攻擊檔案的路徑和名稱> |
當安全開機 DBX 變數更新成功時,會記錄此事件。 DBX 變數是用來不信任安全開機組件,通常用於封鎖易受攻擊或惡意的安全開機組件,例如開機管理程式以及用來簽署開機管理程序憑證。
事件 1034 表示正在將標準 DBX 撤銷套用至韌體,
事件記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1034 |
|
層級 |
資訊 |
|
事件訊息文字 |
已成功套用安全開機 Dbx 更新 |
當安全開機 DB 變數更新成功時,會記錄此事件。 DB 變數是用來新增安全開機組件的信任,通常用來信任用來簽署開機管理員的憑證。
事件記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1036 |
|
層級 |
資訊 |
|
事件訊息文字 |
已成功套用安全開機 Db 更新 |
當 Microsoft Windows Production PCA 2011 憑證新增至 UEFI 安全開機禁止簽章資料庫 (DBX) 時,就會記錄此事件。 發生這種情況時,任何使用此憑證簽署的開機應用程式在啟動裝置時將不再受到信任。 這包括與系統復原媒體、PXE 開機應用程式以及使用此憑證所簽署之開機應用程式的任何其他媒體搭配使用的任何開機應用程式。
錯誤記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1037 |
|
層級 |
資訊 |
|
錯誤訊息文字 |
已成功套用安全開機 Dbx 更新以撤銷 Microsoft Windows Production PCA 2011。 |
當安全開機 KEK 變數成功以 Microsoft Corporation CA 2023 憑證更新時,會記錄此事件。 KEK 變數用於對 DB 與 DBX 變數的信任度,以提升安全啟動更新的信任度。 將此新憑證加入 KEK 是必要的,以幫助在現有 Microsoft Corporation KEK CA 2011 證書將於 2026 年到期後,維持裝置安全。
錯誤記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1043 |
|
層級 |
資訊 |
|
事件訊息文字 |
安全開機 KEK 更新成功套用 |
當 Microsoft Option ROM CA 2023 憑證加入資料庫變數時,此事件會被記錄。 DB 變數是用來新增安全開機組件的信任,通常用來信任用來簽署開機管理員的憑證。 新增選項 ROM 憑證於資料庫中,是確保 Microsoft UEFI CA 2011 於 2026 年到期前持續支援的必要步驟。
錯誤記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1044 |
|
層級 |
資訊 |
|
事件訊息文字 |
安全啟動資料庫更新以安裝 Microsoft 選項 ROM UEFI CA 2023 證書 已成功套用 |
當 Microsoft UEFI CA 2023 憑證加入資料庫變數時,此事件會被記錄。 DB 變數是用來新增安全開機組件的信任,通常用來信任用來簽署開機管理員的憑證。 新增 Microsoft UEFI CA 2023 憑證於資料庫中,是確保在 Microsoft UEFI CA 2011 於 2026 年到期前持續支援的必要步驟。
錯誤記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1045 |
|
層級 |
資訊 |
|
事件訊息文字 |
安全啟動資料庫更新以安裝 Microsoft UEFI CA 2023 證書,成功套用 |
當裝置套用安全開機更新,且發生其他事件未涵蓋的錯誤時,該事件會被記錄,Windows 會在下一次系統重啟時嘗試對韌體套用安全開機更新。
事件記錄資訊
發生非預期的錯誤時,會發生事件識別碼 1796。 事件記錄項目會包含非預期錯誤的錯誤碼。 在此情況下,<事件類型> 可能為以下之一:「DB」、「DBX」、「SBAT」、「 (SKU) 政策更新」、「Windows UEFI CA 2023 (DB) 」、「Option ROM CA 2023 (DB) 」、「3P UEFI CA 2023 (DB) 」、「KEK 2023」、「DBX SVN」或「撤銷 UEFI CA 2011 (DBX) 」。
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1796 |
|
層級 |
錯誤 |
|
事件訊息文字 |
安全開機更新未能更新 <事件類型>,並出現錯誤 <錯誤代碼>。 欲了解更多資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2169931 |
在嘗試將 Microsoft Windows Production PCA 2011 憑證新增至 UEFI 安全開機禁止簽章資料庫 (DBX) 期間,會記錄此事件。
在將此憑證新增至 DBX 之前,系統會先檢查,以確保 Windows UEFI CA 2023 憑證已新增至 UEFI 安全開機簽章資料庫 (DB)。 如果 Windows UEFI CA 2023 尚未新增至 DB,Windows 將會刻意使 DBX 更新失敗。 這樣做可確保裝置至少信任這兩個憑證的其中之一,這可確保裝置將信任 Microsoft 簽署的開機應用程式。
將 Microsoft Windows Production PCA 2011 新增至 DBX 時,系統會進行兩項檢查,以確保裝置繼續順利開機: 1) 確認 Windows UEFI CA 2023 已新增至 DB,2) 確認 Microsoft Windows Production PCA 2011 憑證未簽署預設開機應用程式。
事件記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1797 |
|
層級 |
錯誤 |
|
錯誤訊息文字 |
安全開機更新失敗,因為 Windows UEFI CA 2023 憑證不存在於資料庫中。 |
在嘗試將 Microsoft Windows Production PCA 2011 憑證新增至 UEFI 安全開機禁止簽章資料庫 (DBX) 期間,會記錄此事件。
在將此憑證新增至 DBX 之前,系統會先檢查,以確保 Microsoft Windows Production PCA 2011 簽署憑證未簽署預設開機應用程式。 如果預設開機應用程式是由 Microsoft Windows Production PCA 2011 簽署憑證所簽署,則 Windows 將會刻意使 DBX 更新失敗。
將 Microsoft Windows Production PCA 2011 新增至 DBX 時,系統會進行兩項檢查,以確保裝置繼續順利開機: 1) 確認 Windows UEFI CA 2023 已新增至 DB,2) 確認 Microsoft Windows Production PCA 2011 憑證未簽署預設開機應用程式。
事件記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1798 |
|
層級 |
錯誤 |
|
錯誤訊息文字 |
安全開機 Dbx 更新失敗,因為開機管理員未以 Windows UEFI CA 2023 憑證簽署。 |
當開機管理員套用到由 Windows UEFI CA 2023 憑證簽署的系統時,就會記錄此事件
事件記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1799 |
|
層級 |
資訊 |
|
錯誤訊息文字 |
已成功安裝使用 Windows UEFI CA 2023 簽署的開機管理器 |
當系統偵測到在當前開機週期中套用安全開機更新可能會與近期變更發生衝突時,該事件會被記錄,例如開機管理員更新或使用虛擬化安全性裝置的安全開機變數更新。 重新啟動可以清除這些條件,讓更新能安全進行。 在此事件中,<事件類型> 可為以下之一:「DB」、「DBX」、「 (SKU) 政策更新」、「Windows UEFI CA 2023 (DB) 」、「選項 ROM CA 2023 (DB) 」、「3P UEFI CA 2023 (DB) 」、「KEK 2023」、「DBX SVN」或「撤銷 UEFI CA 2011 (DBX) 」。
事件記錄資訊
|
事件記錄檔 |
系統 |
|
事件識別碼 |
1800 |
|
層級 |
警告 |
|
事件訊息正文 |
安裝安全開機更新前需重開機:<事件類型>。 |
裝置特定事件:
裝置專屬活動包含以下細節:
DeviceAttributes 描述裝置的特性。 這些值用於計算 BucketID 時。
BucketID 是一個獨特的雜湊值,用來識別一組等效裝置。 裝置在屬性改變時,例如韌體更新後,可以移到不同的儲存桶。
當系統擁有足夠數據評估裝置接受更新的信心時,BucketConfidenceLevel 就會出現。 可能的數值包括:高置信度、暫時暫停、不支援——已知限制、正在觀察中——需要更多資料,以及未觀察到資料——需要採取行動。
更新類型會是 0 或 22852 (0x5944) 。 0x5944值表示高度信心更新。」
每個 BucketConfidenceLevel 的描述如下:
高自信: 該組裝置透過觀察到的數據證明,他們能成功使用新的安全開機憑證更新韌體。
暫停: 這組裝置會受到已知問題的影響。 為降低風險,安全啟動憑證更新會暫時暫停,等待 Microsoft 與合作夥伴共同尋求支援的解決方案。 這可能需要韌體更新。 想了解更多細節,請查閱1802年的事件。
不支援 – 已知限制: 由於硬體或韌體限制,此群組的裝置不支援自動的安全開機憑證更新路徑。 目前此配置尚未支援自動解析度。
觀察中-需要更多資料: 這組裝置目前尚未被封鎖,但目前尚無足夠數據將其歸類為高信心等級。 安全開機憑證的更新可能會被延後,直到資料足夠可用。
未觀察到資料 - 需採取行動: Microsoft 尚未在安全開機更新資料中觀察到此裝置。 因此,無法評估此裝置的自動憑證更新,可能需要管理員採取行動。 相關指引請參見:https://aka.ms/SecureBootStatus。
事件識別碼
當安全開機簽章資料庫 (DB) 、撤銷簽章資料庫 (DBX) ,或 KEK) 更新 (金鑰交換金鑰時,韌體可能會回傳錯誤。 當發生錯誤時,會記錄一個事件,Windows 會在下一次重啟時嘗試將更新套用到韌體上。
採取行動
請連絡您的裝置製造商,判斷是否有可用的韌體更新。
事件記錄資訊
當裝置中的韌體傳回錯誤時,則會記錄事件識別碼 1795。 事件記錄項目會包含從韌體傳回的錯誤碼。
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1795 |
|
層級 |
錯誤 |
|
事件訊息文字 |
系統韌體在嘗試更新安全開機變數 <DB、DBX 或 KEK> 時,會回傳 <韌體錯誤代碼>。 此裝置特徵資訊已包含於此。裝置屬性:<屬性> BucketID:<唯一的裝置桶 ID> BucketConfidenceLevel:<桶信心等級> 欲了解更多資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2169931 |
這是一個錯誤事件,表示更新後的憑證尚未套用到裝置的韌體上。 此活動提供裝置的詳細資訊,包括裝置屬性與裝置桶 ID,有助於判斷哪些裝置仍需更新。
事件記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1801 |
|
層級 |
錯誤 |
|
事件訊息文字 |
安全開機憑證已更新,但尚未套用到裝置韌體上。 請查閱已發布的指引以完成更新並確保全面保護。 此裝置特徵資訊已包含於此。 DeviceAttributes:<屬性>BucketId:<桶 ID>BucketConfidenceLevel:<信心水準>UpdateType:<更新類型> 欲了解更多資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2301018。 |
此事件表示安全開機更新被刻意阻擋,因為裝置符合已知的韌體或硬體狀況,導致更新無法安全完成。 這些條件是基於裝置製造商回報的問題,或是透過 Microsoft 測試發現的問題,這些問題在這些情況下,更新可能失敗或可能導致更嚴重的問題。 該事件會明確指出原因,讓管理員了解為何更新未持續進行。 在此事件中,<事件類型> 可為以下之一:「DB」、「DBX」、「 (SKU) 政策更新」、「Windows UEFI CA 2023 (DB) 」、「選項 ROM CA 2023 (DB) 」、「3P UEFI CA 2023 (DB) 」、「KEK 2023」、「DBX SVN」或「撤銷 UEFI CA 2011 (DBX) 」。 關於已知問題 <識別> 及修復指引的詳細資訊,請見 https://go.microsoft.com/fwlink/?linkid=2339472。
事件記錄資訊
|
事件記錄檔 |
系統 |
|
事件識別碼 |
1802 |
|
層級 |
錯誤 |
|
事件訊息文字 |
安全開機更新 <事件類型> 因裝置已知韌體問題而被封鎖。 請向你的裝置廠商確認是否有韌體更新能解決這個問題。 此裝置特徵資訊已包含於此。DeviceAttributes:<屬性>BucketId:<桶 ID>BucketConfidenceLevel:<信心水準>SkipReason:<已知問題 ID> 欲了解更多資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2339472 |
安全開機只有在 KEK 被平台金鑰正確簽署時,才能更新金鑰交換金鑰。 裝置製造商或其他平台金鑰擁有者簽署 Microsoft KEK,並將該簽署的 KEK 提供給 Microsoft,以便將其納入 Windows 更新中。 此事件表示該裝置的 PK 簽署 KEK 未在累積更新中被發現,因此 KEK 更新無法繼續。 客戶可向裝置製造商查詢其型號是否有 PK 簽署的 KEK 狀態。 更多資訊請見 https://go.microsoft.com/fwlink/?linkid=2339472。
|
事件記錄檔 |
系統 |
|
事件識別碼 |
1803 |
|
層級 |
錯誤 |
|
事件訊息文字 |
此裝置無法找到 PK 簽署的金鑰交換金鑰 (KEK) 。 請向裝置製造商確認正確的金鑰配置。此裝置特徵資訊已包含於此。DeviceAttributes:<屬性>BucketId:<桶 ID>BucketConfidenceLevel:<信心等級> 欲了解更多資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2339472 |
這是一個資訊事件,表示裝置已套用 所需的新安全開機憑證於其韌體上。 當所有需要的憑證套用到韌體,且開機管理器更新為由「Windows UEFI CA 2023」憑證簽署的開機管理器時,此事件才會被記錄。
事件記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1808 |
|
層級 |
資訊 |
|
事件訊息文字 |
這台裝置已經更新了 Secure Boot CA/keys。 此裝置特徵資訊已包含於此。 DeviceAttributes:<屬性>BucketId:<桶 ID>BucketConfidenceLevel:<信心水準>UpdateType:<更新類型> 欲了解更多資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2301018。 |
