摘要
為了協助保護 Windows 裝置安全,Microsoft 會將易受攻擊的開機載入器模組新增至 [安全開機 DBX] 撤銷清單 (在系統 UEFI 型韌體中維護),以使易受攻擊模組失效。 當更新的 DBX 撤銷清單安裝在裝置上時,Windows 會檢查系統是否處於可將 DBX 更新成功套用到韌體的狀態,如果偵測到問題,則會回報事件記錄檔錯誤。
其他相關資訊
當系統在裝置上偵測到其中一個易受攻擊模組時,會建立事件記錄項目來警示該情況,並包含所偵測之模組名稱。 事件記錄項目包含類似下列內容的詳細資料:
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
<事件識別碼編號> |
|
層級 |
錯誤 |
|
事件訊息文字 |
<訊息文字> |
事件識別碼
當系統磁碟機上的 BitLocker 以將 [安全開機 DBX] 清單套用到韌體的方式進行設定,並導致 BitLocker 進入修復模式時,則會記錄此事件。 解決方法是暫時暫停 BitLocker 進行 2 次的重新啟動循環,讓系統可以安裝更新。
採取行動
若要解決此問題,請從系統管理員命令提示字元執行下列命令,暫停 BitLocker 進行 2 次的重新啟動循環:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
然後,重新啟動裝置兩次以恢復 BitLocker 保護。
若要確保已恢復 BitLocker 保護,請在重新啟動兩次之後執行下列命令:
-
Manage-bde –Protectors –enable %systemdrive%
事件記錄資訊
當系統磁碟機上的 BitLocker 設定在套用 [安全性更新時] 導致系統進入 BitLocker 修復,則會記錄事件識別碼 1032。
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1032 |
|
層級 |
錯誤 |
|
事件訊息文字 |
未套用安全開機更新,因為已知與目前的 BitLocker 設定不相容。 |
當更新的 DBX 撤銷清單安裝在裝置上時,Windows 會檢查系統是否要依據其中一個易受攻擊模組來啟動裝置。 如果偵測到其中一個易受攻擊模組,則會延遲對韌體中的 DBX 清單更新。 每次系統重新啟動時,都會重新掃描裝置以判斷是否已更新易受攻擊模組,以及是否可以安全地套用更新的 DBX 清單。
採取行動
在大多數情況下,易受攻擊模組的廠商應該會有可解決該弱點的更新版本。 請連絡您的廠商以取得更新。
事件記錄資訊
當系統在您的裝置上偵測到一個易受攻擊的開機載入器遭此更新撤銷時,則會記錄事件識別碼 1033。
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1033 |
|
層級 |
錯誤 |
|
事件訊息文字 |
在 EFI 磁碟分割中偵測到可能撤銷的開機管理員。 如需詳細資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2169931 |
|
事件資料 BootMgr |
<易受攻擊檔案的路徑和名稱> |
當安全開機 DBX 變數更新成功時,會記錄此事件。 DBX 變數是用來不信任安全開機組件,通常用於封鎖易受攻擊或惡意的安全開機組件,例如開機管理程式以及用來簽署開機管理程序憑證。
事件 1034 表示正在將標準 DBX 撤銷套用至韌體,
事件記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1034 |
|
層級 |
資訊 |
|
事件訊息文字 |
已成功套用安全開機 Dbx 更新 |
當安全開機 DB 變數更新成功時,會記錄此事件。 DB 變數是用來新增安全開機組件的信任,通常用來信任用來簽署開機管理員的憑證。
事件記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1036 |
|
層級 |
資訊 |
|
事件訊息文字 |
已成功套用安全開機 Db 更新 |
當 Microsoft Windows Production PCA 2011 憑證新增至 UEFI 安全開機禁止簽章資料庫 (DBX) 時,就會記錄此事件。 發生這種情況時,任何使用此憑證簽署的開機應用程式在啟動裝置時將不再受到信任。 這包括與系統復原媒體、PXE 開機應用程式以及使用此憑證所簽署之開機應用程式的任何其他媒體搭配使用的任何開機應用程式。
錯誤記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1037 |
|
層級 |
資訊 |
|
錯誤訊息文字 |
已成功套用安全開機 Dbx 更新以撤銷 Microsoft Windows Production PCA 2011。 |
當更新的 DBX 撤銷清單套用至韌體時,韌體可能會傳回錯誤。 發生錯誤時,會記錄事件,而 Windows 會嘗試在下一次系統重新開機時將 DBX 清單套用到韌體。
採取行動
請連絡您的裝置製造商,判斷是否有可用的韌體更新。
事件記錄資訊
當裝置中的韌體傳回錯誤時,則會記錄事件識別碼 1795。 事件記錄項目會包含從韌體傳回的錯誤碼。
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1795 |
|
層級 |
錯誤 |
|
事件訊息文字 |
系統韌體在嘗試更新安全開機變數時,會傳回錯誤 <韌體錯誤碼>。 如需詳細資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2169931 |
當更新的 DBX 撤銷清單套用至裝置,且發生上述事件未涵蓋的錯誤時,會記錄事件,而 Windows 會嘗試在下一次系統重新開機時,將 DBX 清單套用至韌體。
事件記錄資訊
發生非預期的錯誤時,會發生事件識別碼 1796。 事件記錄項目會包含非預期錯誤的錯誤碼。
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1796 |
|
層級 |
錯誤 |
|
事件訊息文字 |
安全開機更新無法更新具有錯誤 <error code> 的安全開機變數。 如需詳細資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2169931 |
在嘗試將 Microsoft Windows Production PCA 2011 憑證新增至 UEFI 安全開機禁止簽章資料庫 (DBX) 期間,會記錄此事件。 在將此憑證新增至 DBX 之前,系統會先檢查,以確保 Windows UEFI CA 2023 憑證已新增至 UEFI 安全開機簽章資料庫 (DB)。 如果 Windows UEFI CA 2023 尚未新增至 DB,Windows 將會刻意使 DBX 更新失敗。 這樣做可確保裝置至少信任這兩個憑證的其中之一,這可確保裝置將信任 Microsoft 簽署的開機應用程式。 將 Microsoft Windows Production PCA 2011 新增至 DBX 時,系統會進行兩項檢查,以確保裝置繼續順利開機: 1) 確認 Windows UEFI CA 2023 已新增至 DB,2) 確認 Microsoft Windows Production PCA 2011 憑證未簽署預設開機應用程式。
事件記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1797 |
|
層級 |
錯誤 |
|
錯誤訊息文字 |
安全開機 Dbx 更新無法撤銷 Microsoft Windows Production PCA 2011,因為 Windows UEFI CA 2023 憑證不在 DB 中。 |
在嘗試將 Microsoft Windows Production PCA 2011 憑證新增至 UEFI 安全開機禁止簽章資料庫 (DBX) 期間,會記錄此事件。 在將此憑證新增至 DBX 之前,系統會先檢查,以確保 Microsoft Windows Production PCA 2011 簽署憑證未簽署預設開機應用程式。 如果預設開機應用程式是由 Microsoft Windows Production PCA 2011 簽署憑證所簽署,則 Windows 將會刻意使 DBX 更新失敗。 將 Microsoft Windows Production PCA 2011 新增至 DBX 時,系統會進行兩項檢查,以確保裝置繼續順利開機: 1) 確認 Windows UEFI CA 2023 已新增至 DB,2) 確認 Microsoft Windows Production PCA 2011 憑證未簽署預設開機應用程式。
事件記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1798 |
|
層級 |
錯誤 |
|
錯誤訊息文字 |
安全開機 Dbx 更新無法撤銷 Microsoft Windows Production PCA 2011,因為開機管理員未使用 Windows UEFI CA 2023 憑證簽署 |
當開機管理員套用到由 Windows UEFI CA 2023 憑證簽署的系統時,就會記錄此事件
事件記錄資訊
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1799 |
|
層級 |
資訊 |
|
錯誤訊息文字 |
已成功安裝使用 Windows UEFI CA 2023 簽署的開機管理器 |
