win10 KB4575994 - 安全启动 DBX 吊销列表使易受攻击的模块无效

　　Windows 10 将在 2022 年春季收到更新，以解决安全启动配置模块中的潜在漏洞。安全引导 DBX 吊销列表和应用程序指南目前在 KB4575994 中可用。

　　您可能还记得 2020 年 7 月 29 日发布的安全公告 200011，其中描述了一个新的安全启动漏洞。在这种情况下，在其安全启动配置中信任 Microsoft 的第三方 UEFI 证书颁发机构的设备可能容易受到具有设备管理权限或物理访问权限的攻击者的攻击。

　　➡ 安全启动 DBX 吊销 – KB4575994

　　安全启动更新二进制文件托管在此 UEFI 网页上。

　　发布的文件如下：

　　1] 对于 x86（32 位）

　　UEFI 吊销列表文件 2] 适用于 x64（64 位）

　　UEFI 吊销列表文件 3] ARM64 的 UEFI 吊销列表文件

　　您可以通过将这些哈希添加到 Secure Boot DBX 来阻止应用程序加载。

　　注意：这里的文件是根据架构排列的。每个托管文件仅包含特定架构的应用程序的哈希，用户必须将适当的文件单独应用到他的设备。此外，您必须根据架构在接下来的几个月内安装更新。

　　注意：在尝试任何这些步骤之前，请阅读有关此漏洞的主要咨询文章。错误地执行此方法后，您的机器可能无法启动。

　　此方法仅在满足以下条件时才有效：

　　您已测试设备在安全启动配置中信任第三方统一可扩展固件接口 CA。为了这， -

　　1. 按 Windows 和 X。

　　2. 选择 - Windows PowerShell（管理员）。

　　3. 在 UAC 提示上单击是。

　　4.复制并粘贴以下命令 -

　　[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match \'Microsoft Corporation UEFI CA 2011\'

　　如果您的启动应用程序被此更新阻止，请不要依赖该应用程序。

　　更多信息

　　➡ 在 Windows 上实现 DBX 更新 –

　　验证完成并获得肯定结果后，请按照以下步骤更新 Secure Boot DBX：

　　1. 如 KB4575994 中所述，从此 UEFI 网页下载适用于您的平台的相应 UEFI 吊销列表文件 (Dbxupdate.bin)。

　　2. 您必须将 Dbxupdate.bin 文件划分为基本组件才能使用 PowerShell 命令应用它们。为此，请按照下列步骤操作：

　　某种。导航到 PowerShell 库网页并下载脚本。

　　湾。在 Dbxupdate.bin 文件上运行以下 PowerShell 脚本 -

　　SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin

　　C. 验证该命令是否创建了以下文件：

　　Content.bin – 更新内容

　　Signature.p7 - 授权更新过程的签名

　　3. 在管理 PowerShell 会话中，执行 Set-SecureBootUefi cmdlet 以应用 DBX 更新：

　　Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

　　预期产出

　　4. 重新启动机器以执行更新安装过程。

　　要了解有关安全引导配置命令以及如何将它们用于 DBX 更新的更多信息，请阅读 Set-Secure。

　　➡ 验证更新是否成功

　　成功完成上一部分中的步骤并重新启动电脑后，执行这些步骤以确保应用更新。验证成功后，您的系统将不再受到 GRUB 漏洞的影响。

　　1. 到 GitHub 网页下载 DBX 更新验证脚本

　　2. 从压缩文件中提取脚本和二进制文件。

　　3. 在包含扩展脚本和二进制文件的文件夹中执行以下 PowerShell 脚本以验证 DBX 更新

　　检查-Dbx.ps1 .\dbx-2021-April.bin\'

　　注意：如果您在此吊销列表文件存档中应用了与 2020 年 7 月或 2020 年 10 月版本匹配的 DBX 更新，请改为运行以下相应命令：

　　检查-Dbx.ps1 \'.\dbx-2020-July.bin\'

　　检查-Dbx.ps1 \'.\dbx-2020-October.bin\'

　　4. 最后，验证输出是否符合预期结果：

　　兼容版本 –

　　对于 32 位

　　适用于 x64 位的 Windows 10

　　Windows 10 Windows 10 2004（32 位）

　　适用

　　适用于 x64 位的 Windows 10 2004

　　在 32 位

　　适用于 ARM64 的 Windows 10 1909

　　Windows 10 1909 用于 x64 的 Windows 10 1909 位

　　适用于 32 位的 Windows 10 1903

　　适用于 ARM64 的 Windows 10 1903

　　适用于 x64 位的 Windows 10 1903

　　适用于 32 位的 Windows 10 1809

　　适用于 ARM64 的 Windows 10 1809

　　适用于 x64 位的 Windows 10 1809

　　适用于 32 位的 Windows 10 1803

　　适用于 ARM64 的 Windows 10 1803

　　适用于 x64 位的 Windows 10 1803

　　适用于 32 位的 Windows 10 1709

　　适用于 ARM64 的 Windows 10 1709

　　适用于 x64 位的 Windows 10 1709

　　适用于 32 位的 Windows 10 1607

　　适用于 x64 位的 Windows 10 1607

　　Windows 8.1 32 位

　　Windows 8.1 x64 位

　　Windows RT 8.1

　　Windows Server，2004（服务器核心安装）

　　Windows Server，1909（服务器核心安装）

　　Windows Server，1903（服务器核心安装）

　　Windows 服务器 2019

　　Windows Server 2019（服务器核心安装）

　　Windows 服务器 2016

　　Windows Server 2016（服务器核心安装）

　　Windows 服务器 2012 R2

　　Windows Server 2012 R2（服务器核心安装）

　　Windows 服务器 2012

　　Windows Server 2012（服务器核心安装）