Вопрос или проблема
Я скачал Windows Server 2022 ADK и создал загрузочные носители WinPE после установки всех обновлений безопасности для операционной системы Microsoft Server – 21H2, но я по-прежнему не могу загрузить ISO на виртуальной машине, на которой я обновил загрузчик с помощью Windows UEFI CA 2023. Также я обновил Secure DBX с помощью подписи Windows Production PCA 2011.
Я создал загрузочный виртуальный диск, используя те же медиафайлы, что и в ISO, и могу загрузить VHD на виртуальной машине; аналогично, я могу загрузить USB, но он не загружается, выдает ошибку: Сертификат образа был отклонен (DBX).
Во вкладке цифровой подписи для bootmgr.efi отображается Windows Production PCA 2011 для каждого загрузочного устройства.
Документация по созданию WinPE
Документация по настройке машины с мерами по смягчению Black Lotus
Может ли кто-нибудь помочь мне создать ISO, который можно загрузить на подготовленной машине? Также я не понимаю, в чем разница между загрузкой с VHD/USB и ISO.
Ответ или решение
Проблема, с которой вы столкнулись, имеет множество аспектов, связанных с безопасной загрузкой и управлением сертификатами в UEFI. Давайте подробно рассмотрим вашу ситуацию и пути ее решения.
1. Анализ проблемы
Вы столкнулись с ошибкой, связанной с сертификатом загрузочного образа. Сообщение об ошибке "The image’s certificate was denied (DBX)" указывает на то, что загрузчик был отозван в базе данных DBX, и это влияние связано с обновлениями, которые вы применили для усиления безопасности системы в рамках уязвимости CVE-2023-24932.
Также важно отметить, что вы смогли загрузить VHD и USB-носители, что свидетельствует о том, что проблема может быть специфичной для ISO-образа.
2. Отличие загрузки с VHD/USB и ISO
Загрузка с VHD или USB предполагает использование более низкоуровневых методов взаимодействия с аппаратным обеспечением, что зачастую позволяет избежать дополнительных проверок, связанных с сертификатами. ISO-образ, в свою очередь, требует, чтобы все компоненты проходили через систему верификации подписи и правил загрузки UEFI, что делает его более чувствительным к проблемам с сертификатами.
3. Решение проблемы
3.1. Проверьте настройки UEFI
Убедитесь, что ваша система UEFI настроена должным образом. Вы можете проверить следующие параметры:
-
Secure Boot: Убедитесь, что эта опция активирована. Однако, если вы применили обновления Black Lotus, возможно, вам нужно будет добавить конкретные разрешенные сертификаты.
-
Загрузка с ISO: Проверьте, правильно ли настроены параметры для загрузки с ISO-образа в вашем виртуальном окружении. Иногда виртуальные машины требуют специфической конфигурации для поддержки UEFI и Secure Boot.
3.2. Создание ISO-образа
Чтобы создать ISO, который будет загружаться без ошибок:
-
Обновите ADK и WinPE: Убедитесь, что вы используете последнюю версию Windows ADK и его дополнения WinPE. Часто обновления включают исправления для известных проблем с совместимостью.
-
Проверка сертификатов: Изучите версию сертификатов, встраиваемых в ваш ISO. Вы можете использовать утилиту
signtool
для проверки и установки необходимых сертификатов на ваш USB или VHD.signtool verify /pa <путь_к_файлу>
-
Пересоздайте образ: Попробуйте пересоздать ISO, используя другой метод, например, через DISM:
dism /Capture-Image /ImageFile:<путь_к_ISO> /CaptureDir:C:\<путь_к_WinPE> /Name:"WinPE"
3.3. Обновление DBX
Убедитесь, что ваша база данных DBX обновлена и содержит необходимые сертификаты. Вы можете вручную добавить сертификаты, если у вас есть соответствующие файлы:
dbutil /add <путь_к_сертификату>
Если после всех этих шагов проблема не устраняется, рекомендую обратиться в службу поддержки Microsoft или специализированные форумы, где можно получить помощь от экспертов.
Заключение
Решение вашей проблемы требует комплексного подхода, связанного с управлением безопасностью и настройками виртуальной машины. Применяя предложенные шаги, вы сможете создать ISO-образ, который будет совместим с вашей системой и устранит возникшие проблемы с загрузкой. Не забывайте внимательно следить за обновлениями и документацией от Microsoft, так как изменения в безопасности могут значительно повлиять на процесс создания и загрузки образов.