Вопрос или проблема
При использовании последней версии ADK (10.1.26100.1), в которой обновление безопасности для уязвимости Black Lotus, когда я создавал образ WinPE, я заметил, что в образе все еще подписан сертификат Microsoft Windows Production PCA 2011. Где я ошибся в своем понимании? Я думал, что в образе будет новый сертификат Windows UEFI CA 2023, или он сможет пройти изменения с помощью bcdboot.exe, чтобы в дальнейшем иметь последний сертификат, как указано в статье базы знаний?
Что я протестировал:
Я создал WinPE с помощью ADK и просто заменил файл WinPE bootx64.efi в директории EFI\Boot\ на тот, который имеет сертификат Windows UEFI CA 2023.
Я думал, что BCDBOOT сделает это, потому что я скопировал ту же команду, что была в статье базы знаний. Однако при тестировании возникла ошибка, сообщающая, что bcdboot.exe не имеет флага /bootex. Может быть, это связано с версией PowerShell или версией bcdboot.exe?
Ответ или решение
Когда вы работаете с последней версией Windows Assessment and Deployment Kit (ADK) 10.1.26100.1 и используете ее для создания образа WinPE, важно понимать, как сертификаты и процессы, связанные с ними, влияют на конечное изображение. В вашем случае, образ WinPE по-прежнему подписан сертификатом "Microsoft Windows Production PCA 2011", несмотря на установку обновления безопасности для уязвимости Black Lotus и ожидание, что он будет подписан новым сертификатом "Windows UEFI CA 2023".
Анализ проблемы
-
Понимание сертификатов: Сертификаты предназначены для проверки подлинности и безопасности кода. Ваша задача состояла в том, чтобы убедиться, что ваш образ WinPE использует последний сертификат, который обеспечит безопасность в рамках текущих стандартов Microsoft.
-
Процесс создания образа WinPE: Когда вы создаете WinPE-образ с помощью ADK, важно, чтобы все компоненты были правильно учтены, включая сертификаты. Если вы используете стандартную процедуру создания WinPE, образ обычно будет подписан старым сертификатом, пока вы не обновите его самостоятельно.
-
Команда BCDBOOT: Указание на использование
bcdboot.exeдля изменения загрузочных файлов и привязки к новому сертификату имеет смысл. Однако важно отметить, что команда, которую вы пытались использовать, может быть частью более нового функционала, который не поддерживается в вашей версииbcdboot.exe.
Решение
-
Использование нового сертификата: Если вы хотите, чтобы ваш образ WinPE использовал новый сертификат, необходимо вручную заменить файл
bootx64.efi, как вы и сделали. Регулярно следите за документацией Microsoft, так как новые версии ADK могут подразумевать изменения в процедурах и требованиях. -
Проверка командной строки: Ошибка, связанная с отсутствием флага
/bootex, может быть следствием несовпадения версии PowerShell илиbcdboot.exe. Проверьте, что вы используете актуальные версии оных, и смотрите руководства по конкретной версии, так как флаги и возможности могут варьироваться. -
Обновление инструментов: Рекомендую обновить вашу версию ADK и инструментов командной строки, таких как PowerShell и
bcdboot.exe, чтобы гарантировать, что все команды и функции доступны для корректного выполнения.
Заключение
Важно понимать, что создание образов с использованием ADK требует точного соблюдения всех шагов, особенно когда речь идет о безопасности. Поддерживайте свои инструменты и версии актуальными, проверяйте документацию и спецификации, чтобы избежать подобных недоразумений в будущем. Если у вас есть дополнительные вопросы или требуется дальнейшая помощь, пожалуйста, обращайтесь.