PowerEdge: 14G-, 15G- og 16G-chipset DUP WDAC er ikke signeret Fejl, når de ændres fra revision til gennemtvungen
Summary: PowerEdge 15G- og 16G-chipsættet Dell Update Package (DUP) version 10.1.19485.8386 til Windows-operativsystemet, der blev udgivet som en del af december 2023-versionen (fabriks- og webopslag), omfatter ikke-signerede komponenter fra Intel til Windows Defender Application Control (WDAC). PowerEdge R6515/R7515 AMD Milan-chipset DUP-version 2.18.30.202 (oktober 2023) viste sig også at omfatte ikke-signerede komponenter fra AMD til WDAC. PowerEdge 14G Intel-platformschipset DUP-pakkeversion 10.1.18807.8279 (#K69PV), der er beregnet til den kommende marts 2024-blok, har vist sig at have samme problem med WDAC (tvungen tilstand), da den indeholder ikke-signerede komponenter fra Intel. ...
Symptoms
PowerEdge 15G- og 16G Intel Lewisburg C62xx-chipset DUP-pakkeversion 10.1.19485.8386 ( #VGX10) til Windows-operativsystemet, der blev udgivet som en del af blokversionen fra december 2023 (fabriks- og webopslag), omfatter ikke-signerede komponenter fra Intel til Windows Defender Application Control (WDAC).
R6515/R7515 AMD Milan-chipsetdriverens DUP-pakkeversion 2.18.30.202 (#NJ9WJ) til Windows-operativsystemet, der var en del af blokversionen fra oktober 2023 (fabriks- og webopslag), indeholder ikke-signerede komponenter fra AMD til Windows Defender Application Control (WDAC).
PowerEdge 14G Intel Lewisburg C72xx-chipset DUP-pakkeversion 10.1.18807.8279 ( #K69PV), der er målrettet mod den kommende blok i marts 2024, omfatter ikke-signerede komponenter fra Intel til Windows Defender Application Control (WDAC).
WDAC er en ny funktion fra Microsoft, der oprindeligt blev udgivet i chipsetdriverpakken i december. Fuld funktionsintegration kræver iDRAC-opdateringer, som endnu ikke er tilgængelige.
WDAC er beskrevet i Microsoft-artiklen: Forstå WDAC-politikregler (Windows Defender Application Control) og filregler - Windows-sikkerhed | Microsoft Learn
Hvis en WDAC ændres fra overvågningstilstand til tvungen tilstand, vil installationen mislykkes med følgende fejl, når du forsøger at installere Intel chipset DUP-pakken (version 10.1.19485.8386):
Status : NotSigned StatusMessage : The file C:\Temp\intel15G\Bootstrapper.dll is not digitally signed. You cannot run this script on the current system. For more information about running scripts and setting execution policy, see about_Execution_Policies at https:/go.microsoft.com/fwlink/?LinkID=135170
Fejl i Windows CodeIntegrity-loggen svarer til:
Figur 1: Eksempel på Windows CodeIntegrity-log
PowerEdge R6515/R7515 med AMD Milan-chipset DUP-version 2.18.30.202-pakken støder på lignende fejl, men de filnavne, der vises, vil være AMD-relaterede filnavne, der ikke er signeret – f.eks. nsExec.dll.
Der er to kendte Dell-brugsscenarier for WDAC som håndhævet:
-
APEX Cloud Platform for Azure – WDAC som håndhævet som standard på alle implementeringer
-
In-Market Solution med 23H2 har også WDAC som håndhævet som standard.
Cause
Resolution
Dell Engineering er opmærksom på problemet, når WDAC indstilles til gennemtvingelse, og arbejder på en opdateret DUP-pakke med korrekt signerede komponenter fra vores leverandør.
Den aktuelle tekniske anbefaling er at installere de opdaterede chipset DUP-pakker, når de er tilgængelige.
Den opdaterede 15G og 16G Intel Chipset-driver DUP-pakke er planlagt til at blive webpromoveret i begyndelsen af januar 2024 med en fabriksinstallation målrettet til juniblok 2024.
Den opdaterede 14G Intel Chipset-driver DUP-pakke er planlagt til at være i den kommende juni-blok 2024.
Opdateringen AMD Chipset-driver DUP-pakken er planlagt til at blive webpromoveret og fabriksinstalleret i april 2024-blokken.
IDRAC-aktiveringen af WDAC-funktionen er målrettet til en martsblok 2024-udgivelse.
Løsninger, der bruger WDAC konfigureret til at "tvinge", bruger andre opdateringsmetoder, indtil de opdaterede DUP-chipsetpakker er tilgængelige.
Denne artikel opdateres, efterhånden som nye oplysninger bliver tilgængelige.