PowerEdge: 14G-, 15G- og 16G-brikkesett DUP WDAC signerte ikke feil ved endring fra revisjon til håndheving
Summary: PowerEdge 15G og 16G Intel Lewisburg C62xx-brikkesettet Dell Update Package (DUP) versjon 10.1.19485.8386 for Windows-operativsystem, utgitt som en del av desember 2023-utgivelsen (fabrikk- og nettpublisering) inkluderer ikke-signerte komponenter fra Intel for Windows Defender Application Control (WDAC). PowerEdge R6515/R7515 AMD Milan Chipset DUP versjon 2.18.30.202 (oktober 2023) ble også funnet å inkludere ikke-signerte komponenter fra AMD for WDAC. PowerEdge 14G Intel Platform Chipset DUP-pakke versjon 10.1.18807.8279 (#K69PV) som er målrettet for den kommende mars 2024-blokken, har vist seg å ha samme problem med WDAC (håndhevet modus) da den inkluderer ikke-signerte komponenter fra Intel. ...
Symptoms
PowerEdge 15G og 16G Intel Lewisburg C62xx brikkesett DUP-pakke versjon 10.1.19485.8386 ( #VGX10) for Windows-operativsystemet, utgitt som en del av blokkutgivelsen i desember 2023 (fabrikk- og nettpublisering), inkluderer ikke-signerte komponenter fra Intel for Windows Defender Application Control (WDAC).
R6515/R7515 AMD Milan-brikkesettdriveren DUP-pakke versjon 2.18.30.202 (#NJ9WJ) for Windows-operativsystemet som var en del av oktober 2023-blokkutgivelsen (fabrikk- og nettpublisering) inkluderer ikke-signerte komponenter fra AMD for Windows Defender Application Control (WDAC).
PowerEdge 14G Intel Lewisburg C72xx Chipset DUP-pakke versjon 10.1.18807.8279 ( #K69PV) målrettet for den kommende mars 2024-blokken inkluderer ikke-signerte komponenter fra Intel for Windows Defender Application Control (WDAC).
WDAC er en ny funksjon fra Microsoft som opprinnelig ble utgitt i brikkesettdriverpakken i desember. Full funksjonsintegrering krever iDRAC-oppdateringer som ikke er tilgjengelige ennå.
WDAC er beskrevet i Microsoft-artikkelen: Forstå policyregler og filregler for Windows Defender Application Control (WDAC) – Windows-sikkerhet | Microsoft Learn
Hvis en WDAC endres fra revisjonsmodus til håndhevet modus når du prøver å installere DUP-pakken for Intel-brikkesett (versjon 10.1.19485.8386), vil installasjonen mislykkes med følgende feil:
Status : NotSigned StatusMessage : The file C:\Temp\intel15G\Bootstrapper.dll is not digitally signed. You cannot run this script on the current system. For more information about running scripts and setting execution policy, see about_Execution_Policies at https:/go.microsoft.com/fwlink/?LinkID=135170
Feil i Windows CodeIntegrity-loggen vil ligne på:
Figur 1: Loggeksempel på logg for Windows-kode med integritet
PowerEdge R6515/R7515 med AMD Milan-brikkesett DUP versjon 2.18.30.202-pakken støter på lignende feil, men filnavnene som kalles ut, vil være de AMD-relaterte filnavnene som ikke ble signert, for eksempel nsExec.dll.
Det finnes to kjente brukstilfeller fra Dell for WDAC som håndhevet:
-
APEX Cloud Platform for Azure – WDAC som håndheves som standard for alle distribusjoner
-
In-Market Solution med 23H2 har også WDAC som håndhevet som standard.
Cause
Resolution
Dells teknikere er klar over problemet når de setter WDAC til håndhevet, og arbeider med en oppdatert DUP-pakke med riktig signerte komponenter fra leverandøren.
Den nåværende tekniske anbefalingen er å installere de oppdaterte brikkesett-DUP-pakkene når de er tilgjengelige.
Den oppdaterte 15G og 16G Intel Chipset-driveren DUP-pakken er planlagt å bli nettpromotert tidlig i januar 2024 med en fabrikkinstallasjon rettet mot juni-blokken 2024.
Den oppdaterte 14G Intel Chipset-driveren DUP-pakken er planlagt å være i den kommende juniblokken 2024.
Oppdateringen AMD Chipset driver DUP-pakken er planlagt å bli webpromotert og fabrikkinstallert i april 2024 blokk.
iDRAC-aktivering av WDAC-funksjonen er målrettet for en utgivelse i mars 2024.
Løsninger som bruker WDAC konfigurert til å "håndheves", bruker andre oppdateringsmetoder til de oppdaterte DUP-brikkesettpakkene er tilgjengelige.
Denne artikkelen oppdateres etter hvert som ny informasjon blir tilgjengelig.