PowerEdge：14G、15G 和 16G 晶片組 DUP 從「稽核」變更為「強制執行」時，WDAC 未簽署錯誤

PowerEdge 15G 和 16G Intel Lewisburg C62xx 晶片組 DUP 套件版本 10.1.19485.8386 （#VGX10） 的 Windows 作業系統，作為 2023 年 12 月區塊版本 （原廠和 Web 發佈） 的一部分發佈，包含 Intel 針對 Windows Defender 應用程式控制 （WDAC） 的未簽署元件。

適用於 Windows 作業系統的 R6515/R7515 AMD Milan 晶片組驅動程式 DUP 套件 2.18.30.202 版 （#NJ9WJ） 屬於 2023 年 10 月區塊版本 （原廠和網路發佈），包含 AMD 針對 Windows Defender 應用程式控制 （WDAC） 的未簽署元件。

PowerEdge 14G Intel Lewisburg C72xx 晶片組 DUP 套件版本 10.1.18807.8279 （#K69PV） 的目標為即將到來的 2024 年 3 月區塊，包括 Intel 針對 Windows Defender 應用程式控制 （WDAC） 的未簽署元件。

WDAC 是 Microsoft 的一項新功能，最初於 12 月在晶片組驅動程式包中發佈。完整功能整合需要尚未提供的 iDRAC 更新。

WDAC 在Microsoft文章中進行了介紹：瞭解 Windows Defender 應用程式控制 （WDAC） 策略規則和文件規則 - Windows 安全性 |Microsoft學習。WDAC 的初始設置處於審核模式。

如果 WDAC 從稽核模式變更為強制模式，則在嘗試安裝 Intel 晶片組 DUP 套件 （版本 10.1.19485.8386） 時，安裝將會失敗，並出現下列錯誤：

Status        : NotSigned
StatusMessage : The file C:\Temp\intel15G\Bootstrapper.dll is not digitally signed. You cannot run this script on the current system. For more information about running scripts and setting execution policy, see about_Execution_Policies at https:/go.microsoft.com/fwlink/?LinkID=135170
Path          : C:\Temp\intel15G\Bootstrapper.dll

Status        : NotSigned
StatusMessage : The file C:\Temp\intel15G\Chipset.Bootstrapper.dll is not digitally signed. You cannot run this script on the current system. For more information about running scripts and setting execution policy, see about_Execution_Policies at https:/go.microsoft.com/fwlink/?LinkID=135170
Path          : C:\Temp\intel15G\Chipset.Bootstrapper.dll

Status        : NotSigned
StatusMessage : The file C:\Temp\intel15G\CommandLineUtility.dll is not digitally signed. You cannot run this script on the current system. For more information about running scripts and setting execution policy, see about_Execution_Policies at https:/go.microsoft.com/fwlink/?LinkID=135170
Path          : C:\Temp\intel15G\CommandLineUtility.dll

Status        : NotSigned
StatusMessage : The file C:\Temp\intel15G\Intel.Tools.dll is not digitally signed. You cannot run this script on the current system. For more information about running scripts and setting execution policy, see about_Execution_Policies at https:/go.microsoft.com/fwlink/?LinkID=135170
Path          : C:\Temp\intel15G\Intel.Tools.dll

Status        : NotSigned
StatusMessage : The file C:\Temp\intel15G\winterop.dll is not digitally signed. You cannot run this script on the current system. For more information about running scripts and setting execution policy, see  about_Execution_Policies at https:/go.microsoft.com/fwlink/?LinkID=135170
Path          : C:\Temp\intel15G\winterop.dll

Status        : NotSigned
StatusMessage : The file C:\Temp\intel15G\wix.dll is not digitally signed. You cannot run this script on the current system. For more information about running scripts and setting execution policy, see about_Execution_Policies at https:/go.microsoft.com/fwlink/?LinkID=135170
Path          : C:\Temp\intel15G\wix.dll

Windows CodeIntegrity 記錄中的錯誤會類似：

圖 1：Windows CodeIntegrity 記錄範例

採用 AMD Milan 晶片組 DUP 2.18.30.202 版套件的 PowerEdge R6515/R7515 也會遇到類似的錯誤，但叫出的檔案名稱將是未簽署的 AMD 相關檔案名稱，例如 nsExec.dll。


強制執行的 WDAC 有兩個已知的 Dell 使用案例：

• 適用 Azure 的 APEX Cloud Platform - WDAC 在所有部署上預設為強制執行
• 23H2 的市場內解決方案也預設將 WDAC 強制執行。

Dell 工程部門知道將 WDAC 設為強制執行時的問題，且正在開發更新的 DUP 套件，其中包含來自廠商正確簽署的元件。

目前的工程建議是安裝最新的晶片組 DUP 封裝（若有）。
 

更新的 15G 和 16G Intel 晶片組驅動程式 DUP 套件計畫於 2024 年 1 月初在 Web 上推廣，原廠安裝時間預定在 2024 年 6 月。
更新的 14G Intel 晶片組驅動程式 DUP 套件預計在即將到來的 2024 年 6 月區塊中提供。
更新 AMD 晶片組驅動程式 DUP 套件計畫於 2024 年 4 月區塊進行 Web 升級和原廠安裝。

WDAC 功能的 iDRAC 啟用目標在 2024 年 3 月區塊發行。

將使用 WDAC 的解決方案設定為「強制」會使用其他更新方法，直到更新的 DUP 晶片組套件可用為止。
 

當有新資訊可用時，本文會更新。