مهم يجب تطبيق تحديث أمان Windows الذي تم إصداره في 9 يوليو 2024 أو بعده، كجزء من عملية التحديث الشهرية العادية.
تنطبق هذه المقالة على المؤسسات التي يجب أن تبدأ في تقييم عوامل التخفيف لتجاوز Secure Boot الذي تم الكشف عنه بشكل عام والذي تم الاستفادة من قبل BlackLotus UEFI bootkit. بالإضافة إلى ذلك، قد ترغب في اتخاذ موقف أمني استباقي أو البدء في التحضير للإطلاق. لاحظ أن هذه البرامج الضارة تتطلب وصولا ماديا أو إداريا إلى الجهاز.
أنذر بعد تمكين التخفيف من هذه المشكلة على جهاز، ما يعني أنه تم تطبيق عوامل التخفيف، لا يمكن إرجاعها إذا استمر استخدام Secure Boot على هذا الجهاز. حتى إعادة تنسيق القرص لن يزيل الإبطالات إذا تم تطبيقها بالفعل. يرجى الانتباه إلى جميع الآثار المحتملة والاختبار بدقة قبل تطبيق الإبطالات الموضحة في هذه المقالة على جهازك.
في هذه المقالة
الملخص
توضح هذه المقالة الحماية من تجاوز ميزة أمان Secure Boot التي تم الكشف عنها بشكل عام والتي تستخدم Bootkit BlackLotus UEFI الذي تم تعقبه بواسطة CVE-2023-24932، وكيفية تمكين عوامل التخفيف، والتوجيهات على الوسائط القابلة للتمهيد. bootkit هو برنامج ضار تم تصميمه للتحميل في أقرب وقت ممكن في تسلسل تمهيد الأجهزة للتحكم في بدء تشغيل نظام التشغيل.
توصي Microsoft بالتمهيد الآمن لإنشاء مسار آمن وموثوق به من واجهة البرامج الثابتة الموسعة الموحدة (UEFI) من خلال تسلسل التمهيد الموثوق به ل Windows kernel. يساعد التمهيد الآمن على منع البرامج الضارة bootkit في تسلسل التمهيد. يؤدي تعطيل التمهيد الآمن إلى تعريض الجهاز لخطر الإصابة بالبرامج الضارة bootkit. يتطلب إصلاح تجاوز التمهيد الآمن الموضح في CVE-2023-24932 إبطال مديري التمهيد. قد يتسبب هذا في حدوث مشكلات لبعض تكوينات تمهيد الجهاز.
يتم تضمين عمليات التخفيف من المخاطر مقابل تجاوز التمهيد الآمن المفصلة في CVE-2023-24932 في تحديثات أمان Windows التي تم إصدارها في 9 يوليو 2024 أو بعده. ومع ذلك، لا يتم تمكين عوامل التخفيف هذه بشكل افتراضي. مع هذه التحديثات، نوصي بالبدء في تقييم هذه التغييرات داخل بيئتك. يتم وصف الجدول الزمني الكامل في قسم توقيت التحديثات .
قبل تمكين عوامل التخفيف هذه، يجب عليك مراجعة التفاصيل الواردة في هذه المقالة بدقة وتحديد ما إذا كان عليك تمكين عوامل التخفيف أو انتظار تحديث مستقبلي من Microsoft. إذا اخترت تمكين عوامل التخفيف، فيجب عليك التحقق من تحديث أجهزتك وجاهزتها، وفهم المخاطر الموضحة في هذه المقالة.
اتخاذ إجراء
لهذا الإصدار، يجب اتباع الخطوات التالية: الخطوة 1: تثبيت تحديث أمان Windows الذي تم إصداره في 9 يوليو 2024 أو بعده على جميع الإصدارات المدعومة. الخطوة 2: تقييم التغييرات وكيفية تأثيرها على بيئتك. الخطوة 3: فرض التغييرات. |
نطاق التأثير
تتأثر جميع أجهزة Windows التي تم تمكين حماية التمهيد الآمن بها ب BlackLotus bootkit. تتوفر عوامل التخفيف للإصدارات المدعومة من Windows. للحصول على القائمة الكاملة، يرجى مراجعة CVE-2023-24932.
فهم المخاطر
مخاطر البرامج الضارة: لكي يكون استغلال bootkit BlackLotus UEFI الموضح في هذه المقالة ممكنا، يجب على المهاجم الحصول على امتيازات إدارية على جهاز أو الوصول الفعلي إلى الجهاز. يمكن القيام بذلك عن طريق الوصول إلى الجهاز فعليا أو عن بعد، مثل استخدام برنامج hypervisor للوصول إلى الأجهزة الظاهرية/السحابة. عادة ما يستخدم المهاجم هذه الثغرة الأمنية لمتابعة التحكم في جهاز يمكنه الوصول إليه بالفعل وربما التلاعب به. عوامل التخفيف في هذه المقالة وقائية وليست تصحيحية. إذا تم اختراق جهازك بالفعل، فاتصل بموفر الأمان للحصول على المساعدة.
وسائط الاسترداد: إذا واجهت مشكلة في الجهاز بعد تطبيق عوامل التخفيف وأصبح الجهاز غير قابل للتمثيل، فقد لا تتمكن من بدء تشغيل جهازك أو استرداده من الوسائط الموجودة. ستحتاج وسائط الاسترداد أو التثبيت إلى تحديث بحيث تعمل مع جهاز تم تطبيق عوامل التخفيف عليه.
مشكلات البرامج الثابتة: عندما يطبق Windows عوامل التخفيف الموضحة في هذه المقالة، يجب أن يعتمد على البرنامج الثابت UEFI للجهاز لتحديث قيم التمهيد الآمن (يتم تطبيق التحديثات على مفتاح قاعدة البيانات (DB) ومفتاح التوقيع المحظور (DBX)). في بعض الحالات، لدينا خبرة في الأجهزة التي تفشل في التحديثات. نحن نعمل مع الشركات المصنعة للأجهزة لاختبار هذه التحديثات الرئيسية في أكبر عدد ممكن من الأجهزة.
ملاحظه يرجى أولا اختبار عوامل التخفيف هذه على جهاز واحد لكل فئة جهاز في بيئتك للكشف عن مشكلات البرامج الثابتة المحتملة. لا تقم بالنشر على نطاق واسع قبل تأكيد تقييم جميع فئات الأجهزة في بيئتك.
استرداد BitLocker: قد تنتقل بعض الأجهزة إلى استرداد BitLocker. تأكد من الاحتفاظ بنسخة من مفتاح استرداد BitLocker قبل تمكين عوامل التخفيف.
المشكلات المعروفة
مشكلات البرامج الثابتة:لن تقوم جميع البرامج الثابتة للجهاز بتحديث Secure Boot DB أو DBX بنجاح. في الحالات التي نعرفها، أبلغنا الشركة المصنعة للجهاز بالقضية. راجع KB5016061: أحداث تحديث متغير التمهيد الآمن وDBX للحصول على تفاصيل حول الأحداث المسجلة. يرجى الاتصال بالشركة المصنعة للجهاز للحصول على تحديثات البرامج الثابتة. إذا لم يكن الجهاز في الدعم، توصي Microsoft بترقية الجهاز.
مشكلات البرامج الثابتة المعروفة:
ملاحظه لا تؤثر المشكلات المعروفة التالية على، ولن تمنع تثبيت تحديثات 9 يوليو 2024. في معظم الحالات، لن تنطبق عوامل التخفيف عند وجود مشكلات معروفة. راجع التفاصيل التي تم استدعاؤها في كل مشكلة معروفة.
-
HP: حددت HP مشكلة في تثبيت التخفيف من المخاطر على أجهزة كمبيوتر محطة عمل HP Z4G4 وستطرح البرنامج الثابت Z4G4 UEFI المحدث (BIOS) في الأسابيع القادمة. لضمان التثبيت الناجح للتخفيف، سيتم حظره على محطات عمل سطح المكتب حتى يتوفر التحديث. يجب على العملاء دائما التحديث إلى أحدث نظام BIOS قبل تطبيق التخفيف.
-
أجهزة HP مع أمان البدء المؤكد: تحتاج هذه الأجهزة إلى آخر تحديثات البرامج الثابتة من HP لتثبيت عوامل التخفيف. يتم حظر عوامل التخفيف حتى يتم تحديث البرنامج الثابت. تثبيت آخر تحديث للبرامج الثابتة من صفحة دعم HPs — برامج تشغيل HP الرسمية وتنزيل البرامج | دعم HP.
-
الأجهزة المستندة إلى Arm64: يتم حظر عوامل التخفيف بسبب مشكلات البرامج الثابتة المعروفة ل UEFI مع الأجهزة المستندة إلى Qualcomm. تعمل Microsoft مع Qualcomm لمعالجة هذه المشكلة. سيوفر Qualcomm الإصلاح لمصنعي الأجهزة. اتصل بالشركة المصنعة للجهاز لتحديد ما إذا كان هناك إصلاح لهذه المشكلة متوفرا. ستضيف Microsoft الكشف للسماح بتطبيق عوامل التخفيف على الأجهزة عند اكتشاف البرنامج الثابت الثابت. إذا لم يكن جهازك المستند إلى Arm64 يحتوي على برنامج Qualcomm الثابت، فكون مفتاح التسجيل التالي لتمكين عوامل التخفيف.
مفتاح التسجيل الفرعي
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
اسم قيمة المفتاح
SkipDeviceCheck
نوع البيانات
REG_DWORD
بيانات
1
-
تفاح:تدعم أجهزة كمبيوتر Mac التي تحتوي على Apple T2 Security Chip التمهيد الآمن. ومع ذلك، لا يتوفر تحديث المتغيرات المتعلقة بأمان UEFI إلا كجزء من تحديثات macOS. من المتوقع أن يرى مستخدمو Boot Camp إدخال سجل أحداث معرف الحدث 1795 في Windows المتعلق بهذه المتغيرات. لمزيد من المعلومات حول إدخال السجل هذا، راجع KB5016061: أحداث تحديث متغير التمهيد الآمن DB وDBX.
-
VMware:في بيئات الظاهرية المستندة إلى VMware، سيفشل الجهاز الظاهري الذي يستخدم معالجا يستند إلى x86 مع تمكين التمهيد الآمن في التمهيد، في التمهيد بعد تطبيق عوامل التخفيف. تنسق Microsoft مع VMware لمعالجة هذه المشكلة.
-
الأنظمة المستندة إلى TPM 2.0: لا يمكن لهذه الأنظمة التي تقوم بتشغيل Windows Server 2012 وWindows Server 2012 R2 توزيع عوامل التخفيف التي تم إصدارها في تحديث الأمان في 9 يوليو 2024 بسبب مشكلات التوافق المعروفة مع قياسات TPM. ستحظر تحديثات الأمان في 9 يوليو 2024 عمليات التخفيف من المخاطر #2 (مدير التمهيد) #3 (تحديث DBX) على الأنظمة المتأثرة.tpm.msc. في الجزء السفلي الأيسر من الجزء الأوسط ضمن معلومات الشركة المصنعة ل TPM، يجب أن ترى قيمة لإصدار المواصفات.
تدرك Microsoft المشكلة وسيتم إصدار تحديث في المستقبل لإلغاء حظر الأنظمة المستندة إلى TPM 2.0. للتحقق من إصدار TPM، انقر بزر الماوس الأيمن فوق بدء، وانقر فوق تشغيل، ثم اكتب -
تشفير نقطة نهاية Symantec: لا يمكن تطبيق عمليات تخفيف التمهيد الآمن على الأنظمة التي قامت بتثبيت تشفير نقطة نهاية Symantec. Microsoft وSymantec على دراية بالقضية وسيتم معالجتها في التحديث المستقبلي.
إرشادات هذا الإصدار
لهذا الإصدار، اتبع هاتين الخطوتين.
الخطوة 1: تثبيت تحديث CVE-2023-24932 ولكن لا يتم تمكينها بشكل افتراضي. يجب أن تكمل جميع أجهزة Windows هذه الخطوة سواء كنت تخطط لتوزيع عوامل التخفيف أم لا.
أمان Windows قم بتثبيت تحديث الأمان الشهري ل Windows الذي تم إصداره في 9 يوليو 2024 أو بعده على أجهزة Windows المدعومة. تتضمن هذه التحديثات عوامل التخفيف من المخاطر لالخطوة 2: تقييم التغييرات
نحن نشجعك على القيام بما يلي:-
فهم أول اثنين من عوامل التخفيف التي تسمح بتحديث Secure Boot DB وتحديث مدير التمهيد.
-
راجع الجدول الزمني المحدث.
-
ابدأ اختبار أول اثنين من عوامل التخفيف ضد الأجهزة التمثيلية من بيئتك.
-
ابدأ التخطيط للتوزيع.
الخطوة 3: فرض التغييرات
نحن نشجعك على فهم المخاطر التي تم استدعاؤها في قسم فهم المخاطر.
-
فهم تأثير الاسترداد والوسائط الأخرى القابلة للتمهيد.
-
ابدأ اختبار التخفيف الثالث الذي لا يثق في شهادة التوقيع المستخدمة لجميع مديري تمهيد Windows السابقين.
إرشادات توزيع التخفيف من المخاطر
قبل اتباع هذه الخطوات لتطبيق عوامل التخفيف، قم بتثبيت تحديث خدمة Windows الشهري الذي تم إصداره في 9 يوليو 2024 أو بعده على أجهزة Windows المدعومة. يتضمن هذا التحديث عوامل التخفيف من المخاطر ل CVE-2023-24932 ولكن لا يتم تمكينها بشكل افتراضي. يجب أن تكمل جميع أجهزة Windows هذه الخطوة بغض النظر عن خطتك لتمكين عوامل التخفيف من المخاطر.
ملاحظه إذا كنت تستخدم BitLocker، فتأكد من نسخ مفتاح استرداد BitLocker احتياطيا. يمكنك تشغيل الأمر التالي من موجه أوامر المسؤول وملاحظة كلمة المرور الرقمية المكونة من 48 رقما:
manage-bde -protectors -get %systemdrive%
لنشر التحديث وتطبيق الإبطالات، اتبع الخطوات التالية:
-
تثبيت تعريفات الشهادة المحدثة إلى DB.
ستضيف هذه الخطوة شهادة "Windows UEFI CA 2023" إلى UEFI "قاعدة بيانات توقيع التمهيد الآمن" (DB). بإضافة هذه الشهادة إلى DB، سيثق البرنامج الثابت للجهاز بتطبيقات التمهيد الموقعة بواسطة هذه الشهادة.
-
افتح موجه أوامر المسؤول وقم بتعيين regkey لإجراء التحديث إلى DB عن طريق إدخال الأمر التالي:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
مهم تأكد من إعادة تشغيل الجهاز مرتين لإكمال تثبيت التحديث قبل المتابعة إلى الخطوتين 2 و3.
-
قم بتشغيل أمر PowerShell التالي كمسؤول وتحقق من تحديث قاعدة البيانات بنجاح. يجب أن يرجع هذا الأمر True.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
قم بتحديث Boot Manager على جهازك.
ستقوم هذه الخطوة بتثبيت تطبيق مدير التمهيد على جهازك الذي تم توقيعه باستخدام شهادة "'Windows UEFI CA 2023".
-
افتح موجه أوامر المسؤول وقم بتعيين regkey لتثبيت مدير التمهيد الموقع "'Windows UEFI CA 2023":
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
أعد تشغيل الجهاز مرتين.
-
كمسؤول، قم بتحميل قسم EFI لإعداده للفحص:
mountvol s: /s
-
تحقق من توقيع ملف "s:\efi\microsoft\boot\bootmgfw.efi" بواسطة شهادة "Windows UEFI CA 2023". للقيام بذلك، اتبع هذه الخطوات:
-
انقر فوق بدء، واكتب موجه الأوامر في مربع البحث ، ثم انقر فوق موجه الأوامر.
-
في نافذة موجه الأوامر ، اكتب الأمر التالي ثم اضغط على مفتاح الإدخال Enter:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
في إدارة الملفات، انقر بزر الماوس الأيمن فوق الملف C:\bootmgfw_2023.efi، وانقر فوق خصائص، ثم حدد علامة التبويب التواقيع الرقمية .
-
في قائمة التوقيع، تأكد من أن سلسلة الشهادات تتضمن Windows UEFI CA 2023. يجب أن تتطابق سلسلة الشهادات مع لقطة الشاشة التالية:
-
-
-
تمكين الإبطال.
يتم استخدام قائمة UEFI المحظورة (DBX) لمنع تحميل وحدات UEFI غير الموثوق بها. في هذه الخطوة، سيؤدي تحديث DBX إلى إضافة شهادة "Windows Production CA 2011" إلى DBX. سيؤدي هذا إلى عدم الوثوق بجميع مديري التمهيد الموقعين من قبل هذه الشهادة.
تحذير: قبل تطبيق التخفيف الثالث، قم بإنشاء محرك أقراص محمول للاسترداد يمكن استخدامه لتشغيل النظام. للحصول على معلومات حول كيفية القيام بذلك، راجع قسم تحديث وسائط تثبيت Windows.
إذا دخل نظامك في حالة غير قابلة للتمهيد، فاتبع الخطوات الواردة في قسم إجراء الاسترداد لإعادة تعيين الجهاز إلى حالة إبطال مسبق.
-
أضف شهادة "Windows Production PCA 2011" إلى قائمة Secure Boot UEFI المحظورة (DBX). للقيام بذلك، افتح نوافذ موجه الأوامر كمسؤول، واكتب الأمر التالي، ثم اضغط على مفتاح الإدخال Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
أعد تشغيل الجهاز مرتين وتأكد من إعادة تشغيله بالكامل.
-
تحقق من تطبيق قائمة التثبيت والإبطال بنجاح من خلال البحث عن الحدث 1037 في سجل الأحداث.KB5016061: أحداث تحديث متغير التمهيد الآمن DB وDBX. أو قم بتشغيل أمر PowerShell التالي كمسؤول وتأكد من إرجاع True:
للحصول على معلومات حول الحدث 1037، راجع[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
-
تطبيق تحديث SVN على البرنامج الثابت.
يحتوي Boot Manager المنشور في الخطوة 2 على ميزة إبطال ذاتي جديدة مضمنة. عند بدء تشغيل Boot Manager، فإنه يقوم بإجراء فحص ذاتي عن طريق مقارنة رقم الإصدار الآمن (SVN) المخزن في البرنامج الثابت، مع SVN المضمن في Boot Manager. إذا كان Boot Manager SVN أقل من SVN المخزن في البرنامج الثابت، فسيرفض Boot Manager التشغيل. تمنع هذه الميزة المهاجم من التراجع عن Boot Manager إلى إصدار أقدم غير محدث. في التحديثات المستقبلية، عند إصلاح مشكلة أمان كبيرة في Boot Manager، سيتم زيادة رقم SVN في كل من Boot Manager والتحديث إلى البرنامج الثابت. سيتم إصدار كلا التحديثين في نفس التحديث التراكمي للتأكد من حماية الأجهزة المصححة. في كل مرة يتم فيها تحديث SVN، ستحتاج أي وسائط قابلة للتمهيد إلى تحديثها. بدءا من 9 يوليو 2024، التحديثات، يتم زيادة SVN في Boot Manager وتحديث البرنامج الثابت. تحديث البرنامج الثابت اختياري ويمكن تطبيقه باتباع الخطوات التالية:-
افتح موجه أوامر المسؤول وقم بتشغيل الأمر التالي لتثبيت مدير التمهيد الموقع "Windows UEFI CA 2023":
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
أعد تشغيل الجهاز مرتين.
-
وسائط قابلة للتمهيد
سيكون من المهم تحديث الوسائط القابلة للتمهيد بمجرد بدء مرحلة التوزيع في بيئتك.
إرشادات لتحديث الوسائط القابلة للتمهيد تأتي مع التحديثات المستقبلية لهذه المقالة. راجع القسم التالي لإنشاء محرك أقراص USB لاسترداد جهاز.
تحديث وسائط تثبيت Windows
ملاحظه عند إنشاء محرك أقراص USB إبهام قابل للتمهيد، تأكد من تنسيق محرك الأقراص باستخدام نظام ملفات FAT32.
يمكنك استخدام تطبيق Create Recovery Drive باتباع هذه الخطوات. يمكن استخدام هذه الوسائط لإعادة تثبيت جهاز في حالة وجود مشكلة رئيسية مثل فشل الأجهزة، ستتمكن من استخدام محرك أقراص الاسترداد لإعادة تثبيت Windows.
-
انتقل إلى جهاز تم فيه تطبيق تحديثات 9 يوليو 2024 وخطوة التخفيف الأولى (تحديث قاعدة بيانات التمهيد الآمن).
-
من قائمة البدء ، ابحث عن لوحة التحكم "إنشاء محرك أقراص استرداد" واتبع الإرشادات لإنشاء محرك أقراص للاسترداد.
-
مع تثبيت محرك الأقراص المحمول الذي تم إنشاؤه حديثا (على سبيل المثال، كمحرك الأقراص "D:")، قم بتشغيل الأوامر التالية كمسؤول. اكتب كل أمر من الأوامر التالية، ثم اضغط على مفتاح الإدخال Enter:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
إذا قمت بإدارة الوسائط القابلة للتثبيت في بيئتك باستخدام تحديث وسائط تثبيت Windows مع إرشادات التحديث الديناميكي ، فاتبع هذه الخطوات. ستقوم هذه الخطوات الإضافية بإنشاء محرك أقراص محمول قابل للتمهيد يستخدم ملفات التمهيد الموقعة من قبل شهادة توقيع "Windows UEFI CA 2023".
-
انتقل إلى جهاز حيث تم تطبيق التحديثات في 9 يوليو 2024 وخطوة التخفيف الأولى (تحديث قاعدة بيانات التمهيد الآمن).
-
اتبع الخطوات الواردة في الارتباط أدناه لإنشاء وسائط مع تحديثات 9 يوليو 2024. تحديث وسائط تثبيت Windows باستخدام التحديث الديناميكي
-
ضع محتويات الوسائط على محرك أقراص USB الإبهام وقم بتحميل محرك الأقراص الإبهام كحرف محرك أقراص. على سبيل المثال، قم بتحميل محرك أقراص الإبهام ك "D:".
-
قم بتشغيل الأوامر التالية من نافذة أوامر كمسؤول. اكتب كل أمر من الأوامر التالية، ثم اضغط على مفتاح الإدخال Enter.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
إذا كان الجهاز يحتوي على إعدادات التمهيد الآمن إعادة تعيين إلى الإعدادات الافتراضية بعد تطبيق عوامل التخفيف، فلن يتم تمهيد الجهاز. لحل هذه المشكلة، يتم تضمين تطبيق إصلاح مع تحديثات 9 يوليو 2024 التي يمكن استخدامها لإعادة تطبيق شهادة "Windows UEFI CA 2023" على DB (التخفيف #1).
ملاحظه لا تستخدم تطبيق الإصلاح هذا على جهاز أو نظام موصوف في قسم المشاكل المعروفة .
-
انتقل إلى جهاز تم فيه تطبيق تحديثات 9 يوليو 2024.
-
في نافذة الأوامر، انسخ تطبيق الاسترداد إلى محرك الأقراص المحمول باستخدام الأوامر التالية (بافتراض أن محرك الأقراص المحمول هو محرك الأقراص "D:"). اكتب كل أمر على حدة ثم اضغط على مفتاح الإدخال Enter:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
على الجهاز الذي تمت إعادة تعيين إعدادات التمهيد الآمن إلى الإعدادات الافتراضية، قم بإدراج محرك الأقراص المحمول وإعادة تشغيل الجهاز والتمهيد من محرك الأقراص المحمول.
توقيت التحديثات
يتم إصدار التحديثات على النحو التالي:
-
التوزيع الأولي بدأت هذه المرحلة بالتحديثات التي تم إصدارها في 9 مايو 2023، وقدمت عوامل التخفيف الأساسية مع الخطوات اليدوية لتمكين عمليات التخفيف هذه.
-
التوزيع الثاني بدأت هذه المرحلة بالتحديثات التي تم إصدارها في 11 يوليو 2023، والتي أضافت خطوات مبسطة لتمكين التخفيف من حدة المشكلة.
-
مرحلة التقييم ستبدأ هذه المرحلة في 9 أبريل 2024، وستضيف عوامل تخفيف إضافية لمدير التمهيد.
-
مرحلة التوزيع هذا هو الوقت الذي نشجع فيه جميع العملاء على البدء في نشر عوامل التخفيف وتحديث الوسائط.
-
مرحلة الإنفاذ مرحلة الإنفاذ التي ستجعل عوامل التخفيف دائمة. وسيتم الإعلان عن تاريخ هذه المرحلة في وقت لاحق.
ملاحظة يمكن مراجعة جدول الإصدار حسب الحاجة.
تم تغيير هذه المرحلة بواسطة إصدار تحديثات أمان Windows في 9 أبريل 2024 أو بعده.
تم تغيير هذه المرحلة بواسطة إصدار تحديثات أمان Windows في 9 أبريل 2024 أو بعده.
مع هذه المرحلة، نطلب منك اختبار هذه التغييرات في بيئتك للتأكد من أن التغييرات تعمل بشكل صحيح مع نماذج الأجهزة التمثيلية والحصول على خبرة في التغييرات.
ملاحظه بدلا من محاولة إدراج مديري التمهيد المعرضين للخطر بشكل شامل وعدم الثقة بهم كما فعلنا في مراحل التوزيع السابقة، نضيف شهادة توقيع "Windows Production PCA 2011" إلى قائمة عدم السماح بالتمهيد الآمن (DBX) لإلغاء الثقة في جميع مديري التمهيد الموقعين بواسطة هذه الشهادة. هذه طريقة أكثر موثوقية لضمان عدم ثقة جميع مديري التمهيد السابقين.
تحديثات Windows التي تم إصدارها في 9 أبريل 2024 أو بعد ذلك، أضف ما يلي:
-
ثلاثة عناصر تحكم جديدة للتخفيف تحل محل عوامل التخفيف التي تم إصدارها في عام 2023. عناصر تحكم التخفيف الجديدة هي:
-
عنصر تحكم لنشر شهادة "Windows UEFI CA 2023" إلى قاعدة بيانات التمهيد الآمن لإضافة الثقة لمديري تمهيد Windows الموقعين بواسطة هذه الشهادة. لاحظ أن شهادة "Windows UEFI CA 2023" ربما تم تثبيتها بواسطة تحديث Windows سابق.
-
عنصر تحكم لنشر مدير تمهيد موقع من قبل شهادة "Windows UEFI CA 2023".
-
عنصر تحكم لإضافة "Windows Production PCA 2011" إلى Secure Boot DBX الذي سيحظر جميع مديري تمهيد Windows الموقعين بواسطة هذه الشهادة.
-
-
القدرة على تمكين توزيع التخفيف على مراحل بشكل مستقل للسماح بمزيد من التحكم في توزيع عوامل التخفيف في بيئتك بناء على احتياجاتك.
-
عمليات التخفيف متداخلة بحيث لا يمكن توزيعها بترتيب غير صحيح.
-
أحداث إضافية لمعرفة حالة الأجهزة أثناء تطبيقها للتخفيف من المخاطر. راجع KB5016061: أحداث تحديث متغيرات التمهيد الآمن وDBX للحصول على مزيد من التفاصيل حول الأحداث.
هذه المرحلة هي عندما نشجع العملاء على البدء في توزيع عوامل التخفيف وإدارة أي تحديثات للوسائط. تتضمن التحديثات التغيير التالي:
-
تمت إضافة دعم ل رقم الإصدار الآمن (SVN) وتعيين SVN المحدث في البرنامج الثابت.
فيما يلي مخطط تفصيلي لخطوات التوزيع في مؤسسة.
ملاحظة إرشادات إضافية لتأتي مع التحديثات اللاحقة لهذه المقالة.
-
انشر التخفيف الأول على جميع الأجهزة في المؤسسة أو مجموعة مدارة من الأجهزة في المؤسسة. يتضمن ذلك الآتي:
-
الاشتراك في التخفيف الأول الذي يضيف شهادة توقيع "Windows UEFI CA 2023" إلى البرنامج الثابت للجهاز.
-
مراقبة أن الأجهزة نجحت في إضافة شهادة توقيع "Windows UEFI CA 2023".
-
-
انشر التخفيف الثاني الذي يطبق مدير التمهيد المحدث على الجهاز.
-
تحديث أي استرداد أو وسائط خارجية قابلة للتمهيد تستخدم مع هذه الأجهزة.
-
انشر التخفيف الثالث الذي يمكن إبطال شهادة "Windows Production CA 2011" عن طريق إضافتها إلى DBX في البرنامج الثابت.
-
انشر التخفيف الرابع الذي يحدث رقم الإصدار الآمن (SVN) إلى البرنامج الثابت.
ستكون مرحلة الإنفاذ بعد ستة أشهر على الأقل من مرحلة النشر. عند إصدار التحديثات لمرحلة الإنفاذ، ستتضمن ما يلي:
-
سيتم تلقائيا إبطال شهادة "WINDOWS Production PCA 2011" عن طريق إضافتها إلى قائمة Secure Boot UEFI المحظورة (DBX) على الأجهزة القادرة. سيتم فرض هذه التحديثات برمجيا بعد تثبيت تحديثات Windows على جميع الأنظمة المتأثرة مع عدم وجود خيار لتعطيلها.
أخطاء سجل أحداث Windows المتعلقة ب CVE-2023-24932
يتم وصف إدخالات سجل أحداث Windows المتعلقة بتحديث DB وDBX بالتفصيل في KB5016061: أحداث تحديث متغير التمهيد الآمن وDBX.
يتم سرد أحداث "النجاح" المتعلقة بتطبيق عوامل التخفيف في الجدول التالي.
خطوة التخفيف من المخاطر |
معرف الحدث |
الملاحظات |
تطبيق تحديث DB |
1036 |
تمت إضافة شهادة PCA2023 إلى DB. |
تحديث مدير التمهيد |
1799 |
تم تطبيق مدير التمهيد الموقع PCA2023. |
تطبيق تحديث DBX |
1037 |
تم تطبيق تحديث DBX الذي لا يثق في شهادة توقيع PCA2011. |
الأسئلة المتداولة (FAQ)
-
راجع قسم Recovery Procedure لاسترداد الجهاز.
-
اتبع الإرشادات الواردة في قسم استكشاف مشكلات التمهيد وإصلاحها .
قم بتحديث جميع أنظمة تشغيل Windows بالتحديثات التي تم إصدارها في 9 يوليو 2024 أو بعد ذلك قبل تطبيق عمليات الإبطال. قد لا تتمكن من بدء تشغيل أي إصدار من Windows لم يتم تحديثه إلى التحديثات التي تم إصدارها على الأقل في 9 يوليو 2024 بعد تطبيق عمليات الإبطال. اتبع الإرشادات الواردة في قسم استكشاف مشكلات التمهيد وإصلاحها .
راجع قسم استكشاف مشكلات التمهيد وإصلاحها .
استكشاف مشكلات التمهيد وإصلاحها
بعد تطبيق جميع عوامل التخفيف الثلاثة، لن يتم تشغيل البرنامج الثابت للجهاز باستخدام مدير تمهيد موقع من قبل Windows Production PCA 2011. حالات فشل التمهيد التي أبلغ عنها البرنامج الثابت خاصة بالجهاز. يرجى الرجوع إلى قسم إجراء الاسترداد .
إجراء الاسترداد
إذا حدث خطأ ما أثناء تطبيق عوامل التخفيف من المخاطر ولم تتمكن من بدء تشغيل جهازك أو كنت بحاجة إلى البدء من الوسائط الخارجية (مثل محرك أقراص الإبهام أو تمهيد PXE)، فجرب الاقتراحات التالية:
-
إيقاف تشغيل التمهيد الآمن.تعطيل التمهيد الآمن.
يختلف هذا الإجراء بين الشركات المصنعة للأجهزة والنماذج. أدخل قائمة UEFI BIOS لأجهزتك وانتقل إلى إعدادات التمهيد الآمن وقم بإيقاف تشغيلها. تحقق من الوثائق من الشركة المصنعة لجهازك للحصول على تفاصيل حول هذه العملية. يمكن العثور على مزيد من التفاصيل في -
إعادة تعيين مفاتيح التمهيد الآمن إلى الإعدادات الافتراضية للمصنع.
إذا كان الجهاز يدعم إعادة تعيين مفاتيح التمهيد الآمنة إلى الإعدادات الافتراضية للمصنع، فنفذ هذا الإجراء الآن.
ملاحظه لدى بعض الشركات المصنعة للأجهزة خيار "مسح" و"إعادة تعيين" لمتغيرات التمهيد الآمن، وفي هذه الحالة يجب استخدام "إعادة التعيين". الهدف هو إعادة متغيرات التمهيد الآمن إلى القيم الافتراضية للمصنعين.
يجب أن يبدأ جهازك الآن ولكن لاحظ أنه عرضة للبرامج الضارة لمجموعة أدوات التمهيد. تأكد من إكمال الخطوة 5 من عملية الاسترداد هذه لإعادة تمكين التمهيد الآمن.
-
حاول بدء تشغيل Windows من قرص النظام.
-
تسجيل الدخول إلى Windows.
-
قم بتشغيل الأوامر التالية من موجه أوامر المسؤول لاستعادة ملفات التمهيد في قسم تمهيد نظام EFI. اكتب كل أمر على حدة ثم اضغط على مفتاح الإدخال Enter:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
يؤدي تشغيل BCDBoot إلى إرجاع "تم إنشاء ملفات التمهيد بنجاح. " بعد عرض هذه الرسالة، أعد تشغيل الجهاز مرة أخرى إلى Windows.
-
-
إذا لم تسترد الخطوة 3 الجهاز بنجاح، فقم بإعادة تثبيت Windows.
-
ابدأ تشغيل الجهاز من وسائط الاسترداد الموجودة.
-
تابع لتثبيت Windows باستخدام وسائط الاسترداد.
-
تسجيل الدخول إلى Windows.
-
أعد تشغيل Windows للتحقق من أن الجهاز يبدأ مرة أخرى إلى Windows.
-
-
أعد تمكين التمهيد الآمن وأعد تشغيل الجهاز.
أدخل قائمة UEFI للجهاز وانتقل إلى إعدادات التمهيد الآمن وقم بتشغيله. تحقق من الوثائق من الشركة المصنعة لجهازك للحصول على تفاصيل حول هذه العملية. يمكن العثور على مزيد من المعلومات في قسم "إعادة تمكين التمهيد الآمن".
مراجع
-
إرشادات للتحقيق في الهجمات باستخدام CVE-2022-21894: حملة BlackLotus
-
بالنسبة للأحداث التي يتم إنشاؤها عند تطبيق تحديثات DBX، راجع KB5016061: معالجة مديري التمهيد المعرضين للخطر والمبطلين.
المنتجات المذكورة في هذه المقالة للجهات الأخرى تابعة لشركات مستقلة عن Microsoft. نحن لا نقدم أي ضمان، ضمني أو غير ذلك، حول أداء أو موثوقية هذه المنتجات.
نحن نقدم معلومات جهة اتصال خارجية لمساعدتك في العثور على الدعم التقني. قد تتغير معلومات الاتصال هذه بدون إشعار. نحن لا نضمن دقة معلومات جهة الاتصال هذه التابعة لجهة خارجية.
تاريخ التغيير |
وصف التغيير |
9 يوليو 2024 |
|
9 أبريل 2024 |
|
16 ديسمبر 2023 |
|
15 مايو 2023 |
|
11 مايو 2023 |
|
10 مايو 2023 |
|
9 مايو 2023 |
|
27 يونيو 2023 |
|
11 يوليو 2023 |
|
25 أغسطس 2023 |
|